Frankfurt am Main ¨C 12. Januar 2023 ¨C Ransomware-Attacken haben sich in den letzten Jahren und sind ein erfolgreiches Gesch?ftsmodell f¨¹r Cyberkriminelle. Der ist in Teilen auch auf den Ukraine-Konflikt zur¨¹ckzuf¨¹hren. Gelingt ein Ransomware-Angriff, sind h?ufig komplette IT-Infrastrukturen beeintr?chtigt, und Unternehmen drohen nicht nur wirtschaftliche Einbu?en, sondern auch erhebliche Image-Sch?den.
?Organisationen jeglicher Gr??e sind Ziel von Ransomware-Angriffen ¨C vom kleinen Familienunternehmen ¨¹ber Mittelst?ndler bis hin zum Gro?konzern. Um solchen Attacken vorzubeugen, gilt es pr?ventive Ma?nahme zu ergreifen. Dabei k?nnen u.a. Security-Operations-Services-Partner wie Arctic Wolf unterst¨¹tzen. Wurden entsprechende Ma?nahmen nicht ergriffen, und es kommt doch zu einem Vorfall, ist es entscheidend, schnell die n?chsten Schritte zu planen und sich mit der Frage ?Zahlen oder nicht zahlen?¡° zu besch?ftigen,¡° so Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf.
Die ersten kritischen Momente
- Keine ¨¹berst¨¹rzte Reaktion: Sobald Unternehmen auf die Nachricht der Angreifer antworten, starten die Kriminellen einen vordefinierten Prozess, und eine Art Countdown l?uft.
- Unterst¨¹tzung anfordern und Beh?rden informieren: Auch wenn Unternehmen die Entscheidungen letztlich selbst treffen m¨¹ssen, bieten Cyber Defense Hotlines von Security-Partnern, spezialisierte Berater sowie LKA, , die Zentrale Ansprechstelle
- Cybercrime (ZAC) und das BSI wertvollen Expertenrat.
- Incident-Response- bzw. Ransomware-Plan folgen: Wenn pr?ventiv ein Notfallplan aufgesetzt wurde, sollte dieser Schritt f¨¹r Schritt befolgt werden.
- Transparenz schaffen: Das Senior Management sollte direkt ¨¹ber den Vorfall informiert werden. Das bedeutet, die Lage, n?chste Schritte und die ben?tigte Hilfe erkl?ren.
Die n?chsten Schritte
Der akute Angriff ist nicht der Moment, um die Schuldfrage zu diskutieren. Das Team sollte sich vielmehr auf folgende Kernaufgaben konzentrieren:
- Stoppen der weiteren Ausbreitung des Vorfalls mithilfe von Incident Response
- Wie kann im Team kommuniziert werden? (ggf. Einrichtung einer Notkommunikation)
- Wo und inwieweit ist das Unternehmen noch verwundbar? Es ist sehr wahrscheinlich, dass sich die Angreifer noch im Netzwerk befinden!
- Schlie?en von C&C (Comand-and-Control)-Kan?len, um Angreifer vom eigenen Netzwerk auszuschlie?en.
- Welche Infrastrukturteile k?nnen/m¨¹ssen isoliert bzw. abgetrennt werden, um weitere Sch?den zu verhindern?
- Feststellung des Schadensausma?es und der Recovery-Optionen durch IT-Operations-Teams
- Verf¨¹gbarkeit der Backups feststellen und diese sofort offline nehmen, um die Verschl¨¹sselung durch Angreifer zu verhindern.
- Welche Services sind betroffen, welche bestehen noch unber¨¹hrt?
- Welche Daten wurden verschl¨¹sselt?
- Welche Recovery-Aktionen sind erforderlich f¨¹r den Fall a) wenn Daten wieder entschl¨¹sselt werden k?nnen und b) wenn sie dauerhaft verschl¨¹sselt bleiben?
- Zusammentragen von Threat-Intelligence-Informationen zu Angreifern, Malware und ?hnlichen F?llen
- Um welche Ransomware handelt es sich? Gibt es ggf. Entschl¨¹sselungsm?glichkeiten durch Schwachstellen in der Ransomware?
- Gibt es erfolgreiche Entschl¨¹sselungen?
- Welche Angreifergruppe steht hinter dem Vorfall? ¨C Motivation, Methoden, fr¨¹here Aktivit?ten, Profis oder Anf?nger?
- Aufstellen des Business Case: Ist die Zahlung des L?segeldes das insgesamt g¨¹nstigste Szenario? ¨C und das Treffen der Entscheidung: zahlen oder nicht zahlen?
- Wie hoch ist die L?segeldsumme, und was ist das Unternehmen bereit zu zahlen?
- Wie lang sind die Ausfallzeiten in beiden Szenarien? Wie umfangreich die Aufw?nde f¨¹r den Wiederaufbau (Recovery) und Wiederherstellung bzw. Entschl¨¹sselung der Daten?
- Image- und Reputationssch?den und ggf. Klagen durch betroffene Stakeholder?
- Besteht eine Cybersecurity-Versicherung, die einen Teil der Kosten ¨¹bernimmt?
- Wichtig ist: Bei Verhandlungen mit Kriminellen, gibt es keine Garantien ¨C auch wenn das L?segeld bezahlt wird. LKA, BKA und BSI raten zudem von der Zahlung ab, um keine organisierte Kriminalit?t zu finanzieren.
- Verhandlungen mit den Angreifern
- Definition der Verhandlungsziele und Aufbringung der Zahlungsmittel
- Kontaktieren und Verifizierung der Angreifer
- H?flich bleiben! Angreifer erpressen meist mehrere Unternehmen gleichzeitig, und ?schwierige Kunden¡° werden auch von Kriminellen schlechter behandelt
- Beweise anfordern! Mit Free Keys oder Samples l?sst sich ¨¹berpr¨¹fen, ob die Angreifer wirklich den korrekten Schl¨¹ssel besitzen. Keys sollten zun?chst in einer Sandbox ¨¹berpr¨¹ft werden, um auszuschlie?en, dass es sich auch um malizi?se Payloads handelt
- H?he der Zahlung verhandeln, aber niemals sagen, dass man kein Geld hat, sonst verlieren die Erpresser das Interesse. Zudem sind die Angreifer ¨¹ber Gesch?ftsberichte und Finanzbilanzen h?ufig gut ¨¹ber die Zahlungsf?higkeit informiert
- Definition eines gemeinsamen Zeitplans
- Bezahlen mit Crypto-W?hrung (1-2 Tage). Achtung: Es besteht immer die Gefahr, dass Unternehmen zahlen und trotzdem keinen Schl¨¹ssel von den Betr¨¹gern erhalten.
- Lieferung des Schl¨¹ssels durch die Erpresser
- Das durch Angreifer zur Verf¨¹gung gestellte Entschl¨¹sselungsprogramm sollte zuvor in der Sandbox gepr¨¹ft werden, um sicher zu gehen, dass es wirklich entschl¨¹sselt und nicht die Situation noch verschlimmert.
Damit nach dem Vorfall nicht vor dem n?chsten ist
Damit die Ransomware-Attacke eine einmalige Angelegenheit bleibt, gilt es nach dem Vorfall einige abschlie?ende Ma?nahmen zu ergreifen. So sollten alle Systeme gescannt und bereinigt sowie die Passw?rter aller User und technischen Accounts zur¨¹ckgesetzt werden. Au?erdem sollten m?gliche Backdoors und Verwundbarkeiten ¨¹berpr¨¹ft und geschlossen werden. Ganz egal, ob man sich f¨¹r oder gegen die L?segeldzahlung entschieden hat, sollte dem Vorfall au?erdem ein intensives Hunting bzw. Public-, Dark-, und Deep-Web-Monitoring folgend, um zu ¨¹berpr¨¹fen, dass tats?chlich keine eigenen Daten ver?ffentlicht wurden.?
Pressekontakt
Lucy Turpin Communications
Sarah Schumm und Eva Hildebrandt
Lucy Turpin Communications
Prinzregentenstra?e 89
81675 M¨¹nchen
arcticwolf@lucytupin.com
+49 (0) 89 – 417761-17 / -14
Arctic Wolf
Reagan McAfee
Reagan.mcafee@arcticwolf.com
+1 916-996-4969
Sollten Sie in Zukunft keine Neuigkeiten von Arctic Wolf mehr w¨¹nschen, melden Sie sich bitte bei uns.
