Ransomware Horror Stories
Während meiner Zeit in den Gräben des Datenschutzes bin ich zahlreichen Ransomware-Angriffen begegnet. Dies waren wahre Horrorgeschichten, in denen Geschäftsinhaber am Rande der Insolvenz oder des vollständigen Reputationsverlusts standen. Im Folgenden finden Sie eine kurze Sammlung von Gedanken und Beschreibungen meiner Horrorgeschichte über Ransomware-Angriffe.
Am Anfang war die einfache Wiederherstellung
Ich werde nie vergessen, als ich das erste Mal einen Anruf erhielt, nachdem ein Kunde von einem seltsamen neuen Virus betroffen war, der alle seine Dateien verschlüsselt hatte. Sie hatten alles versucht, konnten aber nicht herausfinden, wie sie ihr Geschäft wieder zum Laufen bringen konnten. Diese Erfahrung war schwierig, aber eine schnelle vollständige Wiederherstellung vom letzten Backup hat funktioniert, und alle waren glücklich.
Leider war das nicht das Ende, und es dauerte nicht lange, bis der nächste Anruf einige Wochen später kam. Dies war eine Horrorgeschichte, die fortlaufend und sich ständig weiterentwickeln würde.
Die Einsätze erhöhen
Es dauerte nicht lange, bis die Ersteller von Ransomware erkannten, dass Backups ihre Erpressungsversuche behinderten und daher neutralisiert werden mussten.
Die eintönige Reihe gewöhnlicher Ransomware-Anrufe endete abrupt, als eines Tages der Kunde ankündigte, dass auch ihre Backups verschlüsselt worden waren. Die bösen Akteure hatten den Backup-Server und das NTFS-Repository auf dem lokalen Laufwerk des Backup-Servers verschlüsselt. Dies war ein typisches Setup in vielen mittelständischen bis kleinen Organisationen. Glücklicherweise hatte der Kunde auch Tape-Backup-Jobs, und wir konnten ein etwas älteres, aber dennoch gutes Backup wiederherstellen. Es wurde zunehmend klar, dass, wenn es um Ransomware-Schutz ging, mehr Backups definitiv besser waren.
Sie entwickeln sich, wir entwickeln uns
Nach diesem Vorfall begannen wir, unseren Kunden zu raten, den VBR-Server aus der Produktionsdomäne zu entfernen und Offsite-Backups oder Offline-Backups zu haben. In der Vergangenheit hatten wir Offsite-Backups hauptsächlich aus der Sicht von Katastrophen betrachtet, mit anderen Worten, potenziellen physischen Problemen im lokalen Rechenzentrum, aber mit dem Aufkommen von Ransomware wurde die Bedeutung, eine zusätzliche Kopie Offsite zu behalten, unerlässlich.
Es dauerte jedoch nicht lange, bis wir unseren ersten Fall von gelöschten Cloud-Backups hatten. Die Ransomware-Banden hatten herausgefunden, wie sie die Cloud Connect-Backup-Kopierjobs löschen konnten, sobald sie die Kontrolle über den VBR-Server übernommen hatten. Als Reaktion auf dies und Insider-Bedrohungen fügte Veeam den Insider-Schutz hinzu, der alle gelöschten Backups in einen versteckten Papierkorb verschob. Die cleveren Gauner waren jedoch in einigen Fällen in der Lage, die Backup-Aufbewahrung zu reduzieren und die letzten Backups zu verschlüsseln, was diesen Abwehrmechanismus beeinträchtigte. Es musste etwas mehr geben!
Einführung der Unveränderlichkeit
Das Linux-Dateisystem unterstützt das unveränderliche Bit schon seit einiger Zeit. Dennoch wurde dies erst relativ kürzlich mit Veeam-Backups kombiniert, um solide, unbewegliche Backups zu erstellen.
Jetzt, selbst wenn der böse Akteur die Kontrolle über den VBR-Server übernahm, wäre es ihm immer noch nicht möglich, die Backups zu löschen.
Die Hinzufügung der Unveränderlichkeit dachten wir, sei die Lösung, der Knoblauch für unsere Ransomware-Vampire!
Halloween jeden Tag!
Leider endeten die Horrorgeschichten dort nicht. Leider entwickelten unsere gruseligen Feinde neue Methoden, um die Daten schutzabwehr zu untergraben. Indem sie schlafende Ransomware auf den angegriffenen Systemen platzierten, konnten sie die Backups infizieren, sodass selbst wenn sie letztere nicht löschen konnten, sie das Opfer kurz nach Abschluss aller Wiederherstellungen einfach erneut infizieren würden. Dies war vielleicht eines der gruseligsten und schlimmsten Szenarien, da die emotionalen Achterbahnfahrten, mehrere Wiederherstellungssitzungen an zahlreichen Tagen hintereinander durchführen zu müssen, die IT-Teams erheblich belasten würden. Sie stellten ihre Systeme wieder her, nur um sie kurz darauf erneut infiziert vorzufinden. Intensive Kämpfe fanden unter Verwendung von Ransomware-Erkennungsmethoden und Antivirenprogrammen statt, was zu mehr Ausfallzeiten und Stress für die betroffenen Kunden führte.
Wenn es um Ransomware geht, kommt Halloween nicht einmal im Jahr, sondern ist eine tägliche, sich wiederholende Bedrohung. Die Form des Trick-or-Treating der Ransomware-Banden ist einfach zu lukrativ, um darauf zu verzichten, und mit jeder neuen Verteidigung versuchen sie, irgendeine Art von Schlupfloch zu finden, um in ihren bösen, aber hochprofitablen Wegen fortzufahren.
Die einzige Lösung ist, die Geister zu vertreiben!
ZTDR, oder Zerto Trust Data Resilience, ist Veeams neue Strategie, um die Ransomware-Ungeheuer zu vertreiben. Zu seinen Grundsätzen gehört die Annahme eines Angriffs, die Segmentierung des Backup-Speichers von den anderen Komponenten des Datenschutz-Setups, das Testen von Backups auf Infektionen durch Nutzung von Inline-Scanning und Yara-Regeln und natürlich sicherzustellen, dass alle Ihre Backups unveränderlich sind!
Wenn Sie nicht auf den Ransomware-Friedhof verschlüsselter Geschäftsdaten gelangen möchten, dann sollten Sie sicherstellen, dass Sie ZTDR folgen