SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Peter BöhretDer internationale Ransomware-Angriff am Dienstag hat das immer größer werdende Ausmaß des Phänomens Ransomware aufgezeigt: Unzählige Unternehmen weltweit sind betroffen, darunter auch die Werbefirma WPP und das Kernkraftwerk in Tschernobyl. Ein Kommentar von Peter Böhret, Managing Director der Kroll Ontrack GmbH.

Die Attacke zeigte zudem, dass es selbst nach den Erkenntnissen aus den jüngsten WannaCry-Attacken, die im Mai vor allem den National Health Service (NHS) in England getroffen hatten, noch viel zu lernen gibt.

Der aktuelle Angriff war von einer Ransomware namens Petya ausgegangen, die kürzlich ein Upgrade auf ihre neueste Version, Petrwrap, bekam. Petya ist vor etwa 18 Monaten zum ersten Mal in Erscheinung getreten. Das Prinzip dieser Ransomware ist folgendes: Die Kriminellen verschlüsseln damit nicht einfach die Dateien auf einem Computer, sondern greifen stattdessen einen Teil des Betriebssystems namens Master File Table (MFT) an. Für das Computersystem ist MFT ein essentielles Verzeichnis, um Dateien zu finden. Einen Teil des Systems anzugreifen ist viel schneller, als alle einzelnen Dateien. Das Ergebnis bleibt das gleiche: Der Zugriff auf die Dateien ist aufgrund der Verschlüsselung nicht mehr möglich.

Für die ursprüngliche Petya-Ransomware gibt es eine Methode, um Dateien wieder zu entschlüsseln. Leider fehlt eine solche noch für die aktualisierte Version. Wenn diese Ransomware allerdings immer noch nur das MFT verschlüsselt, könnte es möglich sein, scheinbar verlorene Daten wiederherzustellen.

Kroll Ontrack empfiehlt folgende Richtlinien, um das Risiko und die Auswirkungen eines Angriffs zu verringern:

  • Suchen Sie Hilfe bei einem Datenrettungsexperten, bevor Sie das Lösegeld bezahlen. Es gibt viele Fälle von Ransomware-Opfern, die das Lösegeld bezahlten, ihre Daten aber nicht zurückbekommen haben. Anstatt dieses Risiko einzugehen, sollten Unternehmen mit Datenrettungsexperten arbeiten, die durch Reverse Engineering der Malware den Zugang zu Daten wiedererlangen können.
  • Erstellen Sie einen Backup- und Wiederherstellungsplan und befolgen Sie ihn. Stellen Sie sicher, dass Ihr Plan die Lagerung der Backups an einem externen Ort beinhaltet.
  • Seien Sie vorbereitet und überprüfen Sie Ihre Backups regelmäßig. Unternehmen müssen mit dem vertraut sein, was in den Backup-Archiven gespeichert ist und sicherstellen, dass die wichtigsten Daten auch zugänglich sind wenn die Backups zum Ziel von Ransomware-Angriffen werden sollten.
  • Implementieren Sie Sicherheitsrichtlinien. Verwenden Sie die neueste Anti-Virus- und Anti-Malware-Software und wenden Sie sie konsequent an, um Infektionen zu verhindern.
  • Entwickeln Sie IT-Richtlinien, die Infektionen anderer Netzwerkressourcen begrenzen. Unternehmen sollten Schutzmaßnahmen einsetzen, sodass sich die Ransomware nicht von einem infizierten Gerät aus im gesamten Netzwerk ausbreiten kann.
  • Führen Sie Nutzer-Trainings durch, damit alle Mitarbeiter einen möglichen Angriff erkennen können. Stellen Sie sicher, dass die Mitarbeiter die richtigen Verhaltensweisen kennen, um zu vermeiden, dass Ransomware versehentlich heruntergeladen oder das Netzwerk für Außenstehende geöffnet wird.

Kroll Ontrack hat eine Reihe von Lösungen entwickelt, um Geiseldaten schnell wiederherzustellen und so eine Bezahlung der Kriminellen hinter den Attacken zu vermeiden, dazu gehören:

  • Software und Werkzeuge zur Entschlüsselung von Daten. Es gibt mehrere Methoden, um die verschiedenen Arten von Ransomware zu entschlüsseln – Kroll Ontrack identifizierte mehr als 225 Arten und hat Entschlüsselungsprozesse für über 80 von ihnen entwickelt.
  • Wissen und Erfahrung in der Datenwiederherstellung, um unverschlüsselte Kopien von Geiseldaten zu finden und diese wiederherzustellen oder neu zu erstellen. Wenn es keine Entschlüsselungsprozesse oder Software gibt, mit deren Hilfe eine Ransomware entschlüsselt werden kann, verwendet Kroll Ontrack seine proprietären Datenwiederherstellungstools, um nach unverschlüsselten Kopien der Daten zu suchen.

www.krollontrack.de
 

 
GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet