Wiper-Angriffe: So wird Recovery zur Chefsache

Wiper nicht mit Ransomware verwechseln

Die potenziellen Opfer dürfen dabei Wiper-Angriffe nicht mit herkömmlichen Ransomware-Attacken verwechseln. Gerade in der Anfangsphase sind beide Arten recht ähnlich. Denn zunächst versuchen die Angreifer, Malware in die Systeme einzuschleusen und dabei möglichst lange unentdeckt zu bleiben. Diese ähnliche Vorgehensweise erklärt auch, warum Anzeichen für eine verstärkte Zusammenarbeit und Überschneidungen zwischen staatlich unterstützten Wiper-Akteuren und kriminellen Ransomware-Banden zu beobachten sind.

Entsprechend weisen die anfänglichen Wiper-Aktivitäten Muster auf, die Unternehmen meist als routinemäßige Cyberkriminalität einschätzen. Dies verwischt jedoch die Spuren und Frühwarnzeichen eines staatlich geförderten Cyberangriffs. Das kann sich als fataler Irrtum erweisen, wenn im nächsten Schritt nicht Verschlüsselung und Erpressung das Ziel sind, sondern Zerstörung und Schädigung. Denn mit Wiper-Akteuren können Unternehmen kein Lösegeld aushandeln.

Angreifer kundschaften Opfer lange aus 

Daher dürfen Unternehmen keine wertvolle Zeit verlieren und müssen möglichst frühzeitig Wiper-Angriffe als solche erkennen. Denn das eigentliche Zerstören der Daten ist oft der letzte Schritt eines langfristigen Angriffsprozesses. Zu zweifelhafter Berühmtheit gelangte dabei ein Angriff, den iranische staatliche Akteure bereits im Jahr 2022 in Albanien durchführten. In diesem Fall behielten sie etwa 14 Monate lang Zugriff auf die Systeme ihrer Opfer, bevor sie zerstörerische Cyberangriffe starteten.

„Neben der Unterscheidung zwischen Ransomware und Wiper ist daher eine umfassende Vorbereitung auf den Ernstfall wichtig. Der Schutz vor diesen Bedrohungen beginnt damit, auch destruktive Störungen durch Wiper als zentrales Geschäftsrisiko zu betrachten.“

James Blake, Cohesity

Tatsächlich nehmen sich Angreifer häufig viel Zeit, um zu ermitteln, wie eine Organisation funktioniert, welche Abhängigkeiten es gibt und wie sich der größte Schaden anrichten lässt. Sie können auch mehrere Einfallstore einrichten, damit selbst beim Schließen einer entsprechenden Sicherheitslücke andere Angriffswege bestehen bleiben.

Warum Wiper mehr als nur ein IT-Problem sind

Unternehmen benötigen daher eine neue Herangehensweise an die Wiederherstellung. Wenn ein Angreifer monatelang im System präsent war, besteht nicht nur das Risiko, dass die Systeme ausfallen, sondern auch dass den Systemen nicht mehr vertraut werden kann. Eine überstürzte Wiederherstellung kann kompromittierte Elemente versehentlich wieder in die Produktion einführen und damit erneute Störungen auslösen.

Führungskräfte müssen daher entscheiden, was wieder online geschaltet, was isoliert bleiben und was neu aufgebaut werden muss. All dies ist erforderlich, während Kunden, Aufsichtsbehörden, Partner und Mitarbeiter Klarheit verlangen. Deshalb ist Resilienz nicht nur ein Technologiethema, sondern Entscheidungsfindung unter Druck.

Vorbereitung auf zerstörerische Angriffe

Neben der Unterscheidung zwischen Ransomware und Wiper ist daher eine umfassende Vorbereitung auf den Ernstfall wichtig. Der Schutz vor diesen Bedrohungen beginnt damit, auch destruktive Störungen durch Wiper als zentrales Geschäftsrisiko zu betrachten. Dazu sind folgende Schritte nötig:

• Szenarien für den Wiederaufbau planen. Wiper-Angriffe können Unternehmen dazu zwingen, Teile ihrer IT-Infrastruktur neu aufzubauen, statt lediglich Dateien wiederherzustellen und Systeme neu zu starten.
• Entscheidungsfindung und Kommunikation einüben. Bei Wiper-Attacken sind die schwächsten Glieder oft Mensch und Organisation. Dazu gehören unklare Zuständigkeiten, langsame Entscheidungen, widersprüchliche Botschaften und übereilte Entscheidungen, die neue Risiken schaffen. Vorstände und Führungskräfte sollten im Voraus wissen, wer was entscheidet, wo die Prioritäten liegen und wie die Kommunikation funktioniert, wenn Informationen unvollständig sind.
• Vertrauen vor Geschwindigkeit stellen. Bei der Wiederherstellung geht es zunächst um die grundlegenden Dienste für die Zugriffskontrolle und Systemverwaltung. Nur wenn diese vertrauenswürdig sind, lassen sich weitere Geschäftsprozesse zuverlässig wieder freigeben.
• Realitätsnahe Übungen durchführen. Diese zeigen die richtigen Verhaltensweisen, decken versteckte Abhängigkeiten auf und helfen Führungskräften, gute Entscheidungen zu treffen. Dann läuft die Wiederherstellung kontrolliert und nicht chaotisch ab.

Wiper-Resilienz erfordert Planungen und Übungen

Wiper-Angriffe stellen kein vernachlässigbares Restrisiko mehr dar, sondern eine reale Gefahr für die Existenz von Unternehmen. Dabei geht es aber nicht darum, möglichst schnell darauf zu reagieren. Dann werden häufig kompromittierte Systeme und Daten wiederhergestellt, die zu erneuten Angriffen führen. Stattdessen müssen Unternehmen bereits im Vorfeld resiliente Schutz- und Recovery-Maßnahmen vorbereiten und den Ernstfall einüben. Nur dann können sie vertrauenswürdige Systeme wiederherstellen, statt sie völlig neu aufbauen zu müssen.

Über den Autor:
James Blake ist Vice President of Global Cyber Resiliency Strategy, Response & Consulting Services bei Cohesity. Er verfügt über mehr als 30 Jahre Erfahrung im Bereich Cybersecurity. Sein Schwerpunkt liegt auf Cyber-Resilienz, Incident Response und Recovery-Strategien – insbesondere im Umgang mit Ransomware und zerstörerischen Cyberangriffen. Bei Cohesity leitet er das globale Cyber Event Response Team (CERT) und unterstützt Organisationen dabei, Systeme und Daten sicher und in einen vertrauenswürdigen Zustand wiederherzustellen. In seinen aktuellen und früheren Positionen arbeitete er mit der Führungsebene von FTSE 100- und Fortune 100-Unternehmen zusammen und unterstützte diese bei der Entwicklung und Umsetzung von Strategien und Konzepten zur Verbesserung der Effektivität und Effizienz der Cyber-Resilienz in modernen Betriebsumgebungen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.