19
Warum Ransomware funktioniert: Taktiken und Routinen
Backup der Dateien ist sehr empfehlenswert, doch keine alleinige Lösung, denn es gibt Ransomware-Varianten, die auch Backups verschlüsseln. Daher sollten Unternehmen eine mehrschichtige Verteidigung wählen.
https://blog.trendmicro.de/warum-ransomware-funktioniert-taktiken-und-ro ...
https://blog.trendmicro.de/warum-ransomware-funktioniert-taktiken-und-ro ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309617
Url: https://administrator.de/forum/warum-ransomware-funktioniert-taktiken-und-routinen-309617.html
Ausgedruckt am: 12.04.2025 um 06:04 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @runasservice:
Backup der Dateien ist sehr empfehlenswert, doch keine alleinige Lösung, denn es gibt Ransomware-Varianten, die auch Backups verschlüsseln. Daher sollten Unternehmen eine mehrschichtige Verteidigung wählen.
Backup der Dateien ist sehr empfehlenswert, doch keine alleinige Lösung, denn es gibt Ransomware-Varianten, die auch Backups verschlüsseln. Daher sollten Unternehmen eine mehrschichtige Verteidigung wählen.
Die da heisst: "ziehe deine Backupplatte nach dem sichern ab, junger Padawan!"
Schon hat man dieses Problem umgangen, und für die faulen kann Veeam endpoint Platten nach dem sichern auch auswerfen, dann sind sie nicht mehr da.
Die da heisst: "ziehe deine Backupplatte nach dem sichern ab, junger Padawan!"
Schon hat man dieses Problem umgangen,
Schon hat man dieses Problem umgangen,
Der Originalartikel ist von Rhena Inocencio, Anthony Melgarejo, and Jon Oliver. Folgt man den Aussagen, ist das wohl nicht mit abziehen/auswerfen von Festplatten gelöst.
Nach einen Bericht von MIT Technology, mussten hier in Deutschhland Operationen abgesagt werden, weil das Krankenhaus keinen Zugriff mehr auf Patientenunterlagen hatte.
Betroffen sind auch viele Firmen, die sich mehr als eine "kostenlose Backup-Lösung" leisten konnten. Der Schaden im 1. Quartal 2016 beläuft sich weltweit bereits auf 206.000.000$. Einige große Firmen legen sich schon BitCoin Konten an, damit Sie im Notfall schneller bezahlen können.
Man kann das lesen und sich nur wundern, warum die nicht einfach Ihre "Backupplatte" abziehen
Zitat von @runasservice:
Nach einen Bericht von MIT Technology, mussten hier in Deutschhland Operationen abgesagt werden, weil das Krankenhaus keinen Zugriff mehr auf Patientenunterlagen hatte.
Nach einen Bericht von MIT Technology, mussten hier in Deutschhland Operationen abgesagt werden, weil das Krankenhaus keinen Zugriff mehr auf Patientenunterlagen hatte.
Dann ist das Krankenhaus falsch organmisiert, wenn die OP davon abhängt, ob die IT-Systeme laufen.
lks
PS: wenn ich sehe, wie einfach es ist Krankenhaus-IT zu infiltrieren, wundert es mich, daß da nicht viel mehr passiert.
Hi
Mich wunderts das noch kein Großkraftwerk (AKW, Stauseen) so lahmgelegt wurde. Ist wahrscheinlich aber auch nur eine Frage der zeit.... Über die Folgen eines solchen Ausfalles oder gar Manipulationen der Steuerungs Systeme will ich gar nicht erst Nachdenken.:/
PPR
Einige große Firmen legen sich schon BitCoin Konten an, damit Sie im Notfall schneller bezahlen können.
Saubere Backups erstellen ist halt schon schweineteuer..;)Mich wunderts das noch kein Großkraftwerk (AKW, Stauseen) so lahmgelegt wurde. Ist wahrscheinlich aber auch nur eine Frage der zeit.... Über die Folgen eines solchen Ausfalles oder gar Manipulationen der Steuerungs Systeme will ich gar nicht erst Nachdenken.:/
PPR
Zitat von @Lochkartenstanzer:
Dann ist das Krankenhaus falsch organmisiert, wenn die OP davon abhängt, ob die IT-Systeme laufen.
lks
PS: wenn ich sehe, wie einfach es ist Krankenhaus-IT zu infiltrieren, wundert es mich, daß da nicht viel mehr passiert.
Dann ist das Krankenhaus falsch organmisiert, wenn die OP davon abhängt, ob die IT-Systeme laufen.
lks
PS: wenn ich sehe, wie einfach es ist Krankenhaus-IT zu infiltrieren, wundert es mich, daß da nicht viel mehr passiert.
In den meisten Krankenhäusern läuft nichts mehr ohne IT Systeme und damit meine ich wirklich nichts mehr.
Es sei denn es ist ein kleines Wald und Wiesen KH, wo der Chefarzt noch vom Hausmeister ins Büro getragen wird
Uuuund ich bin davon überzeugt, dass noch viel mehr passiert, es aber möglichst nicht publik gemacht wird.
Es wird sicherlich schon einige Firmen/Öffentliche Behörden ect getroffen haben.
Jedoch wird dies nicht Puplic gemacht da es ja Negative Presse ist sowie dann ja deutlich wird das u.a. bei der IT gespart wird...
Zudem da auch gleich die Leute bezüglich des Datenschutzes sich Melden werden..
Würde ich eher vermuten das nur das was Durchsickert an die Medien Puplic wird...
Durch so etwas kann ja sehr Fix des Vertrauen der Leute Verloren werden...
Jedoch wird dies nicht Puplic gemacht da es ja Negative Presse ist sowie dann ja deutlich wird das u.a. bei der IT gespart wird...
Zudem da auch gleich die Leute bezüglich des Datenschutzes sich Melden werden..
Würde ich eher vermuten das nur das was Durchsickert an die Medien Puplic wird...
Durch so etwas kann ja sehr Fix des Vertrauen der Leute Verloren werden...
Alleine das Backup Band anschließend automatisch auswerfen lassen reicht glaub ich nicht.
Denn man müsste gleich nach dem auswerfen lassen, auf einen anderen System das nirgends im Netz hängt,
prüfen ob die Daten am Band nicht schon verschlüsselt sind.
Und Auch wenn die Daten nicht verschlüsselt sind, heißt das nicht das der Trojaner nicht schon irgendwo liegt und wartet etc.
Komplett auf die Backuplösung zu hoffen, ist auch riskant, wenn die komplette AD Struktur oder was auch immer,
mal infiziert ist, kostet es unmengen an Zeit wieder alles zu bereinigen, auch wenn man theoretisch saubere Backups hat.
Kommt natürlich immer auf die Größe der Firma an.
Bitcoins zu lagern für den Fall der Fälle ist falls es sich die Firma leisten kann : ) sicherlich keine schlechte Idee.
Denn der Bitcoins Prozess ist auch nicht gerade der einfachste.
Denn man müsste gleich nach dem auswerfen lassen, auf einen anderen System das nirgends im Netz hängt,
prüfen ob die Daten am Band nicht schon verschlüsselt sind.
Und Auch wenn die Daten nicht verschlüsselt sind, heißt das nicht das der Trojaner nicht schon irgendwo liegt und wartet etc.
Komplett auf die Backuplösung zu hoffen, ist auch riskant, wenn die komplette AD Struktur oder was auch immer,
mal infiziert ist, kostet es unmengen an Zeit wieder alles zu bereinigen, auch wenn man theoretisch saubere Backups hat.
Kommt natürlich immer auf die Größe der Firma an.
Bitcoins zu lagern für den Fall der Fälle ist falls es sich die Firma leisten kann : ) sicherlich keine schlechte Idee.
Denn der Bitcoins Prozess ist auch nicht gerade der einfachste.
Zitat von @K-ist-K:
Bitcoins zu lagern für den Fall der Fälle ist falls es sich die Firma leisten kann : ) sicherlich keine schlechte Idee.
Denn der Bitcoins Prozess ist auch nicht gerade der einfachste.
Bitcoins zu lagern für den Fall der Fälle ist falls es sich die Firma leisten kann : ) sicherlich keine schlechte Idee.
Denn der Bitcoins Prozess ist auch nicht gerade der einfachste.
Wenn man jetzt "gewissenlos" wäre, könnt eman als IT.Dienstleister auch Bitcoin-Zahlungen für Notfälle anbieten, gegen entsprechenden Aufschlag natürlich, aber ich rate jedem meiner Kuden ab, Erpresser zu bezahlen.
lks
Klar sollte man den Erpresser nicht Geld geben.
Wenn sich das durch setzen würde, wär es nicht mehr so lukrativ.
Aber es gibt sicherlich teilweise einfach keine Alternative.
Wenn es Ransomware schafft eine Produktion still zu legen,
die eigentlich rund um die Uhr laufen sollte.
Und man Verträge mit anderen Firmen hat,
wo man Strafzahlungen zahlen muss bei Lieferverzögerung etc.
Wo man ev. in die 100 Tausender stellen kommt,
da hat man einfach nicht die Zeit, alles vom Backup neu hoch zu ziehen etc.
Da kommt es leichter zu zahlen und parallel neu hoch zu ziehen,
da der Schädlich vermutlich immer wieder aktiviert werden kann.
Lg
Wenn sich das durch setzen würde, wär es nicht mehr so lukrativ.
Aber es gibt sicherlich teilweise einfach keine Alternative.
Wenn es Ransomware schafft eine Produktion still zu legen,
die eigentlich rund um die Uhr laufen sollte.
Und man Verträge mit anderen Firmen hat,
wo man Strafzahlungen zahlen muss bei Lieferverzögerung etc.
Wo man ev. in die 100 Tausender stellen kommt,
da hat man einfach nicht die Zeit, alles vom Backup neu hoch zu ziehen etc.
Da kommt es leichter zu zahlen und parallel neu hoch zu ziehen,
da der Schädlich vermutlich immer wieder aktiviert werden kann.
Lg
Ja so etwas kennt man zu genüge..
Es muss Laufen Laufen Laufen und 0 Stillstand darf sein.
Wenn die Vorgesetzten darüber Informiert werden wegen Wartung, Ersatz ect gibt es dies meist kaum zudem dies ja auch Zeit und Geld kostet und es Läuft ja weshalb meist gespart wird da es uns ja nicht Treffen wird...
Aber wenn was steht wollen die nichts davon wissen das schon vor einiger Zeit die Info diesbezüglich gekommen ist und dies nun Teuer ist als die Vorsorge...
Es gibt ja Bereiche im Betrieb die können mal stehen ohne das gleich der ganze Betrieb stehen muss.
Aber andere Bereiche sind da schon kritisch da kann der Betrieb stehen...
Es muss Laufen Laufen Laufen und 0 Stillstand darf sein.
Wenn die Vorgesetzten darüber Informiert werden wegen Wartung, Ersatz ect gibt es dies meist kaum zudem dies ja auch Zeit und Geld kostet und es Läuft ja weshalb meist gespart wird da es uns ja nicht Treffen wird...
Aber wenn was steht wollen die nichts davon wissen das schon vor einiger Zeit die Info diesbezüglich gekommen ist und dies nun Teuer ist als die Vorsorge...
Es gibt ja Bereiche im Betrieb die können mal stehen ohne das gleich der ganze Betrieb stehen muss.
Aber andere Bereiche sind da schon kritisch da kann der Betrieb stehen...
@kaiand1 lustig als würdest du bei uns arbeiten. Denke das die Probleme viele Betriebe haben.
Man weißt auf Probleme hin, die real sind, aber es wird ignoriert oder kein Geld in die Hand genommen,
da sich die Leute nicht der Gefahr bewusst sind, denn diese Probleme gab es vor 10 Jahren noch
nicht in diesem Umfang, warum sollte es diese jetzt geben : )
Zu mindest kommt es mir so vor.
Man weißt auf Probleme hin, die real sind, aber es wird ignoriert oder kein Geld in die Hand genommen,
da sich die Leute nicht der Gefahr bewusst sind, denn diese Probleme gab es vor 10 Jahren noch
nicht in diesem Umfang, warum sollte es diese jetzt geben : )
Zu mindest kommt es mir so vor.
Moin,
Ransomeware Auswirkungen klein zu bekommen ist gar nicht so schwer.
1. Endusersysteme nur mit read-only rechten laufen lassen.
2. Copy-On-Write Dateisysteme für sämtliche Freigaben fahren. Das erspart den Gang in den Keller, wenn mal was passiert.
3. Audit auf Schreibzugriffe fahren. So hat man schnell den Übeltäter identifiziert.
Einziges Problem in das man nun läuft: Windows kann mit read-only nicht umgehen. Was sagt uns das? ^^
Gruß
Chris
Ransomeware Auswirkungen klein zu bekommen ist gar nicht so schwer.
1. Endusersysteme nur mit read-only rechten laufen lassen.
2. Copy-On-Write Dateisysteme für sämtliche Freigaben fahren. Das erspart den Gang in den Keller, wenn mal was passiert.
3. Audit auf Schreibzugriffe fahren. So hat man schnell den Übeltäter identifiziert.
Einziges Problem in das man nun läuft: Windows kann mit read-only nicht umgehen. Was sagt uns das? ^^
Gruß
Chris
Hi,
E.
Einziges Problem in das man nun läuft: Windows kann mit read-only nicht umgehen. Was sagt uns das? ^^
Erstmal müsste man wissen, was Du uns damit sagen willst.E.
Warum die Endusersysteme nur auf read-only laufen lassen,
wenn es um die Sicherheit der End User geht, kannst ja auch einen Kioskmod fahren.
Das funktioniert mit Windows.
2. Punkt verstehe ich nicht ganz.
3. Punkt. Was bringt es mir wenn ich weiß wer der Übeltäter ist,
Da sind meine Systeme dennoch infiziert und verursachen Schaden und Kosten.
Lg
wenn es um die Sicherheit der End User geht, kannst ja auch einen Kioskmod fahren.
Das funktioniert mit Windows.
2. Punkt verstehe ich nicht ganz.
3. Punkt. Was bringt es mir wenn ich weiß wer der Übeltäter ist,
Da sind meine Systeme dennoch infiziert und verursachen Schaden und Kosten.
Lg
2. Punkt verstehe ich nicht ganz.
Er meint sowas wie Snapshot auf einem SAN oder NAS. Oder einfach nur VSS.
1
Moin,
Wenn du ein Copy-On-Write-Dateisystem mit Snapshots fährst, bist du mit dem Wiederherstellen mehrerer Terabyte im Zweifel in wenigen Minuten fertig.
Wenn du weißt wer das Problem ist und du mit temporären Systemen arbeitest, schießt du das entsprechende System ab. Startest die Kiste neu (ist somit wieder sauber, da die Ransomeware kein Plätzchen findet, was nicht wieder ausradiert wird), stellst deinen Snapshot von den Orten, wo der Schaden entstanden ist, wie der her und kannst sehr einfach weiterarbeiten.
Der Schaden ist da, soweit richtig, aber er ist auch sehr schneller wieder verschwunden, wenn man es richtig macht. Davon abgesehen sollte man natürlich auch immer darauf achten, dass man das ausführen von nicht vorinstallierter Software möglichst verhindert. Bei Scripten ist das halt unfein.
Gruß
Chris
2. Punkt verstehe ich nicht ganz.
Wenn du ein Copy-On-Write-Dateisystem mit Snapshots fährst, bist du mit dem Wiederherstellen mehrerer Terabyte im Zweifel in wenigen Minuten fertig.
3. Punkt. Was bringt es mir wenn ich weiß wer der Übeltäter ist,
Da sind meine Systeme dennoch infiziert und verursachen Schaden und Kosten.
Da sind meine Systeme dennoch infiziert und verursachen Schaden und Kosten.
Wenn du weißt wer das Problem ist und du mit temporären Systemen arbeitest, schießt du das entsprechende System ab. Startest die Kiste neu (ist somit wieder sauber, da die Ransomeware kein Plätzchen findet, was nicht wieder ausradiert wird), stellst deinen Snapshot von den Orten, wo der Schaden entstanden ist, wie der her und kannst sehr einfach weiterarbeiten.
Der Schaden ist da, soweit richtig, aber er ist auch sehr schneller wieder verschwunden, wenn man es richtig macht. Davon abgesehen sollte man natürlich auch immer darauf achten, dass man das ausführen von nicht vorinstallierter Software möglichst verhindert. Bei Scripten ist das halt unfein.
Gruß
Chris
Ja wenn nur 1 System auf einmal betroffen ist, kann man das mit den Snapshots schon machen.
Wenn sich die Ransomware aber rasch ausbreitet oder wie bekannt mal wartet bis er aktiv wird,
sieht das schon wieder schwieriger aus.
Spätestens wenn mehrere oder alle DCs betroffen sind, wird es schwierig.
Denn die komplette AD Struktur wiederherzustellen ist denke ich nicht ganz so leicht.
Außerdem benötigen Snapshots auch Platz. Wenn man davon ausgeht das Ransomware teils wartet bis es aktiv wird,
benötigt man auch noch Snapshots die länger in der Vergangenheit sind (denke 10 Tage oder so, falls man schnell reagiert als IT)
Dann aber auch für alle Systeme. Da die Snapshots dann extrem relevant sind, benötigt man die dann nicht nur
auf einer Storage sondern auf min. 2. Da alle Systeme Snapshots machen übers Netzwerk wird eine gewisse Bandbreite genutzt.
Dazu kommt normaler Traffic.
Was ich damit sagen möchte, ganz so einfach ist es dann auch nicht, das man Ransomware entgegen wirkt.
Überhaupt weil wir hier das so Beschreiben als hätte jede Firma eine eigene Abteilung gegen Cyberkriminialität
und als wäre die Hauseigene IT nicht schon ohne den Problem meist überlastet.
Wenn sich die Ransomware aber rasch ausbreitet oder wie bekannt mal wartet bis er aktiv wird,
sieht das schon wieder schwieriger aus.
Spätestens wenn mehrere oder alle DCs betroffen sind, wird es schwierig.
Denn die komplette AD Struktur wiederherzustellen ist denke ich nicht ganz so leicht.
Außerdem benötigen Snapshots auch Platz. Wenn man davon ausgeht das Ransomware teils wartet bis es aktiv wird,
benötigt man auch noch Snapshots die länger in der Vergangenheit sind (denke 10 Tage oder so, falls man schnell reagiert als IT)
Dann aber auch für alle Systeme. Da die Snapshots dann extrem relevant sind, benötigt man die dann nicht nur
auf einer Storage sondern auf min. 2. Da alle Systeme Snapshots machen übers Netzwerk wird eine gewisse Bandbreite genutzt.
Dazu kommt normaler Traffic.
Was ich damit sagen möchte, ganz so einfach ist es dann auch nicht, das man Ransomware entgegen wirkt.
Überhaupt weil wir hier das so Beschreiben als hätte jede Firma eine eigene Abteilung gegen Cyberkriminialität
und als wäre die Hauseigene IT nicht schon ohne den Problem meist überlastet.
Ja so etwas hab ich selbst schon bei etlichen Firmen selbst erleben dürfen sowie durch Kollegen ect...
Hab auch mal mitbekommen das in einen Betrieb ein Elektriker ca 1 Monat vorher gemeldet hat das ein Motor für das Hauptband des Transportes einen Defekt (Lagerschaden) aufweist da der Geräusche machte die nicht normal sind..
Es wurde keine Wartung gemacht noch ein Ersatzmotor Bestellt und als dieser dann mitten im Betrieb ausfiel stand alles....
Von den Vorgesetzten nur "Panik" wegen den Ausfall und was das nun kostet und was gemacht werden kann damit es erstmal weiter gehen kann...
Hat am Ende das 6fache gekostet als vorher mal wo noch Zeit war zu Planen,Bestellen ect...
Und das schönste dabei war noch das die Vorgesetzten den Falschen Motor Bestellt (Eillieferung) hatten und dieser gar nicht passte *g*
Hab auch mal mitbekommen das in einen Betrieb ein Elektriker ca 1 Monat vorher gemeldet hat das ein Motor für das Hauptband des Transportes einen Defekt (Lagerschaden) aufweist da der Geräusche machte die nicht normal sind..
Es wurde keine Wartung gemacht noch ein Ersatzmotor Bestellt und als dieser dann mitten im Betrieb ausfiel stand alles....
Von den Vorgesetzten nur "Panik" wegen den Ausfall und was das nun kostet und was gemacht werden kann damit es erstmal weiter gehen kann...
Hat am Ende das 6fache gekostet als vorher mal wo noch Zeit war zu Planen,Bestellen ect...
Und das schönste dabei war noch das die Vorgesetzten den Falschen Motor Bestellt (Eillieferung) hatten und dieser gar nicht passte *g*
Moin,
Wenn dein DC von einer Ransomeware befallen ist, hast du vermutlich ganz andere Probleme als dein Backup von letzter Nacht. Das ist richtig. Aber darum ging es mir auch nicht. Wenn du einem "professionellen Angriff" ausgeliefert bist, gelten gewiss andere Regeln, das ist richtig.
Aber mein Beispiel war eher an das gerichtet, was man so alle 2-3 Tage in Form von Locky, santana und wie sie sich alle nennen antrifft. Also diese Spielzeuge, die eben nervig sind, wenn jemand mal den falschen Mailanhang öffnet.
Wenn wir von einer Ransomeware sprechen, die ggf. noch auf die Infrastruktur des Unternehmens angepasst wurde und wo man vorher eine sehr detaillierte Auskundschaftung des Netzes betreibt, ist eine ganz andere Hausnummer. Hier braucht es dann natürlich die von dir genannte Abteilung gegen Cyberkriminalität, die nicht jedes Unternehmen hat. Geschweige denn Leisten kann.
Gruß
Chris
PS: In einem Unternehmen einer gewissen Größe, sollte es übrigens kein einzelnes System mehr geben, welches "betriebsrelevant" ist. Also ohne das irgendwas steht. ;)
Wenn dein DC von einer Ransomeware befallen ist, hast du vermutlich ganz andere Probleme als dein Backup von letzter Nacht. Das ist richtig. Aber darum ging es mir auch nicht. Wenn du einem "professionellen Angriff" ausgeliefert bist, gelten gewiss andere Regeln, das ist richtig.
Aber mein Beispiel war eher an das gerichtet, was man so alle 2-3 Tage in Form von Locky, santana und wie sie sich alle nennen antrifft. Also diese Spielzeuge, die eben nervig sind, wenn jemand mal den falschen Mailanhang öffnet.
Wenn wir von einer Ransomeware sprechen, die ggf. noch auf die Infrastruktur des Unternehmens angepasst wurde und wo man vorher eine sehr detaillierte Auskundschaftung des Netzes betreibt, ist eine ganz andere Hausnummer. Hier braucht es dann natürlich die von dir genannte Abteilung gegen Cyberkriminalität, die nicht jedes Unternehmen hat. Geschweige denn Leisten kann.
Gruß
Chris
PS: In einem Unternehmen einer gewissen Größe, sollte es übrigens kein einzelnes System mehr geben, welches "betriebsrelevant" ist. Also ohne das irgendwas steht. ;)
