Ransomware - Fiktive Story

Die ersten vier Monate im Jahr 2021 waren herausfordernd und ich habe durch verschiedene Vorfälle bei Kunden viele neue Erkenntnisse gewonnen. Alle Kunden haben sich irgendwie eine Malware eingefangen. Ich werde hier natürlich keine Namen nennen aber die Fragestellungen, Erkenntnisse und Ergebnisse sind von allgemeinem Interesse.

Ich habe schon gewonnen, wenn viele Firmen endlich das Risiko ernst nehmen und sich darauf vorbereiten. Siehe dazu auch Firmen werden gehackt

Ransomware -Fiktive Story
https://www.youtube.com/watch?v=C_UgTLZmZQI

Der Vektor

Eine Malware ist "Code", der auf ihren Servern ausgeführt wird und dazu dort erst mal hinkommen und dann gestartet werden muss. Meist wird einer der folgenden Wege genutzt:

Szenario Harte Schutzmöglichkeiten Weiche Schutzmöglichkeiten

Anwender startet Malware

Meist fällt der Anwender auf eine Mail mit einer Anlage oder einen Link herein, der ausführbaren Code (Skript, Office Makro, Exe etc.) als Anwender ausführt. Das reicht schon aus, um die Daten zu verschlüsseln, die der Anwender erreichen kann. Er kann sich auch intern weiter verteilen und weitere Mitarbeiter überraschen.

Meist ist diese Malware nicht so pfiffig, selbst weitere Lücken auf Servern auszunutzen aber das kann nicht verallgemeinert werden. Der Angreifer kann durchaus auch eine RemoteShell installieren oder vielleicht Kennworteingaben simulieren und diese ausleiten. Womit wir dann zum nächsten Vektor kommen

  • Blockieren von Office-Makros und Skripte
  • Applocker
  • Benutzer-Sensibilisierung
  • Antivirensoftware
  • IDS-Systeme
  • bessere Spamfilter
  • HTTP-Proxy-Schutz
  • Strengere Firewall-Regeln

Anwender verliert Kennwort -> VPN, RDP u.a.

Je mehr Anwender in ihrem Netzwerk arbeiten, desto eher kann ein Angreifer eine gültige Username/Kennwort-Kombination erhalten. Anwender nutzen oft das gleiche Kennwort bei mehreren Diensten oder können leicht erraten werden.

Der Angreifer kann damit sich wie ein Client "in ihre Netz" verbinden oder per RDP/ICA direkt auf einem "Client" in ihrem Netzwerk zumindest als DomainUser arbeiten. Je nach Policies kann er dann versuchen, andere Server im LAN zu attackieren um mehr Rechte zu erhalten.

  • MFA
  • Smartcard / Zertifikate
  • Anmeldebeschränkungen auf PCs
  • Passwordless Authentication
  • Windows Hello for Business
  • Benutzer-Sensibilisierung
  • Starke Kennworte
  • Getrennte Konten (User/Admin) bzw. PIM
  • Anmeldeüberwachung
  • Verhaltenserkennung

Sicherheitslücken

Die Exchange Administratoren sollten spätestens seit Hafnium Exploit wissen, dass der Zugang per OWA auch eine Lücke sein kann, wenn Sie nicht zeitnah patchen. Es gibt aber noch viel mehr Lücken, die Einbrechern den Zugang ermöglichen. Dazu gehören Terminal Server (RDP und Citrix), Router, Mailserver  und selbst VPN-Systeme und Firewalls erscheinen in der Liste. Sie als Ziel gehören also entweder zu den "interessanten" Kunden, denen sich Angreifer individuell widmen oder zu den "patchfaulen" oder weniger sicheren Firmen, denen sich Angreifer automatisiert zuwenden, wenn der Patch veröffentlicht und damit auch die Lücke offengelegt wird.

Angreifer brauchen nur geringe Mittel, um schon vorab die erreichbaren Systeme zu ermitteln und sobald eine Lücke bekannt wird, ist es eher eine Wettrennen, welcher Angreifer zuerst die Flagge erobert.

  • Pre-Authentication, wenn möglich
  • Benachrichtigung
  • Aktuelle Software
  • Patch-Strategie
  • Segmentierung

Harte Schutzmechanismen sind geeignet, diesen Missbrauch sehr stark zu erschweren. Sie sind aber nicht immer möglich und "unbequem". Weiche Schutzmaßnamen können die Auswirkungen reduzieren, den Schaden verringern. Ich habe in beiden Spalten nur Beispiele aufgeführt. Es gibt noch weitere Möglichkeiten.

In allen Fällen kann der Angreifer eines ihrer Systeme nutzen, eine Verbindung herstellen, Daten und Code übertragen und diesen starten.

Angreifer

Jeder, der einen Dienst im Internet bereitstellt, sollte davon ausgehen, dass er bereits "besucht" wurde. Ob der Zugriff aus Sicht des Angreifers erfolgreich war, steht auf einem anderen Blatt. Nicht immer meldet sich ein erfolgreicher Angreifer bei ihnen. Es gibt nämlich unterschiedliche Beweggründe für die Infiltrierung eines fremden Netzwerks. Es gibt immer ungeschützte Systeme und unvorsichtige Anwender und mit Phishing/Spam-Mails oder Angriffe mit Account/Kennwort-Listen versuchen Angreifer verwundbare Systeme hochautomatisiert zu finden. Wenn Sie noch keine entsprechenden Meldungen bekommen haben, dann ist vielleicht ihre Protokollierung einfach nicht passend eingestellt.

  • Skript Kiddies
    Es gibt weniger versierte Angreifer, die bekannte Lücken oder Kennwortlisten nutzen, um primäre eine Drohkulisse aufzubauen (.. ich habe sie gefilmt wie sie .. sie wissen schon..) oder Daten zu verschlüsseln und Lösegeld zu kassieren. Oft "erwischt" es Privatanwender. Die Payload kann aber auch Massenmails senden oder Webseiten kapern (z.B. Wordpress) um eine Infrastruktur für weitere Angriffe aufzubauen.
  • Firmen-Angreifer zwecks Lösegeld
    Hier geht es darum, Firmen zu knacken. Die Wege sind ähnlich aber hier lohnt sich auch etwas mehr der Aufwand (Social Engineering etc.) denn wer drin ist, kann Daten abziehen und mit der Veröffentlichung drohen oder Daten verschlüsseln. Es haben sich sogar schon Angreifer bei Kunden gemeldet, wenn es "Probleme" mit Bitcoin-Bezahlungen gibt. Gerade Verschlüsselungstrojaner sind hier interessant, da "gute" Angreifer die Plattform selbst nicht schädigen. Oft werden "C:\Windows" und "C:\Programme" ausgespart und nur andere Verzeichnisse auf Servern oder "C:\Users" oder "C:\Inetpub" verschlüsselt. Nicht jede "umbenannte" Datei ist auch immer verschlüsselt worden. Es soll sogar Angreifer geben, die per "Remote Support" bei der Entschlüsselung mithelfen. Es wäre ja geschäftsschädigend, wenn sie nach einer Zahlung dennoch nichts bekommen.
  • "geheime" Angreifer
    Es dürften oft staatliche Akteure sein, die möglichst unbemerkt und lange sich in einer Firma tummeln wollen, um Informationen zu sammeln oder Hintertüren für den Tag-X installieren. Dazu würde ich z.B. die Akteure beim Bundestags-Einbruch, Postfächer von Politikern etc. zählen.

Ihnen sollte immer bewusst sein, dass hier eine Durchlässigkeit und Arbeitsteilung besteht und gültige Zugänge auch gehandelt werden.

Die Erkennung

Zumindest bei den beiden ersten Angreifer-Klassen werden sie in der Regel sehr schnell bemerken, dass etwas "komisches" passiert. Sie können einfach nicht mehr auf ihre Daten zugreifen, da sie verschlüsselt sind oder Zugänge blockiert wurden und irgendwo eine Information zur "Lösung" hinterlegt wird. Früher war "Emotet" ein großer Schadcode. Es gibt aber sehr viele Tools. Hier mal Bilder eines Systems, welches durch NEFILIM verschlüsselt wurde. Die Dateien wurden nach der Verschlüsselung auch umbenannt.

In jedem Verzeichnis lag dann eine neue Datei mit den Namen "NEFILIMHELP.TXT" mit folgenden Inhalt.

Anscheinend sind tutanota.com und protonmail.com sehr "verschwiegene" Mailserver, die eine Nachverfolgung für Strafverfolger zumindest erschweren. Die Erpresser bieten die Verschlüsselung von zwei Dateien an und behaupten, dass Sie Kopien haben, die sie auf einer Webseite öffentlich machen. Natürlich könnten Sie von einem Fake ausgehen, denn warum sollten Sie verschlüsselte Dateien senden, wenn die Angreifer auch die unverschlüsselten Kopien haben? Leider ist das aber auch nicht auszuschließen, dass zumindest ein Teil der Information auch ausgeleitet wurde. Hier kann eine Kontrolle der Firewall-Logs auf Datenmengen helfen. Allerdings muss ein Angreifer ja nicht alles exportieren. Ein Extrakt der Geschäftsführermailbox und ein LDIFDE-Export des Active Directory mit personenbezogenen Daten ist Beweis genug, dass der Angreifer viel Macht hat oder hatte.

Das ist dann die Aufgabe der Forensiker, anhand von Logdateien etc. den Umfang und den Schaden einzuschätzen. Hoffentlich haben Sie halbwegs aktuelle Backups und können eine Downtime mehrerer Tage überstehen. Denken Sie aber auch daran, dass es selbst nach der Zahlung einige Zeit dauern wird, bis sie wieder "online" sind und wenn Sie die eigentliche "Lücke" nicht schließen, wiederholt sich der Vorfall irgendwann wieder.

Die Wahrscheinlichkeit ist sogar recht hoch, dass die Entschlüsselung funktioniert und der Angreifer sogar unterstützt. Schließlich wollen die Angreifer ja auch zukünftige "Kunden" abkassieren. Wenn es nicht funktioniert, dann bezahlt ja auch kein zukünftiges Opfer mehr.

Die Drohung mit der Veröffentlichung ist aber kritischer zu sehen, denn solange noch irgendjemand Daten als Kopie hat, können diese dennoch weiterverkauft oder später als Druckmittel eingesetzt werden, je stärker sie den Vorfall verheimlichen wollen.

"Öffentliche" Kommunikation samt DSGVO-Meldung ist Pflicht, denn es kommt eh irgendwann raus. Wenn Sie nichts melden, dann hat der Angreifer ein noch besseres Druckmittel in der Zukunft. Er droht einfach noch mal mit der Veröffentlichung der Zugangsdaten und Dateien. Der Landesdatenschutz wird dann auch nicht mehr allzu freundlich reagieren.

An einer DSGVO-Meldung führt sowieso kein Weg vorbei und nach einer forensischen Analyse gibt es eventuell auch weitergehenden Informationspflichten an betroffenen Personen und Firmen.

Vor allem sollten Sie nicht davon ausgehen, dass die Angreifer "nur" eine einzige Payload eingesetzt haben. Ein Crypto-Trojaner kann auch Ablenkung und "Beschäftigungstherapie" für Administratoren sein. Wer sich mit der Reparatur eines "halb verschlüsselten Server" aufhält, merkt nicht die parallelen anderen Aktionen.

Angreifer aussperren oder beobachten?

Damit stellt sich die Frage der Gegenwehr, so denn sie noch möglich ist. Wie verhalten Sie sich, wenn Sie nach Hause kommen und sie einen Einbruch vermuten ?

  • Lärm machen und reingehen
    In der Hoffnung dass sie keine direkte Konfrontation mit dem Einbrecher erleben. Danach machen Sie die Tür zu und rufen die Polizei und betrachten den Schaden. Bei einem IT-Vorfall können sich auch die Türen zu machen aber was gestohlen wurde sehen sie nicht so einfach, weil es ja nur "Kopien" sind.
  • Einbrecher auf frischer Tat ertappen
    Schleichen Sie sich ohne Licht ins Haus um den Einbrecher zu "fangen". Mutig und sie sollten sehr sicher sein, dass in der Zeit die Einbrecher nicht durch die Hintertür noch mehr Dinge kopieren. Beim IT-Vorfall könnten Sie Spuren sichern oder theoretisch "zurück hacken". Wahrscheinlicher ist aber, dass der Einbrecher einfach weiter macht, selbst wenn er merkt, dass Sie ihm auf der Spur sein. Er kann sogar noch größeren Schaden anrichten, Feuer legen u.a. um sie zu beschäftigen oder sich zu rächen.

Das Bild passt leider nicht genau, denn die Person können Sie bei einem Computer Vorfall nicht wirklich "festhalten" sondern maximal beobachten. Nur wenn Sie sehr gut aufgestellt sind, und das Personal, die Zeit und Technik haben, um den Angreifer zu beobachten, dann können Sie das Risiko sicher auch selbst abschätzen und brauchen meine Ausführungen nicht. Wenn sie aber schon den Schaden entdeckt haben, dann geht es mehr um Schadensminimierung.

  • Verbindungen unterbrechen
    Damit der Einbrecher nichts mehr aktiv steuern kann, die Malware keinen Kontakte mehr aufbauen oder Daten ausleiten kann. Diese Vorgehen verhindert nicht nur weitergehende Analysen zur Arbeitsweise der Angreifer (Back Strike) und stört sicher auch den Produktivbetrieb, sofern dieser noch möglich war. Es könnte auch einen "Killschalter" in einer Malware aktivieren, um den Kunden zu "bestrafen". Das wissen sie aber nicht und haben ja Backups. Bei "Verbindungen" sollten sie auch interne Link betrachten, um traversale Angriffe zu verhindern.
  • Systeme stoppen
    Das ist insbesondere bei Datei-Verschlüsselung eine Überlegung wert oder wenn die Malware weitere Server eigenständig angreift. Leider ist auch dann eine nachträgliche Analyse erschwert, da zumindest die Prozesse im Speicher nicht mehr in einen Dump gespeichert werden. Allerdings kann auch eine Malware "erkennen", wenn sich jemand auf dem Server anmeldet und sich verstecken, Zugangstokens und Kennworte kopieren, sich wehren oder sich selbst entfernen. Die wenigsten Firmen sind "sofort bereit" solche Analysen zu fahren. Auf der anderen Seite sollten sie besonders ihre "Backups" sichern, damit die letzte Version nicht gelöscht werden oder weitere Sicherungen die guten Backups durch verschlüsselten Datenmüll überschreiben.
  • Cloud-Dienstleister informieren
    Vielleicht ist der Angreifer sogar schon unterwegs Richtung "Cloud". Er kennt sicher schon ihre UPN-Domains und damit lässt sich der Microsoft 365 Tenant ermitteln. Wenn er z.B. lokal schon Administrator ist, dann kann er Kennworte setzen und schauen, ob diese Konten auch einen Zugriff zu einem Tenant haben.

Es mag sicher Umgebungen geben, in denen das Risiko eingegangen wird, um die Angreifer zu identifizieren. Mein Favorit ist das Stoppen und dann mit Abstand eine "offline Analyse" zu fahren. Das größte Problem ist hierbei aber die Frage des Geschäftsführers:

GF: Ist es wirklich so schlimm und sind sie sicher, dass wir die Produktion, Lieferung etc. damit lahmlegen?

Leider weiß das zu dem Zeitpunkt noch niemand mit Sicherheit und die Hoffnung stirbt zuletzt. Aber wenn ich z.B. mitbekomme, dass Server besonders viel Disk-IO oder CPU-Last haben und erste Dateien "verschwinden" (gelöscht, verschlüsselt o.ä.), dann überlege ich nicht lange, sondern hoffe, dass der Angreifer nicht schon Domain-Administrator ist und noch nicht alle Daten korrumpiert wurden. Es bedarf nur weniger Änderungen an Gruppenrichtlinien oder im Dateisystem, damit sie nicht mehr einfach an ihre eigenen Server kommen. z.B. reicht es ein Verzeichnis zu löschen, damit Sie sich nicht mehr anmelden können

Wenn Sie nach dem Fehler recherchieren, dann gibt es diverse Hinweise auf ein "Windows Update-Problem".

Es kann aber auch eine Nebelkerze des Angreifers sein, um Sie als Administratoren einfach nur zu beschäftigen und Gegenmaßnahme zu erschweren.

Kommunikation zu Nutzern und mehr

Das Abschalten der Datenkommunikation nach extern und ggfls. auch der internen Kommunikation und Servern bedeutet aber nicht nur, dass sie nicht mehr arbeiten können, sondern auch erschwerte Bedingungen für die anlaufenden Rettungsaktionen. Sie müssen nämlich immer noch "kommunizieren", z.B. mit...

  • ... Ihren Anwendern
    Die werden ja nicht weiter arbeiten können oder vielleicht sollten die Anwender ihren PC forciert abschalten, um den Schade zu minimieren. Wie können sie schnell aktuelle Informationen an diese Personengruppen geben wenn Mail, Chat, Intranet u.a. Kommunikationswege unterbrochen sind?
  • ... Dienstleistern, Datenschutz, Ermittlungsbehörden
    Alleine schaffen Sie das vermutlich nicht und natürlich sind auch für diese Kommunikationen entsprechende Kanäle erforderlich. Sprechen Sie insbesondere mit ihren Cloud-Dienstleistern, dass auch dort die Daten "gesichert" werden, insbesondere wenn ihnen Kennworte abhanden gekommen sind.

Auf einmal werden Mobilfunk und alternative geschlossene Nachrichtenkanäle (Telegram, WhatsApp, Facebook Gruppen, o.ä.) plötzlich interessant, über die Mitarbeiter erreicht werden können. Manchmal reicht schon eine Telefonkette, wie sie dies noch aus Kindergarten/Schulzeiten kennen. Vielleicht gibt es aber auch eine App für ihr Hotline-Programm welche alle Mitarbeiter unabhängig nutzen können.

Shutdown und die Folgen

Denken wir das Szenario einmal weiter. Sie haben eine Malware, die vom Angreifer extern gesteuert wird, die weitere Schadsoftware nachlädt oder sogar ihre Daten nach extern ausleitet. Der erste Schritt ist doch "Unterbrechen der Verbindung". Damit ist aber nicht nur die Internet Verbindung gemeint, sondern vielleicht auch die WAN- Kopplung zu anderen Standorten. Zum internen Schutz werde auch Server heruntergefahren, damit sie nicht weiter angegriffen, vielleicht verschlüsselt oder auch "nur" Daten abgezogen werden. Nun sollte Sie die Auswirkungen auf ihre eigene Handlungsfähigkeit kennen. Hier ein paar Gedanken.

Ursache Wirkung

Kein Netzwerk, Firewall mit "Deny Any"

Kein VPN/RDP/Teamviewer u.a.
Damit wird es auch für die Administratoren im Homeoffice und externe Dienstleister schwer, schnell zu helfen.

Server/DCs down/korrupt, Keine Domain Authentifizierung, Kein DNS

Wie melden Sie sich per VPN am Radius-Server an, wenn der primäre Authentifizierungsdienst nicht mehr da ist? Wie kann ihr Client den Proxy-Server finden und dieser Quellen im Internet zugänglich machen, wenn DNS abgeschaltet wurde?

Können Sie sich noch am Router, SAN, VMWare Center etc. anmelden, wenn DNS und LDAP offline sind? Haben Sie überhaupt erst einmal eine Liste der Systeme und IP-Adressen in einem "offline"-Format oder Notfall-Notebook? Haben Sie die lokalen Kennworte aber auch Bitlocker-Schlüssel u.a. verfügbar, wenn ihr Password-Safe nicht erreichbar ist?

Auch die Office 365-Anmeldung per ADFS oder Pass Through Authentifizierung (PTA) wird vielleicht nicht funktionieren. Password Hash Sync (PHS) kann helfen aber vielleicht müssen Sie auch die Cloud-Konten alle deaktivieren, wenn der Angreifer ein Golden-Ticket oder einen LSA-Dump hat oder OAUTH-Tokens aus dem Browser des Clients extrahiert hat? Wohl dem, der noch "Cloud Only"-Administratoren hat, mit denen er sich am Tenant anmelden kann.

Telefonie

Heute ist alles irgendwie VoIP, sei es Skype for Business, Teams o.ä. Ohne Netzwerk oder Internetzugang können Sie selbst nur noch per Smartphone telefonieren. Aber wie regeln sie die Kommunikation mit Kunden, eingehenden Anrufen und vor allem den Mitarbeitern, die ihre Hotline überfluten?

Keine Mail

Vielleicht haben sie schon alle Dienste in der Cloud aber dann kommen auch die Home-Office User nur an ihre Daten, wenn die Authentifizierung noch möglich istAuch der MX-Record muss schon in die Cloud gehen oder sie schaffen zumindest das Rerouting der Mails von ihrem System zur Cloud für die Adressen, die schon in Exchange Online sind. Aber denken Sie an genug Platz, um die anderen Mails zu puffern.
Wenn sie noch Hybrid sind, dann verweist Autodiscover ebenfalls auf die nicht mehr aktive lokale Plattform. Hoffen wir, dass die Cloud-Anwender die Outlook on the Web-Adresse (https://outlook.office365.com) kennen

Weitere

Skype for Business wäre ebenso down wie andere VoIP-Systeme die im LAN angreifbar sind.. Selbst "Cloud-Dienste" erfordern eine Netzwerkverbindung und Authentifizierung. Ein "Response Chat" oder ein Emergency-Teams in Microsoft Teams ist eine Herausforderung.

Mensch

Das Wort "Resilience" mag ein Buzzword sein aber überstrapazieren Sie nicht die Leistungsfähigkeit ihrer Mitarbeiter.

Was ist Resilience?
Resilienz (von lateinisch resilire «zurückspringen» «abprallen») oder psychische Widerstandsfähigkeit: Die Fähigkeit, Krisen zu bewältigen und sie durch Rückgriff auf persönliche und sozial vermittelte Ressourcen als Anlass für Entwicklungen zu nutzen (Quelle:https://de.wikipedia.org/wiki/Resilienz_(Psychologie)

Wenn Sie einmal 14-16 Stunden am Stück konzentriert ein Recovery begleiten, dann lässt die Konzentration nach, es schleichen sich Fehler sein und im Extremfall verlieren sie Menschen entweder wegen gesundheitlicher Probleme oder durch Überforderung. Der "einfache Admin" ist im Mittelpunkt der Geschäftsführung, von Mitarbeitern, externen (teuren) Forensikern, polizeilichen Ermittlern, Juristen und im schlimmsten Fall ruft sie der Erpresser sogar noch an. Es geht zwar "nur" um Daten und nicht um die Entführung eines geliebten Menschen aber es ist nahe dran. "Richtige" Pausen, mentale Unterstützung oder auch ein Spaziergang sollten Sie einplanen und nicht mit einem "erst noch schnell ..." überspielen. Seien Sie eher froh, wenn Mitarbeiter engagiert sind und die eigene Feiertags-/Wochenendplanung mit der Familie hinten anstellen. Denn Angriffe erfolgen häufiger zu solchen Zeiten.

Spielen Sie in Gedanken doch einfach mal die Situation durch, dass Sie eine Notabschaltung durchgeführt hätten, was dann alles nicht mehr geht und wie sie ihre System wieder anlaufen lassen müssten.

Vorsorge

Sie sehen, dass eine Notabschaltung auch ihre eigene Arbeitsfähigkeit betreffen kann und sie vielleicht schon heute vorsorgen sollten, so lange es noch geht, z.B.

  • Wichtige Dokumente auf einem "Notfallsystem" vorzuhalten
    Damit Sie Kennwortdateien, IP-Adressen, Serverlisten, Ansprechpartner etc. unabhängig von der eigenen IT nutzen können
  • Notfallplan - Was muss sofort passieren, was später und wo wird etwas wie abschaltet?
    Mein erster Handgriff wäre z.B. das Backupsystem abzutrennen, damit eine Malware nicht diese Systeme erwischt. Was ist ihre erste Aktion?
  • SIP-Trunks unabhängig von den Datennetzen konfigurieren
    Fast alle Firmen nutzen Telefonie über SIP-Trunks. Vielleicht sollten Sie diese Infrastruktur von dem Datenverkehr deutlicher trennen, so dass Abschaltungen selektiv vorgenommen werden können. So kann zumindest ihre Hauptrufnummer noch erreichbar sein und Sie können mit Kunden, Mitarbeitern und dem Notfallteam kommunizieren.
  • Notfallnetz für reinen Internetzugriff vorsehen
    Das kann schon für Meetings mit Teams u.a., VoIP-Telefonie und Zugang zu ihrem Tenant hilfreich sein. Habe Sie schon mal daran gedacht, dass Gäste-WLAN unabhängig von ihrer Firmenfirewall anzubinden, so dass dieses auch noch funktioniert, wenn das Firmen-Netzwerk heruntergefahren wurde?
    Statt "alles zu blocken", könnten Sie z.B. explizite Verbindungen zu Office 365-Diensten wie z.B. Teams als eigene Regel und selektive DNS-Forwarder abbilden.
  • Kommunikationskanal zu den Mitarbeitern planen
    Sie brauchen einen Weg, um die Mitarbeiter über Einschränkungen, Vorsichtsmaßnahmen und später das langsame Neuanlaufen zu informieren.
  • Supportverträge und Partner
    Wenn es passiert, ist jede helfende Hand willkommen. Es ist eine Ausnahmesituation und wenn sie schon viele Stunden sich den Kopf zerbrechen, die Geschäftsführung druck macht und vielleicht noch der Erpresser sogar anruft und nach seinen Bitcoins fragt, dann nagt dies auch an den robustesten Administratoren. Bauen Sie sich schon vorher ein Netzwerk mit Firmen, die unterstützen, vielleicht ihre Umgebung schon etwa kennen und Erfahrungen mitbringen.
  • Sicherheit ist nicht kostenfrei
    Es ist leider Realität, dass die meisten Firmen nicht einmal alle im Betriebssystem enthaltenen Schutzfunktionen (Berechtigungen, Bitlocker, Applocker, Gruppenrichtlinien, CodeSigning, SMB1-Abschaltung, TLS 1.2-Zwang, VPN per Zertifikat,  etc.) umgesetzt haben. Selbst Firmen, die 3rd Party Tools gekauft haben, setzen diese nicht immer vollumfänglich ein. Die Entscheidung muss hier von "ganz oben" kommen.

Kein Ratschlag

Jede Firma und jeder Kunde ist individuell. Es gibt nicht die allgemeine Empfehlung wie sie sich schützen können und im Schadenfall vorgehen. Auch ihre Wohnung kann immer durch einen Einbrecher heimgesucht werden. Aber Sie können ihm den Zugang durch entsprechend Vorrichtungen erschweren, so dass er im besten Fall weiter zieht. Dazu müssen aber auch ihre "Mitbewohner" mitziehen und keinen Hausschlüssel unter einem Stein oder im Blumenkasten verstecken und Alarmanlagen können Aufmerksamkeit herstellen. Genau genommen wissen Sie selbst aber am besten, wo Schwächen sind und die Mittel dagegen einplanen. Denken Sie an ihr Auto und wie viel "passive" Sicherheitstechnik eingebaut ist. Welchen Anteil haben ABS, Airbag, Bremsassistenten, Abstandswarner u.a. am Kaufpreis eines KFZ? Ich schätze vielleicht 5-10%. Welchen Anteil ihres IT-Budgets wenden Sie auf Sicherheit auf?

Ransomware: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf

Weitere Links