Schläft die Ransomware im Backup, ist das Backup nutzlos. So schützen Sie sich vor Ransomware-Angriffsschleifen und stellen Sie Sicherungen wieder her.
Zuletzt aktualisiert:08 März 2019
Backups sind seit einigen Jahren ein empfohlener Bestandteil der Ransomware-Reaktionsstrategie für Unternehmen. Die zentrale Frage, ob eine Firma das Lösegeld zahlt oder nicht, basiert seit langem auf dem Vorhandensein von tragfähigen Backups – haben Organisationen ein vollständiges Backup, sollte kein Problem bestehen. Von Lösegeldzahlungen ist generell abzusehen.
In den letzten Jahren wurden neue Taktiken von Ransomware-Entwicklern geschaffen, einschließlich der Suche nach und Zerstörung von Backups, was es nun für Unternehmen notwendig machen, Backups vor Ransomware zu schützen. Aber es gibt heute eine noch finsterere Taktik, die ein Recovery erschwert.
Es wird als Ransomware-Angriffsschleife bezeichnet. Die Strategie hinter dem Angriff ist es, die Umgebung mit Ransomware so zu infizieren, so dass, wenn Backups zur Wiederherstellung verwendet werden, die Ransomware noch vorhanden ist.
So funktioniert die Angriffsschleife:
Ein Endgerät oder ein Server wird auf traditionelle Weise mit Ransomware infiziert.
Die Ransomware detoniert drei bis sechs Monate lang nicht und „schläft“.
Backups des infizierten Systems umfassen neben den Daten nun auch die Ransomware.
Der Anhang mit der Erpressungssoftware wird aktiv, blockiert das System und verlangt Lösegeld.
Mit einem Restore vom letzten Backup – anstatt das Lösegeld zu zahlen – lässt sich das System zunächst wiederherstellen. Allerdings nur scheinbar, denn mit dem Restore wird das System wieder in einen infizierten Zustand versetzt.
Die Ransomware detoniert wieder. Der Anwender steckt in der Schleife, denn er ist wieder bei Schritt vier der Attacke.
Anwender könnten den fünften Schritt theoretisch mit immer älteren Backups wiederholen. Da aber nicht bekannt ist, wann das System infiziert wurde, kann dieser Prozess mehr Arbeit machen als er nützt.
Stärkung Ihrer Backup-Abwehr gegen Ransomware
Wie schützt man also Backups vor Ransomware? Wie kommt man zu Backups, die in diesem Angriffsmodell noch nützlich sind?
Die Antwort liegt in der Überprüfung der Backup-Plattform. Dazu muss man wissen, wie die Software zur Datensicherung Malware behandelt. Neuere Backup-Produkte haben in der Regel eine von zwei Eigenschaften, wenn es um Malware auf den zu sichernden Systemen geht:
Sie verhindern. Einige Backup-Lösungen schützen das Backup vor Ransomware, indem sie Malware daran hindern, in das Backups vorzudringen. Das System wird davor geschützt, mit einem Restore auch die Erpressungssoftware wieder an Bord zu holen.
Sie benachrichtigen. Andere Backup-Produkte teilen lediglich mit, dass sie abnormale Daten im Backup-Stream sehen. Es liegt dann in der Verantwortung des Backup-Admins des Anwenders, zu versuchen, die Schadsoftware zu entfernen und dann ein erneutes Backup zu wagen.
Eine dieser beiden Methoden zum Schutz des Backups sollten Teil der Backup-Strategie werden. Die beste Wahl sind natürlich Produkte, die verhindern, dass Ransomware mit dem Backup gesichert wird. Erlaubt das System diese Option nicht, ist eine Lösung mit einer Benachrichtigung zwingend erforderlich. Auch wenn die Benachrichtigung manuelle Eingriffe und Kontrollen erfordert, ist das immer noch besser, als Schadsoftware im Backup-Set.
Einige Backup-Lösungen schützen die Systeme durch Filter davor, Ransomware mit zu sichern.
Bietet die eingesetzte Backup-Lösung keine dieser beiden Funktionen, empfehlen sich zum Schutz des Backups vor Ransomware zwei Schritte.
Schritte 1: Eine mehrschichtige Abwehrstrategie verhindert, dass so wenig Malware wie möglich eindringt. Dazu gehören der Schutz des Domainnamensystems, E-Mail- und Web-Scanning, Endpoint-Protection und Antivirensoftware.
Schritt 2: Für kritische Systeme, die unbedingt wiederherstellbar sein müssen, sollten die Anwender alle Orte identifizieren, in denen sich Malware typischerweise einnisten und installieren möchte: das sind vor allem temporäre und benutzerdefinierte Ordnerorte. Diese Ordner sollten dann vom Backup ausgeschlossen werden. Mit etwas Glück ergeben sich daraus Backups, mit denen ein Restore eines funktionierenden Systems, jedoch ohne Malware, möglich ist.
Ransomware-Angriffsschleifen sind ziemlich hinterhältig. Es ist ein evolutionärer Schritt, der von den Anwendern verlangt, mit der Backup-Strategie einen ebenso evolutionären Schritt zu machen. Nur so kann sich der Anwender gegen die Schadsoftware durchsetzen.
