Unglaublich, aber wahr: Wie Ransomware für einen Reiseanbieter beinahe zur letzten Reise wurde

  • 25. Februar 2016
  • 5 min Lesezeit


blog_main_tourism2

Stellen Sie sich einmal vor, dass alle Cloud-Apps, Finanzdaten und Aufnahmen von Überwachungskameras im Wert von 10 Jahren Arbeit mit einem Mal von keinem Ihrer Rechner Ihres Unternehmens mehr zugänglich wären. Ein wahres Alptraumszenario, doch für ein erfolgreiches australisches Tourismusunternehmen wurde es letzten Monat bittere Realität.

Während am Neujahrstag der Großteil der westlichen Welt feierte oder sich vom Feiern erholte, befand sich das Team von Emsisoft in einem Großeinsatz. Unser technische Leiter Fabian Wosar hatte Ransom32, die erste JavaScript-Ransomware der Welt, bis ins kleinste Detail untersucht und innerhalb kurzer Zeit dank Reverse Engineering ein – wie sonst auch kostenloses – Entschlüsselungsprogramm erstellt.

Wie bereits in unserem früher veröffentlichten Artikel „Ransomware zum Mieten: 3 Schritte, wie Ihre Daten trotzdem sicher bleiben“ angesprochen, sind Unternehmen der Gefahr ausgesetzt, bei Datenverlusten geistiges Eigentum, in dessen Entwicklung sie viele Jahre gesteckt, zu verlieren; für Tausende Unternehmen wird dieses Alptraum allerdings tagtäglich bittere Realität.

Nur ein paar Wochen nach Veröffentlichung dieses Artikels wandte sich der IT & Compliance-Manager eines australischen Tourismusunternehmens an uns mit einer Geschichte, die uns die Haare zu Berge stehen ließ.

Ransomware: ein „richtiges Desaster“ für Unternehmen

Der bösartigen Ransomware fielen die Cloud-Lösungen (Dropbox- und One Drive-Konten) des Unternehmens, die Gesamtheit ihrer Buchhaltungsdaten und Aufnahmen der Sicherheitskameras zum Opfer; insgesamt etwa 20 TB an Daten und 10 Jahre Arbeit, auf die mit einem Mal die 500 Nutzer der Firma keinen Zugriff mehr hatten.

Wie der Manager es weiter unten formulierte, war es „EIN RICHTIGES DESASTER, auf das wir nicht vorbereitet waren …“

Lesen Sie weiter und erfahren Sie, wie das Unternehmen reagierte.

Hallo Fabian,

ich möchte Ihnen für Ihre Hilfe und Unterstützung letzte Woche danken, als wir von einem RANSOMWARE-Virus heimgesucht wurden. Ihr schnelles und beherztes Eingreifen hat unser Unternehmen vor einem echten Dilemma bewahrt!

Wir brauchten eine Woche, um DEN EXPERTEN zu finden sowie den Virus zu erkennen und eine Lösung zu finden; eine weitere Woche ging ins Land, bis ich mich um alle Computer gekümmert und den verursachten Schaden beseitigt hatte.

Nach dem Vorfall habe ich zehn EMSISOFT-Lizenzen erworben, da ich erkannt habe, dass die Verhaltensanalyse des Programms uns dieses Drama hätte ersparen können.

Wie Sie wissen, werden bei MALWARE-Scans alle Laufwerke (auch die eingebundenen) untersucht; in unserem Fall handelt es sich um ein Windows-10-Peer-Netzwerk, wobei alle Rechner persönliche Daten lokal speichern sowie Dateien auf dem Server gruppieren.

Was uns zum Verhängnis wurde, war die Tatsache, dass alle PCs über Freigaben anderer Datenbereiche auf anderen Laufwerken verfügen. EIN Nutzer, der auf die ZIP/EXE-Datei klickt, verändert somit die DATEN auf acht Rechnern sowie dem Server (über Freigaben). Lokale PCs werden nur von wenigen oder gar NICHT gesichert, während der Server wichtige Verlaufsdaten vorhält.

Beispiele für nicht mehr nutzbare Daten:

Alle ONLINE mit DROPBOX und 365 OneDrive Business für unsere externen Mitarbeiter geteilten Daten – Derzeit 500 Nutzer – 2 x 1 TB Konten MYOB-Konto-Sicherungs-ZIP-Datei von letztem Jahr und darüber hinaus Rechtsdokumente und Versicherungsunterlagen Bankdaten und andere XLS-Dateien Marketingmaterial für Kunden (PDF) VoIP-Aufnahmen Videoaufnahmen von Überwachungskameras Website-Entwicklung (Bilder) Audit-Daten Angebotsdokumente/Präsentationen (DOC, PPT) usw. usw.

network-cables-494645_1920

Selbst Sicherungsdaten waren betroffen

Sie fragen sich gewiss: warum keine Sicherung? Wir legen Sicherungen an, doch diese sind datei- oder nutzerbasiert (NAS), z. B. \\SERVER\(N:)\Nutzer

Alle Client-Sicherungen sind eingebunden, weshalb ALLE Kopien der Dateien ebenso betroffen waren, einschließlich des Dateiverlaufs der PCs aller Nutzer, der von diesen gespeichert wurde. Der Server wird in einer Schleife von drei Laufwerken gesichert; als wir das Problem bemerkten, waren ebenso diese bereits überschrieben worden.

Eine Datei befindet sich entweder auf einem Client-PC, dem NAS, im PC-Dateiverlauf, dem Server oder online … In UNSEREM Fall nützte das alles jedoch NICHTS.

Ein Archiv wird jeden Monat angelegt, wodurch wir die Serverdaten bis zu 6 Wochen ab dem Zeitpunkt wieder hätten herstellen können; dies gilt jedoch nicht für die Live-NAS-Sicherungen oder die aktuellen Daten. Alle Daten aus dem Online-Speicher wiederherzustellen hätte einige Zeit in Anspruch genommen.

KOPIEN VON DATEIEN ANZULEGEN SCHEINT WOHL NICHT MEHR ZU GENÜGEN … Derzeit suchen wir nach einem imagebasierten System für sowohl archivierende als auch inkrementelle Sicherungen, bei dem wir Sicherungen zu einem bestimmten Zeitpunkt statt einfach nur Veränderungen an Dateien wiederherstellen können; denn da der Virus diese veränderte, wurden sie entsprechend der Sicherung hinzugefügt.

INSGESAMT 1 Server (2 TB), 8 PC (jeweils 100 GB), verschiedene ONLINE-Speicher (geschäftlich- 2 TB und persönlich – 4 TB), Client-NAS-Speicher (4 TB) und 6 TB an Server-Sicherungen

Alles in allem etwa 20 TB Daten und zehn Jahre Arbeit, auf die unsere Nutzer keinen Zugriff mehr hatten … ein ECHTES DESASTER, auf das wir nicht vorbereitet waren …

Ein Feuer hätte weniger Schaden anrichten können. Dieser Vorfall hat uns wachgerüttelt und sollte anderen Unternehmen eine Warnung sein …

FABIAN, wir können Ihnen nicht genug für Ihre Bemühungen im Kampf gegen Datenpannen danken, mit denen wir derzeit konfrontiert werden. Wir sind Ihnen zu größtem Dank verpflichtet …

ALLE DATEN WURDEN WIEDERHERGESTELLT – KEINE EINZIGE Datei ging verloren …

Mit freundlichen Grüßen

[Name vorbehalten]

IT & Compliance Manager

blog_content_breaker

So können Sie derartige Desaster verhindern:

1. Sichern Sie Daten nicht auf lokalen Festplatten oder eingebundenen Netzwerkfreigaben, da auch diese von Malware befallen werden können.

Diese Fallstudie bestätigt unsere Beobachtung, dass Sicherheit immer nur so stark ist wie das schwächste Glied der Kette. Um die Auswirkungen eines Malware-Angriffs, der Sie hoffentlich erst gar nicht trifft, sollten Sie dafür Sorge tragen, Sicherungen auf keinen Laufwerken zu speichern, auf die von lokalen Nutzerkonten ohne manuelle Passworteingabe zugegriffen werden kann.

2. Riegeln Sie Ihre Systeme ab: Halten Sie Ihre Systeme und Programme auf dem neuesten Stand und setzen Sie auf guten Echtzeitschutz.

Häufig sind die schwächsten Glieder der Kette arglose Angestellte, die guten Leistungen erbringen möchten, sich aber nicht der Sicherheitsrisiken bewusst sind, die heutzutage im Internet lauern. Um Angreifern einen Riegel vorzuschieben, ist es von höchster Wichtigkeit, Ihr Betriebssystem und alle Programme stets auf dem neuesten Stand zu halten, d. h. nicht ab und zu, sondern jeden Tag. Ebenfalls sollten Sie auf den Einsatz einer verlässlichen Lösung mit Echtzeitschutz setzen, die alle Bedrohungen durch bösartigen Dateien bereits im Kern erstickt. Denn Sie kennen ja sicherlich das Sprichwort: Vorsicht ist besser als Nachsicht.

CTA_ransomware_EAM_Download_DE

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel