Maßnahmen gegen Erpressungstrojaner

Erpressungstrojaner (Ransomware) sind derzeit in der Malwareszene groß in Mode. Oft genug zahlen Unternehmen das Lösegeld in der Hoffnung, ihre Daten wieder zu bekommen.

Selbst bei vorsichtigen Anwendern kann es passieren, dass doch einmal eine Office Datei mit Macros geöffnet und das Macro ausgeführt wird. Wenn man Office Dateien mit Macros in E-Mails und beim Download nicht sperren kann, dann wird zumindest ein Frühwarnsystem benötigt. Das funktioniert aber nur dann, wenn auf der Serverseite eine Plattform verwendet wird, die nicht unter Windows läuft und so im Rahmen der forensischen Untersuchungen nicht ausgeschaltet werden muss.

NAS

Auf einem FreeBSD basierten NAS werden alle 10 Min. Snapshots von den Windows Shares erstellt, was mit ZFS Bordmitteln kein Problem ist. Weiterhin wurde mit watchman ein Tool installiert, das bei jeder Veränderung von Dateien ein Skript aufruft. Wenn neue Dateien angelegt oder Dateien geändert werden, wird geprüft, ob es sich um einen bekannten Dateityp handelt, wobei der Inhalt der Datei geprüft wird. Werden Dateien unbekannten Typs erstellt, dann wird der betreffende Account gesperrt.

Damit kann man zumindest die Auswirkungen eines solchen Vorfalls begrenzen.

Prävention

Ohne Präventionsmaßnahmen ist im Falle einer Ransomware die Insolvenz gerade für kleine Unternehmen oft nicht mehr zu vermeiden. Es ist daher lebenswichtig, vorauszuplanen.

  • Schulung der Mitarbeiter ⇒ nicht alles anklicken, Macros möglichst nicht verwenden.
  • Härtung der Infrastruktur: Am besten Office Dateien mit Macros direkt am Mailgateway bzw. Webproxy blockieren.
  • Die o.g. NAS Lösung implementieren, so dass die IT möglichst schnell etwas merkt, wenn eine Erpressungssoftware aktiv ist.
  • Notfallplan, aus dem hervorgeht, was zu tun ist, wenn es einen Sicherheitsvorfall gab.

Der Notfallplan sollten neben Handlungsanweisungen auch Adressen und Telefonnummern für wichtige Ansprechpartner (zuständige Führungskräfte, Forensikexperten etc.) enthalten sein. Im Idealfall kann man sich in einer Public Cloud auch eine Notfall Infrastruktur aufbauen, mit der die wichtigsten Geschäftsprozesse aufrecht erhalten werden können.

Es ist passiert!

Wurden dabei Spuren einer Ransomware festgestellt, dann alle Windows Installationen sofort ausschalten - nicht erst runterfahren. Bevor jetzt irgendwas gebastelt wird, sollte man sich professionelle Hilfe von einem Unternehmen holen, das eine nachweisbare Expertise im Bereich Computerforensik hat. Erst mit dieser Unterstützung kann man mit systematischen Aufräumarbeiten beginnen. Eine Ransomware ist meist erst der letzte Schritt einer Infektion, meist ist Monate vorher schon eine Malware in das Haus gekommen. Es muss also damit gerechnet werden, dass

  1. Alle Windows Installationen kompromittiert sind
  2. Evtl. auch die Firmware der PCs/Server (BIOS/UEFI) kompromittiert sind
  3. Ein Abfluss von vertraulichen Daten erfolgt ist

Im Falle von [2] muss die Hardware i.d.R. entsorgt werden, wenn man nicht mit dem Hersteller einen Wartungsvertrag hat, der auch in solchen Fällen eine Wiederherstellung der Firmware mit einschließt.

Bei [3] muss ggf. eine Meldung an den Landesdatenschutzbeauftragten erfolgen. Auch hier muss genau gearbeitet werden, um dabei keine Fehler zu machen und evtl. noch ein Bußgeld zu riskieren.