X

META10 | News

 

Secure Cloud E-News

 

26Okt

Was ein Unternehmen nach einem erfolgreichen «Ransomware»-Angriff auf seine Daten Schritt für Schritt tun muss

Sicherheit, Tipp, IT-Sicherheit | News | 0 Comments | | Return| 26.10.2021|

Angriffe auf Unternehmen aller Grössen mit einem «Ransomware» genannten Verschlüsselungstrojaner sind in der Schweiz ein verbreitetes Phänomen: Gemäss einer unlängst im «Beobachter» veröffentlichten Analyse haben Kriminelle allein 2020 Daten von rund 2700 Schweizer Unternehmen gestohlen und zum Verkauf ins Darknet gestellt. Die Dunkelziffer dürfte viel höher liegen. Rund 40 Prozent der Betroffenen gingen laut Expertenschätzungen auf die Forderungen der Hackerbanden ein. Und viele Unternehmen bezahlen das geforderte Lösegeld offenbar ohne Kontakt mit den zuständigen Behörden. Das ist laut dem Nationalen Zentrum für Cybersicherheit NCSC ein falsches Verhalten. Was soll man denn als Unternehmen nach einem Angriff mit «Ransomware» selbst oder zusammen mit einem externen Experten tun? Das erläutern wir aufgrund der Instruktionen des Nationalen Zentrums für Cybersicherheit NCSC Schritt für Schritt.

 

Schadensbegrenzung

Nach einem erfolgreichen «Ransomware»-Angriff sind alle infizierten Systeme umgehend vom Netz zu nehmen: Die Netzwerkkabel von den Computern trennen und alle WLAN-Adapter abschalten.
Achtung: Die infizierten Geräte selbst dürfen auf keinen Fall abgeschaltet werden, bis die Schadsoftware analysiert worden ist, sei es durch die die Polizei, das Nationale Zentrum für Cybersicherheit NCSC oder ein spezialisiertes Unternehmen.

 

Identifikation der infizierten Systeme

Bei der Identifikation der infizierten Systeme können «Logdateien» helfen, anhand derer beispielsweise Zugriffe auf Netzwerklaufwerke erkannt werden können. Auch die Metadaten der verschlüsselten Dateien können Hinweise auf infizierte Systeme liefern, beispielsweise welche Benutzerkonten die Dateien erzeugt haben. Man sichere die Logdateien.

 

Detektion

Anhand der Logs von E-Mail-Server, Proxyserver und Firewall sowie anhand allfälliger weiterer Sicherheitssoftware lässt sich das Ausmass der Infektion feststellen. Zugleich lassen sich die URL und die IP-Adressen der Angreifer detektieren. Man blockiere diese URL und IP-Adressen auf dem internen Proxyserver beziehungsweise auf der Firewall. Damit verhindert man eine ungewollte Verbindung zur Infrastruktur des Angreifers.
Bei einer Infektion per E-Mail lassen sich gewisse Links, nämlich URL und IP-Adresse, unter Umständen relativ einfach entweder direkt in der E-Mail durch den Hyperlink oder in einem entsprechenden Anhang auslesen.

 

Strafanzeige

Das Nationale Zentrum für Cybersicherheit NCSC empfiehlt in jedem Fall die Einreichung einer Strafanzeige. Man überlege sich früh, ob man diesen Schritt unternehmen will. Die Zuständigkeit liegt bei der Kantonspolizei am Geschäftssitz des Unternehmens. Auf der Internetseite von «Suisse e-Police» kann man den für seinen Standort zuständigen Polizeiposten ausfindig machen.
Die Polizei berät die «Ransomware»-Opfer bezüglich des weiteren Vorgehens, insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten dieser gegenüber. Man bespreche mit der Polizei, ob ein Ausrücken von Polizeikräften zur Unterstützung sinnvoll ist.

 

Forensische Untersuchungen

Man muss frühzeitig entscheiden, ob eine forensische Untersuchung durchgeführt werden soll. Dies ist vor allem wichtig, wenn man Strafanzeige erstatten will. Man informiere in diesem Fall die Strafverfolgungsbehörden bereits in einer frühen Phase und diskutiere mit ihr die nächsten Schritte: Beobachtung der Schadsoftware, Gegenmassnahmen und so weiter.
Die Sicherungen von Zwischenspeichern und Festplatten sollten durch einen fachkundigen Mitarbeitenden oder externe Dienstleister sinnvollerweise vor allen Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Denn nach Reparaturversuchen oder Neustarts sind forensische Untersuchungen nahezu unmöglich. Sollte im betroffenen Unternehmen das dafür notwendige Fachwissen nicht vorhanden sein, muss ein externer Experte hinzugezogen werden.

 

Sicherung der verschlüsselten Daten

Falls das Backup vom Verschlüsselungstrojaner ebenfalls verschlüsselt wurde, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern. Damit ist es allenfalls zu einem späteren Zeitpunkt möglich, die Daten mit einer gefundenen Lösung zu entschlüsseln. In einigen Fällen konnten Sicherheits- und Strafverfolgungsbehörden im Zuge ihrer Ermittlungen Zugang zu Schlüsseln oder Entschlüsselungsmethoden finden.

 

Neuinstallation der betroffenen Systeme

Bevor mit der Wiederherstellung der Daten begonnen wird, ist eine Neuinstallation der infizierten Systeme erforderlich. Das verwendete Betriebssystem sollte dabei von einem vertrauenswürdigen Datenträger stammen.
Unter bestimmten Voraussetzungen ist auch ohne Datensicherung via Backup eine teilweise oder komplette Wiederherstellung der Daten möglich. Eine Entschlüsselung kann unter Umständen funktionieren, wenn

  • die Ransomware Schattenkopien in Windows nicht verschlüsselt oder gelöscht hat,
  • Snapshots von virtuellen Maschinen oder frühere Dateiversionen bei Clouddiensten existieren,
  • die forensische Wiederherstellung gelöschter Dateien möglich ist,
  • die «Ransomware» in ihrer Verschlüsselungsfunktion Fehler aufweist oder der Schlüssel für die Entschlüsselung bekannt ist.

 

Identifikation der «Ransomware»

Auf der Webseite https://www.nomoreransom.org gibt es Tipps zur Identifikation der Schadsoftware und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.

 

Hinweise zur Zahlung von Lösegeldern

Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab. Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.
Wenn man erwägt, das Lösegeld gleichwohl zu bezahlen, empfiehlt das Nationale Zentrum für Cybersicherheit NCSC dringend, diese Absicht mit der Kantonspolizei zu diskutieren.

Quelle: Beitrag «’Ransomware’ - Was nun?» des Nationalen Zentrums für Cybersicherheit NCSC

Related