Angriffe durch Ransomware erleben seit 2019 eine Renaissance. Das Geschäft mit der Erpressung ist nach wie vor sehr lukrativ. Klassische Schutzmaßnahmen stehen der Bedrohung hilflos gegenüber. Und immer öfter rücken Enterprise-Backups in den Focus von Ransomware-Attacken. Warum das so ist und was ein wirklich wirksamer Schutz ist, erfahren Sie in diesem Artikel, erschienen auch in IT-Business Online.

Was ist Ransomware überhaupt?

Der 2020 Data Breach Investigations Report von Verizon deckt auf: 86% aller Cyberangriffe sind finanziell motiviert, hinter 55% der Attacken stecken kriminelle Organisationen. Von gezielten Angriffen über das Finden und Ausnutzen von Schwachstellen bis zum Einsatz schadhafter Software ist den Crackern dabei jedes Mittel recht.

Die so genannte encrypting ransomware ist eine Form solch schadhafter Software (den meisten auch als Malware bekannt). Eine Ransomware zielt darauf ab, Unternehmensdaten durch Verschlüsselung unbrauchbar zu machen. Anschließend wird von den betroffenen Firmen Lösegeld erpresst. Das Lösegeld soll meistens in Form von Kryptowährungen (z. B. Bitcoin) gezahlt werden. Das hat einen guten Grund: Konten für solche Kryptowährungen sind meistens anonym – wer dahinter steckt, lässt sich kaum feststellen.

Die Ransomware CryptoLocker nutzte 2013 als Erster eine für militärische Zwecke geeignete Verschlüsselung – und speicherte die für die Entschlüsselung notwendigen Schlüssel nicht mehr lokal, sondern erstmals remote auf einem Server im Netz. Das war so effektiv, dass diese Mechanismen bis heute angewendet werden. Prominente Vertreter der Neuzeit sind WannaCry und Petya (beide 2017), Ryuk (2018) oder Sodinokibi (2019). Mittlerweile entdecken die Angreifer zudem das volle Cloud-Potential und suchen bzw. attackieren ihre Ziele u. a. über Managed Serives Provider (MSPs). Cybersecurity Ventures verzeichnete 2019 alle 14 Sekunden einen Angriffsversuch durch Ransomware.

Kein Backup. Keine Wiederherstellung.

Mit Samas betrat 2017 ein weiterer gefährlicher Mitspieler die Cyberbühne der Kriminalität. Samas hat es gezielt auf Backups abgesehen – genau gesagt auf Veeam-Backups. Während die üblichen Verdächtigen sich damit begnügen, Volume Shadow Copies (Snapshots) zu löschen, verschlüsselt Samas über einen längeren Zeitraum unbemerkt Backupdaten. Das Lösegeld wird erst nach 30 Tagen oder später eingefordert. Die Angreifer kalkulieren mit der Sparsamkeit der Unternehmen: Aus Kosten- und Platzgründen werden Backups oft innerhalb eines Monats vollständig überschrieben. Eine Studie des Uptime Institute ergab, dass – nur oder immerhin? – 68% der Unternehmen in der Lage sind, kurzfristig ihre Daten wiederherzustellen.

Warum sind Angreifer immer wieder erfolgreich?

Laut einer Umfrage der Allianz für Cybersicherheit im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben ein Drittel aller Befragten zugegeben, von Ransomware betroffen gewesen zu sein. 75% der Infektionen waren auf kompromittierte Dateianhänge zurückzuführen. Für Furore sorgte im Oktober 2019 er Angriff auf den Maschinen und Anlagenbauer Pilz GmbH & Co. KG. Auf dem Maschinenbau-Gipfel spricht Geschäftsführer Thomas Pilz offen über den Hackerangriff auf sein Unternehmen.

Spam- und Phishing-Emails machen nach wie vor knapp die Hälfte der Angriffsversuche aus. Ihren Erfolg verdanken sie vor allem unzureichend geschulten Mitarbeitern. Fehlkonfigurationen, ungeschützte Schwachstellen in Hard- und Software und social engineering tragen ebenfalls ihren Teil zur Bedrohungslage bei. Zum Schutz wird aufgeboten, was die IT-Sicherheitsbranche hergibt: Firewalls, Antiviren- und -malware-Programme, Awareness-Trainings und so weiter und so fort.

IT-Sicherheit ist entweder schwarz oder weiß.

Die meisten Sicherheitsvorkehrungen scheitern schon auf Grund ihres Ansatzes (failure by design). Klassische Sicherheitslösungen – allen voran Cisco, Checkpoint und Fortinet mit zusammen 33% Marktanteil – setzen nach wie vor auf Blacklisting.

Moderne Firewalls wie die Next Generation Firewall von Palo Alto schafft es inzwischen immerhin auf stolze 12% Marktanteil, andere NGFW wie die von Barracuda oder die LANCOM R&S®Unified Firewalls rangieren maximal unter ‚Sonstige‘. (Quelle Statista)

Dabei hat gerade diese Technologie das Potential für einen wirksamen Schutz vor den immer perfider agierenden Angreifern. Das Geheimnis der neuen Generation Firewalls heißt Whitelisting. Das hat gegenüber dem traditionellen Blacklisting viele Vorteile. Um die zu verstehen, erklären wir zunächst die Funktionsweise von Blacklisting und warum es den Krieg gar nicht gewinnen kann.

Beim Blacklisting wird alles blockiert, was als böse bekannt ist. Das Problem dabei? Was man nicht kennt, kann man nicht abwehren. So genannte Zero-Day-Exploits (unbekannte Angriffsmuster) machten 2019 immerhin 36% der Angriffe aus. Das Ponemon Institute hat herausgefunden, dass es durchschnittlich 191 Tage dauert, eine solche Schwachstelle zu erkennen (Mean Time To Identify, MTTI). Weitere 69 Tage werden benötigt, sie zu beseitigen (Mean Time To Contain, MTTC).

Anders sieht es beim Whitelisting aus. Hier werden Anwendungen und Muster definiert, die als vertrauenswürdig bekannt sind. Das funktioniert an vielen Stellen der IT Infrastruktur. Mit Application Whitelisting schützen Sie auch ihre Backup-Daten davor, von unautorisierter Software manipuliert zu werden.

Blocky for Veeam® schützt Backups effektiv – mit Whitelisting

Wie macht Blocky for Veeam® das? Blocky for Veeam® erstellt eine Signatur von dem für das Backup zuständigen Prozess. Das ist vergleichbar mit einem Fingerabdruck. Dieser ist einmalig und dient als Muster für die Zugriffserkennung. Fordert nun ein Prozess Schreibzugriff auf das Backup an, vergleicht Blocky for Veeam® den Fingerabdruck des Prozesses mit dem Muster in der Whitelist. Entspricht der Fingerprint nicht dem Muster, wird der Zugriff blockiert. Das funktioniert auch für unbekannte Angriffsszenarien wie die zuvor genannten Zero Day Exploits.

Blocky for Veeam® sollte also auf jeden Fall Ihre letzte Verteidigungslinie sein. Nicht überzeugt? Vereinbaren Sie Ihre Live-Demo für Blocky for Veeam®.

Blocky for Veeam® ist ein gemeinsames Produkt der GRAU DATA GmbH und Cristie.Partners. Reseller erhalten attraktive Konditionen. Registrieren Sie sich online für das Partnerprogramm. Ihr Ansprechpartner Jörg Vogel freut sich Ihre Kontaktaufnahme.