Die stärkste Kombination bei der Bekämpfung von Ransomware

Ransomware-Attacken sind immer wieder ein Thema in den Nachrichten. Beinahe täglich findet man Berichte über Unternehmen, die exorbitante Lösegeldforderung für entwendete Daten erhalten. Einem aktuellen Gartner-Bericht zufolge „werden bis 2025 mindestens 75 % der IT-Organisationen mit einem oder mehreren Angriffen konfrontiert sein, da im Jahr 2020 ein dramatischen Anstieg der Ransomware-Angriffe verzeichnet wurde, der auf mindestens siebenfache Wachstumsraten hindeutet“.

Darüber hinaus zeigt der Verizon 2021 Data Breach Investigations Report, dass Server die häufigsten Angriffsziele sind. Da auf Servern (oder virtuellen Maschinen mit Windows Servern) die meisten wichtigen Anwendungen laufen, können Unternehmen durch Ransomware-Angriffe praktisch lahmgelegt werden.

Managed Service Provider (MSPs) stehen vor der Herausforderung, einen umfassenden Ansatz zum Schutz ihrer Kunden vor Ransomware-Angriffen zu entwickeln. Von der 24/7-Echtzeitüberwachung bis hin zur Schadensbegrenzung und der Wiederherstellung von Daten –die Erwartungen an MSPs sind groß.

Datto hat es sich zur Aufgabe gemacht, MSPs optimal zu unterstützen und ihnen die führenden Lösungen der Branche zur Verfügung zu stellen. Das Zusammenspiel von Datto RMM mit Echtzeit-Ransomware-Erkennung und -Eingrenzung auf der einen und Datto BCDR Recovery auf der anderen Seite ist die stärkste Kombination für die Bekämpfung von Ransomware. Mit den beiden Lösungen wird die allgegenwärtige Cyber-Bedrohung Ransomware mit den folgenden vier
Schritten bekämpft:
1. Alarmieren
2. Isolieren
3. Schaden begrenzen
4. Wiederherstellen

Es gibt keine wasserdichte Methode, um einen Ransomware-Angriff komplett zu verhindern, aber die Auswirkungen einer solchen Attacke können minimiert werden, damit sich das betroffene Unternehmen schnell wieder dem normalen Tagesgeschäft widmen kann. In diesem Blog gehen wir detailliert auf die vier Schritte ein, mit denen Sie einen Ransomware-Angriff bekämpfen und
sich davon erholen können.

Schritt 1: Alarmieren

Wenn ein System nicht rund um die Uhr überwacht wird, können Ransomware-Angriffe lange unentdeckt bleiben. Wenn ein Benutzer etwas Verdächtiges meldet, z. B. dass der Zugriff auf Dateien nicht mehr möglich ist oder ein Popup-Fenster mit einer Ransomware-Notiz erscheint, ist es bereits zu spät.

Worauf müssen Sie achten? Im Allgemeinen suchen Lösungen zur Überwachung und Erkennung von Ransomware in Echtzeit nach Krypto-Ransomware, indem sie das Verhalten von Dateien analysieren. Sobald sie ein infiziertes Gerät entdecken, wird eine Warnung gesendet. Bei der Dateianalyse wird unter anderem nach bekannten Dateierweiterungen wie .crypt, einer Zunahme der Häufigkeit von Dateiumbenennungen oder Löschvorgängen, der Messung der Entropie und
vielen anderen Änderungsereignissen gesucht. Aber das ist noch nicht alles: Um sicherzustellen, dass ein Server nicht angegriffen und mit Ransomware infiziert wird, sollte auch der Start neuer Prozesse in Windows, etwa beim Systemstart, überwacht werden.

Darüber hinaus können eine Zunahme des Netzwerkverkehrs oder ungewöhnliche System-zu-System-Verbindungen Hinweise darauf sein, dass ein Ransomware-Angriff aktiv ist oder bevorsteht. Eine Möglichkeit für Angreifer, Windows-Systeme auszunutzen, ist das Single-Sign-On (SSO). Wenn ein Kennwort in Windows erstellt wird, wird es als Hash im Security Accounts Manager (SAM), im Active Directory (AD) oder anderswo gespeichert. Wenn sich ein Administrator in Windows Server anmeldet, werden seine Kennwortdaten zurückgelassen.
Angreifer fangen das Passwort-Hash ab und verwenden es, um auf andere Systeme im Netzwerk zuzugreifen. Diese Technik wird als Pass-the-Hash (PtH) bezeichnet.

Dattos RMM bietet eine 24/7-Überwachung aller Endgeräte, einschließlich Windows-Servern. Es sucht nach Anomalien und sendet sofort eine Warnung, wenn es mögliche Ransomware-Aktivitäten findet. Da Datto RMM alle Computer im System überwacht, spürt die Lösung alle Angriffsversuche schnell auf.

Schritt 2: Isolieren

Sobald ein Ransomware-Angriff entdeckt wird, muss der betroffene Server schnellstmöglich isoliert werden, um den Angriff vor der Ausbreitung einzudämmen. PtH-Angriffe verbreiten sich schnell innerhalb des Netzwerks und treten oft außerhalb der üblichen Geschäftszeiten auf, sodass Bereitschaftstechniker und Network Operations Center (NOCs) nicht rechtzeitig reagieren können.

Die Ransomware-Erkennung von Datto RMM isoliert mit Ransomware infizierte Geräte und stellt sicher, dass sich der Angriff nicht auf andere Netzwerkgeräte ausbreiten kann. Der Remote-Zugriff auf die betroffenen Geräte bleibt währenddessen über die RMM-Konsole erhalten. Dieser Schritt ist wichtig für die Unterstützung von DFIR-Aktivitäten (Digital Forensics and Incident Response) und verschafft Technikern und dem Security Operations Center (SOC) mehr Zeit, um Beweise zu sammeln und die nächsten Schritte Ihrer Maßnahmen durchzuführen.

Cloudbasierte Schnittstelle für Datto RMM zur Isolierung eines infizierten Geräts

Schritt 3: Schaden begrenzen

Neben der Isolierung des betroffenen Geräts ist ein weiterer wichtiger Schritt, die Angreifer aus dem betroffenen System zu entfernen. Nur so kann die weitere Verbreitung eingedämmt und die Verschlüsselung weiterer Daten verhindert werden.

Die Schadensbegrenzung umfasst neben der Isolierung des Geräts und dem Versuch, den Ransomware-Prozess zu beenden, noch viele weitere Schritte. So kann beispielsweise das Zurückstellen der BIOS-Uhr vor Ablauf des Ransomware-Zeitfensters die Ablauffrist verzögern. Die Bestimmung des Zeitpunkts, an dem die Ransomware-Infektion angefangen hat, ist ebenfalls wichtig. So kann festgestellt werden, wie weit man bei der Wiederherstellung von Backups zurückgehen muss. Schließlich gibt es Ressourcen wie die Organisation No More Ransomware, die Entschlüsselungstools für einige bekannte Ransomware anbieten.

Datto RMM versucht, den Ransomware-Prozess zu beenden, während das betroffene Gerät automatisch vom Netzwerk isoliert wird. Im Gegensatz zu Lösungen, die das Gerät isolieren und damit unzugänglich machen, haben Techniker weiterhin über die RMM-Konsole Zugriff, um den Angriff zu untersuchen und zu entschärfen.

Cloudbasiertes Datto RMM zeigt eine Ransomware-Warnung an

Schritt 4: Wiederherstellen

Nachdem der Server oder die virtuelle Maschine isoliert wurde, muss das System mit dem jüngsten Recovery Point und Backup wiederhergestellt werden, das nicht vom Angriff betroffenist.

Der Umfang der durch den Angriff infizierten Daten entscheidet über den Grad der
Wiederherstellung. Im Allgemeinen wird eine von fünf Arten der Wiederherstellung verwendet.

• Wiederherstellung auf System-Image-Ebene
• Lokale sofortige Virtualisierung
• Bare-Metal-Wiederherstellung
• Wiederherstellung auf Dateiebene
• Cloudbasierte Wiederherstellung

Cloudbasierte Wiederherstellungsplattform für Datto SIRIS BCDR

Fazit

Um den Kampf gegen Ransomware zu gewinnen, benötigen MSPs ein Toolkit, das nicht nur eine 24/7-Überwachung bietet, sondern auch die Möglichkeit, die weitere Verbreitung von Ransomware einzudämmen und die betroffenen Systeme wiederherzustellen. Datto bietet mit dem Zusammenspiel von Datto RMM inklusive Echtzeit-Ransomware-Überwachung und -Abschwächung sowie Datto BCDR die stärkste Kombination für eine zuverlässige, schnelle Wiederherstellung.