Locky-Attacken: Vorsorgemaßnahmen gegen Cybererpressung

Intelligente, konsequent angewendete Backup-Strategie gefragt

[datensicherheit.de, 20.02.2016] Aktuelle Meldungen zu den Phishing-Attacken mit dem Verschlüsselungs-Trojaner „Locky“ zeigen deutlich, dass Cyberkriminalität an Gefährlichkeit nichts eingebüßt hat, sondern eher noch neue Formen annimmt.

Nur drei von 54 Virenscannern erkennen „Locky“

Angriffe mit „Locky“ dienen der Erpressung – Daten auf den befallenen IT-Systemen werden verschlüsselt und gegen Zahlung von Lösegeld an die Kriminellen soll dann deren Freigabe erfolgen.
Selbst über eine Woche nach Bekanntwerden hatten laut Googles Virenwarndienst „VirusTotal“ nur drei von 54 Virenscanner diesen neuen Trojaner erkannt. Dabei treibe dieser Trojaner schon seit Wochen sein Unwesen und verschlüssele im Hintergrund unbemerkt Daten, so die SEP AG aus Weyarn bei München in einer aktuellen Stellungnahme.
In den USA sollen sich schon erste betroffene Krankenhäuser auf die Zahlung eingelassen haben, um auf wichtige Patientendaten wieder zugreifen zu können.

Empfehlungen der SEP AG

Die SEP AG gibt nun folgende Ratschläge, wie Unternehmen den Erpressungen durch eine Datensicherungsstrategie vorbeugen können. Dadurch könnten nach einer Trojaner-Infektion Daten sicher zurückgeholt und der laufende Betrieb zügig wiederhergestellt werden.

1. Verhinderung der Totalverschlüsselung der (Backup-)Daten
   Neben den klassisch einzuhaltenden Backup-Szenarien, also wöchentliche Komplettsicherung aller Daten (Full-Backup) und täglichen Sicherung der zwischenzeitlich geänderten Daten (Inkrementelles Backup) sind weitere Maßnahmen nötig:
   • Die Backup-Daten müssen mittels Medienbruch auf einem separaten
     Bandlaufwerk (Tape) und wenn möglich, an einem anderen Ort aufbewahrt
     werden.
   • Der Aufbewahrungszeitraum sollte angesichts der unentdeckten
     Ausbreitungsdauer verlängert werden.
   • Die eingesetzte Backup-Software muss die Verwaltung von Ladern und
     Wechseldatenträgern beherrschen.
2. Schritte nach dem Angriff
   Ist, wie im aktuellen Fall, ein Angriff passiert und möglicherweise infizierte Daten in den Sicherungsdatensatz gelangt, besteht sofortiger Handlungsbedarf.
   • So muss zunächst der Zeitpunkt des Angriffs eingegrenzt werden.
   • Dann setzt die Datenwiederherstellung an. Die Lösung von SEP soll nach eigenen Angaben in der Lage sein, einzelne Backups eines beliebigen Sicherungszeitpunktes auf einem abgeschotteten System wiederherzustellen.
   • Im sogenannten Read-Only-Modus können auf bereinigten Backup-Festplatten die Daten von Wechselmedien, wie beispielsweise Bandlaufwerken, eingelesen und analysiert werden, ob darin doch noch ein Befall zu verzeichnen ist.
   • Wenn der Verschlüsselungsbefehl der Cyberkriminellen noch nicht zur Ausführung gekommen ist, lassen sich so zumindest die Daten lesen. „SEP sesam“ soll dabei Forensik-„Linux“-Distributionen wie beispielsweise „KALI“ unterstützen, die speziell für die Analyse nach einem Cyberangriff entwickelt wurden. So ist es möglich, dass jedes Backup, egal von welcher Quelle, auf einem „Linux“- oder „Windows“-Backup-Server oder auch Remote-Device-Server geöffnet werden kann und überprüfbar ist.
   • Die Schadsoftware hat laut SEP während der Forensik-Analyse keine Möglichkeit, das integrere System zu infizieren.
   • Ist der letzte sichere Datensatz gefunden, werden die Systeme damit sauber wiederhergestellt und der Betrieb der IT-Systeme kann wieder normal anlaufen.
   • Vorher müssen die Abwehrmechanismen nochmals überprüft werden, um einen neuerlichen Angriff auszuschließen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2016
Ransomware Locky: Erpresserische Datenverschlüsselung breitet sich aus

SEP Hybrid Backup, 19.02.2016
Cybererpressung kann man vorbeugen