Objektspeicher als Antwort auf Ransomware

Lehren aus WannaCry und Petya

| Autor / Redakteur: Jürgen Krebs / Peter Schmitz

Ransomware wie WannaCry dürfte auf längere Sicht ein „Erfolgsmodell“ für Cyberkriminelle sein. Datensicherung mit Objekt-basierten Speichern kann eine wirksame Gegenmaßnahme sein.
Ransomware wie WannaCry dürfte auf längere Sicht ein „Erfolgsmodell“ für Cyberkriminelle sein. Datensicherung mit Objekt-basierten Speichern kann eine wirksame Gegenmaßnahme sein. (© artemegorov - stock.adobe.com)

Bereits kurz nach dem Ausbruch der Malware WannaCry tauchte mit Petya/NotPetya der nächste Schädling auf, der noch größeres Schadenspotential aufwies und offenbar dieselbe Sicherheitslücke nutze, die schon WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Unternehmen haben anscheinend aus dem ersten Vorfall nichts gelernt.

Am 12. Mai kam es zu einem massiven Malware-Angriff. Es begann im englischen Gesundheitssystems (NHS National Health Service), wo Dutzende Krankenhäuser betroffen waren, verbreitete sich dann rasend über sechs Kontinente hinweg und zog insgesamt schätzungsweise 75.000 Maschinen in Mitleidenschaft.

Die Ransomware „WannaCry“ hat sich nicht durch unachtsame Personen verbreitet, die auf infizierte Links geklickt haben, sondern Wurm-ähnlich über eine Sicherheitslücke im SMB-File-Sharing-Protokoll von Windows-Systemen. Aber ein bereits zur Verfügung stehendes Sicherheits-Update hätte den Angriff verhindern können, denn betroffen waren nur Systeme, die seit dem 14. März 2017 nicht mit dem Microsoft-Patch MS17-010 aktualisiert worden waren; Dieser Patch wurde erstellt, um das unter dem Namen „EternalBlue“ bekannte Software-Sicherheitsproblem zu beseitigen – einst ein wohlgehütetes Geheimnis staatlicher Sicherheitsdienste, das dann durch die Hackergruppe „ShadowBrokers“ durchgesickert ist.

WannaCry Ransomware infiziert tausende Systeme

Update: NSA Exploit sorgt für weltweite Attacke

WannaCry Ransomware infiziert tausende Systeme

15.05.17 - Die Ransomware WannaCrypt0r hat weltweit tausende Systeme infiziert. Geholfen hat ein NSA-Exploit sowie eine längst gepatchte Schwachstelle in Windows SMB. Neben privaten Systemen waren Unternehmen, Krankenhäuser und die Deutsche Bahn durch den Trojaner betroffen. Neueste Informationen deuten auf weitere Varianten der Malware hin. lesen

Das Ausmaß des Angriffs war bis dahin ohne Beispiel, aber bereits wenig später tauchte mit Petya/NotPetya der nächste Schädling auf, der Experten zufolge noch größeres Schadenspotential aufweist. Das Perfide: Die Malware nutzte offenbar dieselbe Sicherheitslücke, die bereits WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Haben die Verantwortlichen nichts gelernt?

Unternehmen sollten aus dem Ablauf vor allem den Schluss ziehen, dass sie jederzeit aktuelle Sicherheitspatches einspielen müssen, um IT-Systeme vor Angriffen zu schützen - damit ist keine hundertprozentige Sicherheit zu erzielen, aber das Risiko sinkt beträchtlich. An dieser Stelle sollte auch einmal Microsoft lobend erwähnt werden: Der Konzern aus Redmond hatte angesichts der Bedrohung erstmals in seiner Geschichte an einem „Patchday“ unter der Bezeichnung KB4012598 einen Patch für nicht mehr unterstützte Windows-Versionen erstellt und im Netz verbreitet. Damit war es möglich, auch alte Systeme in die Neuzeit zu katapultieren – zumindest, was den Sicherheitslevel anging.

Ansonsten bleibt nur der Hinweis auf Altbekanntes: Anwender im Unternehmen sollten niemals auf Links oder Anhänge in E-Mails klicken, dessen Absender unbekannt ist. Zudem ist es ratsam, den eigenen Computer regelmäßig neu zu starten um alle Sicherheitspatches abzuschließen, auch solche die gegebenenfalls noch unvollständig sind. Sicherheitsexperten wiederholen diese Tipps seit Jahren gebetsmühlenartig. Gehör finden sie aber meist nur dann, wenn es mal wieder „gekracht“ hat.

Weltweite Ransomware-Attacke

Parallelen zu WannaCry-Malware

Weltweite Ransomware-Attacke

28.06.17 - Server-Admins erleben gerade ein Deja-Vu: Wenige Wochen nach der WannaCry Ransomware wütet erneut eine Erpressersoftware weltweit. Sie nutzt die SMB-Lücke EternalBlue, die bereits vor wenigen Wochen zum Einsatz kam - und ist trotz eines vorhandenen Patches extrem erfolgreich. Der initiale Angriffsvektor scheinen möglicherweise manipulierte Dokumente zu sein, die an Personalabteilungen verschickt wurden. lesen

Jenseits des „Objekt-Hypes”

Die Angriffe zeigen aber auch, dass Unternehmen einen Notfallplan in petto haben sollten. Die Wiederherstellung von Daten nach Ransomware-Angriffen ist möglich, wenn Backups gemacht worden sind und eine Datenkopie von einem Zeitpunkt kurz vor dem Angriff vorhanden ist. Objekt-Speicherlösungen sind die ideale Basis für ein solches Szenario. Moderne Systeme wie die Hitachi Content Platform (HCP) bringen die dazu notwendigen Features mit, vor allem betrifft das die Objekt-Versionierung. Mit der sogenannten WORM-Technologie („Write Once, Read Many“) wird dabei jede Veränderung oder jedes Objekt-Update als eine neue Version des Objekts geschrieben, während die vorherige Version des Objekts ebenfalls beibehalten wird.

Verschlüsselt Malware dann ungewollt Daten, um ihre Nutzung gänzlich zu verhindern, wird diese Änderung als neue Version geschrieben, wobei das Original-Objekt unverändert bleibt. Bei HCP reicht dann ein einfacher Befehl des Storage-Admins, um die betroffenen Objekte auf die letzte Version vor dem Angriff zurück zu versetzen. Diese Art der Wiederherstellung ist viel schneller, einfacher und zudem weniger kostspielig als Daten aus einer Backup-Kopie zu restoren, vorausgesetzt die notwendige Kopie ist überhaupt verfügbar und aktuell.

Nicht ganz zu Unrecht sprechen in der Branche viele vom „Objekt-Hype” – aber für diesen Hype gibt es gute Gründe: Zugriffe und die Ergänzung von Metadaten bei gleichzeitiger Versionierung und der Möglichkeit, auf jeden Zeitpunkt „zurückzuspulen“, machen diese Art der Speicherung zu einem der „Must haves“. Objektspeicher ist das, was CDR (Continuous Data Replikation) Lösungen immer sein wollten: Der zentrale Baustein, um Daten egal wann und wo wiederherstellen zu können. Ein Traum des IT-Managements geht in Erfüllung.

Sicherheit vor dem nächsten Cyberangriff

Auch wenn es schmerzt, das an dieser Stelle zu konstatieren: Falls Systeme infiziert sind und keine Objektspeicherung vorhanden ist oder die Wiederherstellung von etwaigen Backups zu langwierig und kostspielig ist, bleibt Betroffenen meist nichts anderes übrig, als das verlangte Lösegeld zu zahlen, um an ihre Daten zu kommen. Und dann zu hoffen, dass die Erpresser mindestens so ehrlich sind, die Schlüssel heraus zu rücken. Ansonsten ist beides futsch: Geld und Daten.

Im Übrigen berichte ich an dieser Stelle nicht nur von theoretischen Fällen: Auch der Hitachi-Konzern wurde von WannaCry heimgesucht. Es ist unseren Technikern aber gelungen, die (zum Glück wenigen) infizierten Systeme sehr schnell zu identifizieren, zu isolieren und dann dank HCP auf den letzten Stand vor WannaCry zurückzusetzen.

Über den Autor: Jürgen Krebs ist CTO, Central Region EMEA bei Hitachi Data Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44787726 / Business Continuity )