Wiederherstellung nach einem Ransomware-Angriff: Das sollten Sie wissen

Wussten Sie, dass laut der Sophos-Studie „State of Ransomware“ nach einem Ransomware-Angriff durchschnittlich nur 65 % der Daten wiederhergestellt werden? Heute begeben wir uns auf einen Deep Dive zu einigen der am häufigsten gestellten Fragen im Hinblick auf die Wiederherstellungen nach Ransomware-Angriffen – und was Sie wissen sollten, bevor es zu spät ist.

Was hat Ransomware mit Wiederherstellung zu tun?

Nach einem Ransomware-Angriff müssen IT-Systeme wieder funktionsfähig gemacht und Daten wiederhergestellt werden. Das kann ganz einfach sein, wenn man sich an einen bestehenden Disaster-Recovery-Prozess halten kann, der gut dokumentiert ist und gründlich (und vor nicht allzu langer Zeit) getestet wurde.

Im Bereich Datensicherung liegt der Fokus auf der Wiederherstellung, insbesondere, um die von der Ransomware verschlüsselten VMs über Backups wiederherzustellen. Das ist tatsächlich ein großer Teil der Arbeit nach einem Angriff, aber die IT-Umgebung ist meist auch großflächiger betroffen.

Deshalb muss eine forensische Analyse durchgeführt werden, um herauszufinden, wie die Ransomware in die Umgebung gelangt ist und welche Systeme sie infiziert hat. An dieser Stelle können Maßnahmen ergriffen werden, um die Ransomware zu eliminieren, die Schwachstellen zu beheben, die den Angriff möglich gemacht haben, und betroffene Systeme wiederherzustellen.

Kann Ransomware entfernt werden?

Nach einem Angriff müssen Maßnahmen ergriffen werden, um herauszufinden, wie die Ransomware in die Umgebung gelangt ist und welchen Schaden die Systeme, neben der Verschlüsselung der Daten, genommen haben.

Die Ransomware-Software selbst muss von den verschlüsselten Geräten entfernt werden, aber gleichzeitig gilt es herauszufinden, wie der Angreifer ins System gelangt ist. Dieses Einfallstor muss geschlossen werden. Nach einem Angriff können Sie sicherstellen, dass Ihre Malware-Schutzsysteme über die richtigen Definitionen verfügen, um die entsprechende Ransomware-Variante zu erkennen.

Können Systeme, die von Ransomware betroffen sind, wiederhergestellt werden?

Das ist stets die wichtigste Frage der IT: Können wir uns von einem Ransomware-Angriff erholen? Eine Wiederherstellung ist fast immer möglich. Leider haben die meisten Unternehmen jedoch kein Vertrauen in den Wiederherstellungsprozess. Deshalb sollten Sie bereits im Voraus sicherstellen, dass Ihre Umgebung sich von einem Angriff erholen kann.

Im ersten Schritt brauchen Sie ein aktuelles, erfolgreiches Backup, um Ihre Daten vor Ransomware zu schützen. Das ist wichtig, wenn Geräte verschlüsselt wurden, da Sie in der Lage sein müssen, die Daten aus dem zuvor erstellten Backup wiederherzustellen.

Je nachdem, wie lange sich die Ransomware bereits untätig in Ihrem System befand, sollten Sie allerdings zuerst das wiederhergestellte System scannen, um sicherzustellen, dass der Angreifer nicht zurück in die Umgebung gelangt.

Wie sieht eine Wiederherstellung nach einem Ransomware-Angriff aus?

Meist wissen Unternehmen nicht, was nach einem Ransomware-Angriff zu tun ist. Zuerst geht es darum, das IT-Sicherheitsteam mit einzubeziehen, sodass es aktiv werden kann. Dieser Prozess kann anders aussehen als das, was die meisten Backup-Administratoren üblicherweise mit Datenwiederherstellung in Verbindung bringen.

Denn bevor Sie sich um die Daten kümmern, müssen andere Punkte des Reaktionsplans abgearbeitet werden, wie zum Beispiel die Erkennung und Analyse der Ransomware, die Eindämmung und dann erst die Beseitigung und die Wiederherstellung.  Wie Sie beim letzten Punkt vorgehen, hängt davon ab, was bei der Erkennung und Analyse herauskommt. Deshalb ist es wichtig, mehrere – und gründlich getestete – Wiederherstellungsstrategien zu haben.

Sie haben keine Erfahrung mit der Reaktion auf Cyberangriffe? Sehen Sie sich die Playbooks zu Cybersecurity Incident & Vulnerability Response an, die kürzlich von CISA veröffentlicht wurden.

Welche Arten an Ransomware-Angriffen gibt es?

Es gibt verschiedene Arten an Ransomware-Angriffen. Die klassische Form ist die Datenverschlüsselung. Es kommen aber auch zwei- und dreifache Erpressungsangriffe vor. Bei einem zweifachen Erpressungsangriff verschlüsselt Ransomware Ihre Daten nicht nur, sondern stiehlt sie auch. Bei einem dreifachen Erpressungsangriff werden die Geräte verschlüsselt und Ihre Daten gestohlen. Der Angreifer kann es sogar noch weitertreiben und in Ihrem System die Daten Ihrer Kunden und Lieferanten ermitteln, um diese ebenfalls zu erpressen.

Stiehlt Ransomware Daten?

Am häufigsten bringen wir Ransomware mit Datenverschlüsselung in Zusammenhang. Doch eine zunehmend auftretende Art von Ransomware nutzt Exfiltration. Das bedeutet, dass der Angreifer Daten aus Ihrer Umgebung stiehlt und Ihnen androht, die Daten zu veröffentlichen, wenn Sie das Lösegeld nicht zahlen.

Wie verbreitet sich Ransomware?

Ransomware kann sich auf verschiedene Arten verbreiten. Eine häufige Methode sind Phishing-E-Mails. Und sobald der Angreifer einmal im System ist, sind die Möglichkeiten grenzenlos. Nur eine einzige Schwachstelle ist notwendig, um Ihre Umgebung zu infizieren und im Handumdrehen lahmzulegen.

Mit welcher Lösung können Sie Ihre wichtigsten Daten vor Ransomware-Angriffen schützen?

Die meisten Unternehmen wünschen sich einfach einen zuverlässigen Schutz vor Ransomware. Aber eigentlich ist das heute nicht mehr machbar. Die aktuellen Angreifer suchen ständig nach neuen Möglichkeiten, um Umgebungen zu infiltrieren und ihre Ransomware darin zu platzieren. Eine solide IT-Sicherheitsstrategie ist zwar bis zu einem gewissen Grad ein guter Schutz vor Ransomware, aber vermeiden lässt sich ein Angriff heutzutage kaum noch.

Deshalb besteht die beste Lösung in einer soliden Backup-Strategie mit Immutable Backups, sodass Ihre gesicherten Daten nicht von Angreifern verschlüsselt oder gelöscht werden können.

Wie viele Arten von Ransomware gibt es?

Es gibt zahllose Arten von Ransomware, und jeden Tag kommen neue dazu. Weit verbreitet sind REvil, Conti und DarkSide.

Aber ganz egal, wie sie heißen: Wichtig zu wissen ist, dass es sich bei den Angreifern im Grunde um richtige IT-Unternehmen mit eigenen Entwicklern handelt, die ihre Ransomware ständig verfeinern und gefährlicher machen.

Wie lange dauert nach einem Ransomware-Angriff eine Wiederherstellung?

Es gibt Horrorstories darüber, wie lange es nach einem Angriff dauert, Daten wiederherzustellen – falls es überhaupt gelingt. Man hört von Wochen und Monaten. Aber das darf nicht passieren.

Ganz so wie Disaster-Recovery-Pläne können und sollten auch Wiederherstellungspläne existieren und regelmäßig getestet werden. Ihr Disaster-Recovery-Plan ist tatsächlich ein guter Anfang, wenn Sie nach einem Ransomware-Angriff Ihre Systeme wiederherstellen müssen – zumindest solange er aktuell und gründlich geprüft ist.

Und sobald Sie Ihre Wiederherstellungsstrategie getestet haben, können Sie versuchen, sie weiter zu optimieren, um die Anforderungen des Business zu erfüllen. Dabei helfen zum Beispiel zusätzliche Infrastrukturen in Ihrer IT-Umgebung.

Die Wiederherstellung nach einem Ransomware-Angriff muss also nicht lange dauern. Garantieren können Sie das jedoch nur durch gründliche Tests.

Wie schnell erfolgt eine Verschlüsselung durch Ransomware?

Das ist davon abhängig, welche Ransomware es auf Ihr System abgesehen hat. Die Angreifer versuchen ständig, ihre Software zu optimieren, damit sie besonders schnell ist und so viel Schaden wie möglich anrichtet, bevor das IT-Team überhaupt merkt, was passiert.

So nutzt die REvil-Ransomware zum Beispiel Multithread-Prozesse, damit die Ressourcen des angegriffenen Systems helfen, die eigenen Daten zu verschlüsseln.

Kann man durch Ransomware verschlüsselte Daten wieder entschlüsseln?

Ransomware-Angreifer behaupten zwar, dass sie Ihre Daten wieder entschlüsseln, wenn Sie das Lösegeld zahlen, aber das funktioniert nicht immer. Und vor allem ist nach einer Entschlüsselung die Integrität der Daten nicht mehr gewährleistet. Selbst wenn Sie einen Server nach einem Angriff entschlüsselt bekommen, muss er unbedingt aus einem sauberen Backup wiederhergestellt werden.

Wird Ransomware durch Neuinstallation von Windows entfernt?

Nein, durch eine einfache Neuinstallation von Windows auf einem infizierten Rechner wird die Ransomware nicht entfernt. Das gelingt nur durch komplettes Löschen des Systems und Neuinstallieren von Windows, aber dabei verlieren Sie all Ihre Daten, falls Sie sie nicht vorher gesichert haben.

Stiehlt Ransomware personenbezogene Daten?

Die Ransomware-Angreifer lernen, Schwachstellen in der Umgebung zu finden. Dadurch können sie zielgerichtet die wichtigsten Daten in einer Umgebung verschlüsseln, zu denen personenbezogene Daten von Kunden und Mitarbeitern, aber auch Finanz- und proprietäre Informationen gehören. Die Angreifer möchten schließlich sicherstellen, dass Sie gezwungen sind, das Lösegeld zu zahlen.

Bei einer Wiederherstellung nach einem Ransomware-Angriff müssen Sie vieles beachten. Am wichtigsten ist es, Maßnahmen zu ergreifen, mit denen Sie Ihre Umgebung schon schützen, noch bevor die Attacke erfolgt. Achten Sie darauf, alle Schwachstellen zu beheben, damit die Ransomware keinen Angriffspunkt findet. Schulen Sie außerdem Ihre Mitarbeiter zum Thema Cybersicherheit, sodass sie nicht auf verdächtig aussehende Links klicken, über die die Ransomware ins System gelangt.

Nicht zu vergessen: sichere Backups. Sie brauchen Immutable Backups, die die Ransomware weder verschlüsseln noch löschen kann. Und: Testen Sie Ihren Wiederherstellungsprozess. Dadurch stellen Sie sicher, dass im Falle einen Angriffs Ihre Backups funktionieren und Sie Ihre RTOs erreichen.

Laden Sie das Ransomware Prevention Kit von Veeam herunter, um mehr darüber zu erfahren, wie Sie Ihre Daten vor Ransomware schützen.

 

NEU
V11A

Vermeiden Sie Datenverlust
Schützen Sie sich vor Ransomware

#1 Backup- und Wiederherstellungslösung

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.