30.10.2020 09:30

Oh ... Ransomware hat auch meine Backups verschlüsselt ... Was nun?

Das Thema Ransomware verfolgt Unternehmen weltweit nun schon ein bis zwei Jahrzehnte [1]. Es ist auch kein Trend zu erkennen, dass sich das bald ändern sollte. Es muss leider vom Gegenteil ausgegangen werden. Die Anzahl an Vorfällen ist besonders in den letzten Jahren gestiegen [2]. Angreifer setzten inzwischen nicht nur auf Verschlüsselung, sondern drohen mit der Veröffentlichung von Unternehmensdaten, welche vor dem Unbrauchbarmachen exfiltriert wurden, um die Zahlungswilligkeit der Opfer zu erhöhen. Es gibt auch Varianten die den Druck auf Unternehmen mittels Denial-of-Service Angriffen weiter verstärken [3].
Neben der von uns bereits 2016 veröffentlichten Information [4], die trotz ihres Alters immer noch aktuell ist, und den Hinweisen auf neue Methoden [5] beziehungsweise potentielle Abhilfen [6], nun zu einem anderen Aspekt der ebenso als eine Möglichkeit zur Wiederherstellung verschlüsselter Daten nach einem Ransomware-Vorfall dienen kann ...

Backup-Snapshots auf Dateisystemebene

Moderne Network-Attached-Storage (NAS) Systeme, die auch gerne von kleinen und mittleren Unternehmen für die Sicherung von Daten genutzt werden, benutzen häufig klassisch LINUX-basierende Dateisysteme (EXT4, ZFS, BTRFS) welche direkt oder über systeminterne Lösungen Snapshots, also Momentaufnahmen des aktuellen Zustands der gespeicherten Daten, ermöglichen. Dies kann über die Verwaltungstools der jeweiligen NAS-Lösung konfiguriert und automatisiert werden. Da diese Schnappschüsse nur Änderungen des IST-Zustands aufzeichnen, ist der notwendige höhere Speicherbedarf im Normalfall gering, so dass zum Einsatz dieser Momentaufnahmen nicht unbedingt eine Speichererweiterung notwendig ist.
Aktuelle Ransomware fungiert fast ausschließlich auf der Windows Dateisystemebene und verschlüsselt daher die meist über Server Message Block (SMB) für das Backup freigegebenen Bereiche auf der NAS. Dies betrifft aber nicht das darunterliegenden native LINUX Dateisystem.

Fazit

Wurde man Opfer eines Ransomwareangriffs und hatte Snapshots auf LINUX Dateisystemebene auf der NAS aktiviert, besteht nun die Möglichkeit zumindest einen Teil der Daten mittels Rückspielen der Momentaufnahme wiederherzustellen.

Snapshots können echte OFFLINE-Backups nicht ersetzen und sind diesen nicht vorzuziehen, aber können im Notfall Abhilfe schaffen.

 

[1] https://de.wikipedia.org/wiki/Ransomware#Historie
[2] https://www.enisa.europa.eu/publications/ransomware
[3] https://www.bleepingcomputer.com/news/security/ransomware-gangs-add-ddos-attacks-to-their-extortion-arsenal/
[4] https://cert.at/de/spezielles/2016/4/spezielles-20160325
[5] https://cert.at/de/aktuelles/2020/10/aktuelles-2020-10-22-ransomware
[6] https://cert.at/de/aktuelles/2020/10/raccine-eine-simple-methode-um-den-schutz-vor-ransomware-zu-erhohen

Verfasst von: Erik Huemer