July 26, 2021

Willst du keine Lösegeld-Banden bezahlen? Testen Sie Ihre Backups. – Krebs über Sicherheit

Durchsuchen Sie die Kommentare zu praktisch jeder Geschichte über einen Ransomware-Angriff und Sie werden mit ziemlicher Sicherheit der Ansicht begegnen, dass die Opferorganisation es vermeiden hätte können, ihre Erpresser zu bezahlen, wenn sie nur ordnungsgemäße Datensicherungen gehabt hätten. Aber die hässliche Wahrheit ist, dass es viele nicht offensichtliche Gründe gibt, warum Opfer am Ende zahlen, auch wenn sie aus Sicht der Datensicherung fast alles richtig gemacht haben.

In dieser Geschichte geht es nicht darum, was Unternehmen als Reaktion auf Cyberkriminelle tun, die ihre Daten als Geiseln halten, was sich heute bei den meisten der führenden Ransomware-Kriminellengruppen zu einer bewährten Methode entwickelt hat. Es geht vielmehr darum, warum Opfer immer noch für einen Schlüssel bezahlen, der zum Entschlüsseln ihrer Systeme benötigt wird, selbst wenn sie die Möglichkeit haben, alles aus Backups selbst wiederherzustellen.

Experten sagen, der Hauptgrund dafür, dass Ransomware-Ziele und/oder ihre Versicherungsanbieter immer noch zahlen, wenn sie bereits zuverlässige Backups haben, ist der Niemand in der Opferorganisation hat sich die Mühe gemacht, im Voraus zu testen, wie lange dieser Datenwiederherstellungsprozess dauern könnte.

„In vielen Fällen verfügen Unternehmen über Backups, aber sie haben noch nie zuvor versucht, ihr Netzwerk aus Backups wiederherzustellen, sodass sie keine Ahnung haben, wie lange es dauern wird“, sagte Fabian Wosar, Chief Technology Officer bei Emsisoft. „Plötzlich bemerkt das Opfer, dass es ein paar Petabyte an Daten über das Internet wiederherstellen muss, und stellt fest, dass es selbst mit seinen schnellen Verbindungen drei Monate dauern wird, all diese Backup-Dateien herunterzuladen. Viele IT-Teams machen nicht einmal eine einfache Berechnung, wie lange sie aus Sicht der Datenrate für die Wiederherstellung benötigen würden.“

Wosar sagte, das zweithäufigste Szenario betrifft Opfer, die über externe, verschlüsselte Backups ihrer Daten verfügen, aber entdecken, dass der digitale Schlüssel, der zum Entschlüsseln ihrer Backups benötigt wird, im selben lokalen File-Sharing-Netzwerk gespeichert war, das von der Ransomware verschlüsselt wurde.

Das dritthäufigste Hindernis dafür, dass Opferorganisationen sich auf ihre Backups verlassen können, besteht darin, dass es den Ransomware-Anbietern gelingt, auch die Backups zu beschädigen.

„Das ist noch etwas selten“, sagte Wosar. „Es kommt vor, aber es ist eher die Ausnahme als die Regel. Leider ist es immer noch üblich, Backups in irgendeiner Form zu haben, und einer dieser drei Gründe verhindert, dass sie nützlich sind.“

Bill Siegel, CEO und Mitbegründer von Coveware, einem Unternehmen, das Ransomware-Zahlungen für Opfer aushandelt, sagte, dass die meisten Unternehmen, die zahlen, entweder nicht richtig konfigurierte Backups haben oder ihre Widerstandsfähigkeit oder die Fähigkeit, ihre Backups gegen die Ransomware wiederherzustellen, nicht getestet haben Szenario.

“Es kann sein [that they] 50 Petabyte an Backups haben … aber es ist in einer … Einrichtung, die 30 Meilen entfernt ist. … Und dann fangen sie an [restoring over a copper wire from those remote backups] und es geht wirklich langsam … und jemand zückt einen Taschenrechner und merkt, dass es 69 Jahre dauern wird [to restore what they need]“, sagte Siegelgel Kim Zetter, ein Veteran Verdrahtet Reporter, der kürzlich einen Cybersicherheits-Newsletter auf Substack veröffentlicht hat.

„Oder es gibt viele Softwareanwendungen, die Sie tatsächlich verwenden, um eine Wiederherstellung durchzuführen, und einige dieser Anwendungen befinden sich in Ihrem Netzwerk [that got] verschlüsselt“, fuhr Siegel fort. „Also sagst du: ‚Oh großartig. Wir haben Backups, die Daten sind da, aber die Anwendung, die die Wiederherstellung tatsächlich durchführt, ist verschlüsselt.’ Es gibt also all diese kleinen Dinge, die dich stolpern können, die dich daran hindern, eine Wiederherstellung durchzuführen, wenn du nicht übst.“

Laut Wosar müssen alle Unternehmen sowohl ihre Backups testen als auch einen Plan zur Priorisierung der Wiederherstellung kritischer Systeme entwickeln, die für den Wiederaufbau ihres Netzwerks erforderlich sind.

„In vielen Fällen kennen Unternehmen nicht einmal ihre verschiedenen Netzwerkabhängigkeiten und wissen daher nicht, in welcher Reihenfolge sie Systeme wiederherstellen sollen“, sagte er. „Sie wissen nicht im Voraus: ‚Hey, wenn wir getroffen werden und alles ausfällt, sind dies die Dienste und Systeme, die für ein Basisnetzwerk Priorität haben, auf dem wir aufbauen können.’“

Wosar sagte, es sei wichtig, dass Unternehmen ihre Pläne zur Reaktion auf Sicherheitsverletzungen in regelmäßigen Tabletop-Übungen durcharbeiten, und dass Unternehmen in diesen Übungen beginnen können, ihre Pläne zu verfeinern. Wenn die Organisation beispielsweise physischen Zugriff auf ihr Remote-Backup-Rechenzentrum hat, könnte es sinnvoller sein, Prozesse für den physischen Versand der Backups an den Wiederherstellungsstandort zu entwickeln.

„Viele Opfer sehen sich damit konfrontiert, ihr Netzwerk auf ungeahnte Weise neu aufbauen zu müssen. Und das ist normalerweise nicht der beste Zeitpunkt, um solche Pläne zu schmieden. Deshalb sind Tabletop-Übungen unglaublich wichtig. Wir empfehlen, ein komplettes Playbook zu erstellen, damit Sie wissen, was Sie tun müssen, um sich von einem Ransomware-Angriff zu erholen.“