Malware
Backup gegen Ransomware – Ransomware gegen Backup
Incident Response-Teams sollen nach einem Angriff bei der Wiederherstellung der Prozesse helfen. Sie lernen dabei natürlich auch die erfolgreichsten Tricks der Kriminellen kennen. Einer davon ist besonders fies und betrifft das Backup.
Der jährlichen Statistik von Trend Micro zufolge steigt die Anzahl der Ransomware-Angriffe in Deutschland. Das muss jedoch nicht heißen, dass deshalb immer mehr passiert. Viele Unternehmen haben nachgerüstet und lassen sich durch Serviceanbieter bei der Umsetzung der Cybersicherheit unterstützen. Zum Service gehört auch der Notfalldienst Incident Response (IR), der dann zum Einsatz kommt, wenn der IT-GAU (Größter Anzunehmender Unfall) eingetreten ist, d.h. im Fall eines Ransomware-Angriffs mit Voll- oder Teilverschlüsselung. Jetzt ist Profiwissen gefragt, und nicht selten haben Unternehmen Probleme durch Ressourcenengpässe. IR soll dann bei der Wiederherstellung der Geschäftsprozesse unterstützen.
Darunter fallen auch so zentrale Herausforderungen, wie vorhandene „Reste“ zu finden, die leicht übersehen werden -- Hintertüren (Backdoors), die es den Tätern erlauben wieder zurückzukommen. IR soll diese Möglichkeit verhindern. Die Cyber-Nothelfer lernen dabei natürlich auch die erfolgreichsten Tricks der Kriminellen kennen. Einer davon ist besonders fies und betrifft das Backup.
Backup als Ziel von Hackern
Eine vernünftige Backup-Lösung gehört fraglos in jedes Cybersecurity-Konzept. Dies ist auch Anforderung diverser IT-Sicherheitsgesetze, wie z.B. des neuen NIS2, oder von Cyberversicherungen. Das Problem dabei ist, dass Backup schon so normal ist, das es in der Sicherheitsbetrachtung oft übersehen wird. Damit ist nicht die Existenz einer Sicherung gemeint, sondern die Frage, inwieweit sie bei einem Cyberangriff verwundbar ist. Wie fast alles in der IT, hängt auch das Backup von der eingesetzten Software ab, und auch die kann natürlich anfällig sein. Und das genau ist eine der Herausforderungen, mit der aktuell viele Incident Response-Fälle zu kämpfen haben.
In der Theorie ist es einfach. Ein verschlüsseltes System wird durch ein Backup wieder hergestellt. Dazu ein paar Überlegungen…
- Alle Änderungen zwischen dem aktuellen Zeitpunkt und dem jüngsten verfügbaren Backup sind verloren.
- Je mehr Daten zurückgespielt werden müssen, desto teurer ist es.
- Ein Backup muss existieren, um eingespielt zu werden.
Einen Hacker beschäftigt die Frage, wie er eine oder am besten alle drei Fragestellungen in seinem Sinne beeinflussen kann. Gelingt es ihm beispielsweise, Teile seiner Angriffsstrategie, mit in das Backup des Opfers aufnehmen zu lassen, ist das Spiel praktisch gewonnen: Die Verteidiger setzen die Systeme auf den Stand des Backups zurück, und damit wird der Angreifer ebenfalls etwas zurückgesetzt. Dafür hat er aber schon alle Weichen gestellt. Das Spiel beginnt von neuem, so lange bis das Opfer ein Backup verwendet, das nicht mehr betroffen ist.
Sicherheitslücken – mal wieder
Eine andere Methode besteht darin, die Backup-Software selbst zu kompromittieren und diese „neu einzustellen“. Dies lässt sich durch die Ausnutzung von Sicherheitslücken bewerkstelligen. Aber gab es dazu welche in letzter Zeit? Es war doch gar nichts in den Nachrichten? Das ist richtig, denn die Lücken, auf die viele Opfer jetzt hereinfallen, sind schon lange bekannt und eigentlich auch behoben. Aus Sicherheitssicht also nicht mehr spannend.
Betroffen sind die Backup Systeme von VEEM und Veritas. Beide Hersteller haben seinerzeit verantwortungsbewusst gehandelt, Updates zur Verfügung gestellt und ihre Kunden informiert. Die Lücken erlauben u.a. das Ausspähen von Passwörtern und Accounts. Damit kann dann das Backup „neu verwaltet“ werden. Ein lohnendes Ziel für Kriminelle. Es existiert sogar ein automatisiertes Skript, welches nur im System ausgerollt werden muss. Ist das Opfer nicht verwundbar, passiert nicht viel – der Angreifer muss sich etwas anderes ausdenken. Ist es verwundbar, war’s das mit dem Backup!
Auch oder gerade weil diese Lücken schon älter sind, müssen Anwender handeln. Die Lücken enthalten ein hohes Schadenpotenzial, doch in offiziellen Warnungen werden sie nicht mehr auftauchen. BSI & Co können nicht vor aktuellen und seit zwei Jahren gefixten Schwachstellen warnen. Im Incident Response ist das etwas anderes.
Diese Lücken werden derzeit verstärkt von Ransomware-Akteuren ausgenutzt. Systeme der Opfer sind verschlüsselt, und beim Aufrufen des Backups stellen die Verantwortlichen fest, dass die letzte saubere Sicherung schon lange zurückliegt. Das Zurückgehen auf ein funktionsfähiges - meist offline - gehaltenes Backup ist dann um ein Vielfaches teurer als die geforderte Lösegeldsumme. Die Hacker haben zumindest einen Teilerfolg erreicht.
Cyberangriffe generell
Nein, diese Lücke erlaubt es Fremden nicht, von außen in ein Netzwerk einzudringen. Wem dies gerade durch den Kopf gegangen ist, befindet sich gedanklich noch im Cybersecurity-Mittelalter (also vor ca. 10 Jahren). Damals war man der Ansicht, die Mauern um die eigenen Systeme nur hoch genug ziehen zu müssen, um Angreifer draußen zu halten. Alles, was hinter der Mauer lag, hatte dann niedrigere Priorität.
So funktioniert moderne IT aber nicht mehr. Angreifer sehen Mauern nur noch als das, was sie sind… Hürden, die eine nach der anderen genommen werden können. Moderne IT-Infrastrukturen bieten verschiedenste Möglichkeiten, um an statischen Verteidigungsmustern vorbeizukommen. Konsequenterweise wird es für die Sicherheit immer relevanter, wie gut ein Unternehmen auch im Innenverhältnis aufgestellt ist. Eine Softwarelücke der oberen Kategorie erlaubt es Cyberkriminellen, Teile der Infrastruktur zu übernehmen. Die Frage ist nicht wie, sondern wann.
Das Risiko einschätzen
Die Existenz solcher Lücken ist in der Praxis leider keine Ausnahme. Es liegt daran, dass sich auch Fachleute nur ungern einem so sensiblen Tool wie einer Backup-Lösung nähern. Ist es dann nicht vielleicht doch ein vertretbares Risiko, diese Lücken offen zu lassen, wenn die Kosten für ein Patching höher wären als der potenzielle Schaden? Und auch wenn wir IT-Security-Profis das nur zähneknirschend zugeben, so haben solch businessrelevante Überlegungen durchaus ihre Berechtigung.
Wir sind gefordert, alternative Lösungen zu finden, und die gibt es. Zum einen – und hier unterstützt uns die Gesetzgebung mit NIS 2 – brauchen wir eine offene Risikodiskussion. Wie hoch ist das Risiko wirklich, das durch diese Schwachstellen entsteht? Wie wahrscheinlich trifft es ein?
Risiko und Gegenmaßnahmen Hand in Hand
Zum anderen geht es darum, sinnvolle Gegenmaßnahmen zu definieren. Diese mögen das Problem nicht beseitigen aber seine Auswirkung abmildern. Im Fall des genannten ausführbaren Skripts, das Hacker in eine verwundbare Umgebung einbringen, ist dies kein Problem. Wir wissen, was drinstehen muss, und können danach suchen.
Auch Technologien wie Detection und Response teilen uns mit, ob es Angriffsversuche gibt. Diese Lösungen untersuchen das Netzwerk auf Anomalien und vergleichen diese mit dem Wissen um das Vorgehen von Kriminellen. Eindeutiges kann sofort unterbunden, Ungewöhnliches näher untersucht werden. Natürlich ist Patchen nach wie vor die erste Empfehlung, aber wenn es aus diversen Gründen nicht möglich ist, brauchen wir eben solche Alternativen.
Fazit
Trend Micro hat aus diesem Grund das proaktive „Attack Surface Risk Management“, welches sich mit dem Definieren und Einschätzen von Sicherheitsrisiken auseinandersetzt, mit dem eher reaktiven „Extended Detection & Response“ in einer Plattform (Trend Vision One) verbunden. Die Idee ist Risiken und ihr Potenzial - auch für Laien verständlich – aufzuzeigen sowie Veränderungen, die auf eine aktive Ausnutzung hindeuten, sofort zu untersuchen.