Ransomware verliert seinen Schrecken!

8. Dezember 2016

In unterschiedlichen Zeitabständen sorgen Ransomware-Attacken für eine konzentrierte Berichterstattung, beispielsweise über den bösen „Locky-“, den perfiden „Petya-“ oder den aktuellen „Goldeneye-Trojaner“. Der Aufruhr ist groß, Infektionswege werden analysiert, Versuche gestartet, um die verschlüsselten Daten im Nachhinein wieder lesbar zu machen. Derartige Angriffe entwickeln sich zum Tagesthema Nummer Eins, die Mitarbeiter werden gewarnt, Details zu den Angriffen bekannt, und eine gewisse Panik macht sich bei einigen breit. Dem entgegen stehen lässige Aussagen der IT-Systembetreuer, demnach dieser Art von Trojaner nicht an den ausgeklügelten Sicherheitsmaßnahmen vorbeikommen wird – hoffentlich.

Dabei stellt sich die Frage: Ausgeklügelte Ransomware-Attacken sind seit langen bekannt, warum unternehmen manche Firmen, IT-Mitarbeiter und Anwender nichts Konkretes dagegen? Stellt man diese Frage den Betroffenen, kommen meist folgende Argumente:

  • Der Virenschutz konnte den Schädling nicht entdecken.
  • Die Firewall sollte diese Malware eigentlich herausfiltern.
  • Der neue Schädling ist durchdacht, da fallen viele drauf rein. Es wird auch schon überall darüber berichtet.
  • Der Trojaner hat auch die angeschlossene Backup-Festplatte verschlüsselt, da kann man nichts dagegen machen.

Oberflächlich betrachtet können diese Punkte als schlüssige Argumente gelten. Bis zur Identifikation neuer Schädlinge können diese ja „ungehindert“ wüten, weil beispielsweise Firewalls oder Virenscanner nicht auf deren verhalten anspringen. Wenn die Maleware nicht bekannt ist, helfen reaktive Systeme kaum weiter. Auch Schulungen von Mitarbeitern, keine Email-Anhänge zu öffnen, die fragwürdig erscheinen, helfen nicht unbedingt weiter.

Denn inzwischen werden direkt Personalabteilungen und deren Mitarbeiter namentlich angeschrieben. Die Angreifer schneidern die entsprechen verseuchten Emails passend auf die jeweiligen Personen zu, und erhöhen damit die Öffnungsrate massiv. Denn oftmals glauben die Personalchefs wirklich, eine offizielle Bewerbung für eine tatsächlich zu vergebene Stelle vor sich zu haben.

Aber all diese Punkte gelten in der Sicherheitsbranche als „ein alter Hut“. Phishing-Emails, Social Engineering, unbekannte Malware, Zero-Day-Exploits, Anrufe von „vermeintlichen Administratoren“ zur Passwortbestätigung, Drive-By-Downloads, verseuchte Webseiten sind seit langen bekannt. Man könnte sagen „im Westen nichts Neues“.

Warum erkennen manche Unternehmen, IT-Sicherheitsberater, Systembetreuer und Anwender nicht das Problem? Reaktive Schutzmaßnahmen alleine sind unter Umständen wirkungslos. Backup-Datensätze auf angeschlossenen Medien (etwa USB-Festplatten) werden von den Erpressungstrojanern unter Umständen ebenfalls befallen. Das gleiche Problem gilt für Netzlaufwerke. Sind diese mit dem betroffenen Client verbunden (gemappt), können die Daten unbrauchbar gemacht werden.

Problemlösung

Zur Lösung derartiger Probleme lassen sich unterschiedliche Wege beschreiten. Generell geht es darum, im Vorfeld derartige Angriffe ins „Leere“ laufen zu lassen, oder die Auswirkungen nach einer Infektion rückgängig zu machen. Daher sollten die Unternehmen in Betracht ziehen, auf den gesamten Clients ein ausgeklügeltes Rechte-Management zu etablieren. Dies ist auch mit Windows-Bordmitteln ohne weiteres möglich: Beispielsweise die Berechtigungen der Mitarbeiter zu so setzen, dass keine Installationen mit den „normalen“ Benutzerrechten möglich sind.

Für Backup-Vorgänge kann dieses System ebenfalls herangezogen werden. Etwa wenn sämtliche Administratoren- sowie Benutzer-Accounts kleine Schreibrechte für das Backup-Laufwerk aufweisen. Einzig und allein ein speziell eingerichteter „Backup-User“ wird mit vollen Zugriffrechten definiert. Wichtig dabei: Das Backup-Programm oder das Sicherungs-Skript muss mit den entsprechenden Berechtigungen aufgerufen werden. Der Backup-User sollte auch nicht „Backup-User“ als Bezeichnung tragen, sondern vielleicht eher „MrMarvin“ oder etwas ähnlich Unauffälliges. Auch die Passwörter sollten verschlüsselt abgespeichert werden, dies lässt sich über Drittanbieter-Tools oder auch mit der Windows-Powershell „erledigen“. Dazu kann beispielsweise bei der Erstellung einer entsprechenden Credentials-Variable die Klasse  „Secure String“ eingesetzt werden.

Etwas aufwendiger aber noch effizienter: Für die Clients werden entsprechende Sandbox-Umgebungen eingesetzt. Sprich für jedes geöffnete Programmfenster oder für jedes Dokument wird eine abgeschottete Umgebung erzeugt. Aus diesen Sandboxen können dann die Viren, Trojaner, Würmer und sonstige Schädlinge nicht „ausbrechen“. Dabei könnten beispielsweise für besonders gefährdete Anwendungen (etwa Browser) eine entsprechende Lösung implementiert werden. Soll wirklich das komplette (Betriebs-) System entsprechend abgeschottet werden, spricht man auch von „Content Isolation“. Unter anderem bietet Avecto mit seiner Software „Defendpoint“ eine entsprechende Lösung an.

Auch eignen sich für bestimmte Einsatzzwecke sogenannte „Kiosk-Systeme“. Dabei werden Änderungen am Datenbestand der Massenspeicher nicht persistent gespeichert. Beispielsweise indem man die Schreibzugriffe in eine RAM-Disk umleitet. Nach einem Neustart befindet sich das System wieder im „Urzustand“. Hierbei muss darauf geachtet werden, dass keine Verbindung zu Netzlaufwerken besteht, auf denen wichtige Daten lagern. Denn falls die Infektion nicht erkannt wird, hat der Schädling (bis zum nächsten Neustart) zeit, den Schaden auf erreichbaren Laufwerken anzurichten. Hier hat beispielsweise „SiteKiosk“ einiges in Petto.

Eine ausgefeilte Backup-Strategie mit „Offline-Medien“ macht entsprechend verseuchte Systeme wieder „flott“. Hierbei können zwar unter Umständen einige Daten verloren gehen, etwa wenn die Sicherung vom Vorabend eingespielt wird, aber im Vergleich zu einem komplett verschlüsselten (Geschäfts-) Datenbestand ist dies immer noch eine gute Alternative. Hier eiggnen sich prizipiell alle „klassischen“ Backup-Medien wie etwa Magnetbänder, REV-Laufwerke, optische Medien und auch USB-Laufwerke. Wichtig ist dabei vor allem, dass die jeweiligen Backup-Speichermedien nach dem Backup-Vorgang „ausgeworfen“ werden. Somit können Sie physikalisch nicht mehr von den Ransomware-Attacken tangiert werden.

Florian Huttenloher

Lesen Sie auch