IT-BUSINESS Aktion:

#ITfightsCorona

Schadsoftware und Ransomware

Wir wurden gehackt – was nun?

| Autor: Susanne Ehneß

Im Fall einer bereits erfolgten Verschlüsselung: kein Lösegeld bezahlen
Im Fall einer bereits erfolgten Verschlüsselung: kein Lösegeld bezahlen (© zephyr_p - stock.adobe.com)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Notfalldokument für IT-Sicherheitsbeauftragte, CISOs und Systemadministratoren von KMU und kleineren Behörden für den Fall eines schweren IT-Sicherheitsvorfalls wie Emotet oder Trickbot zusammengestellt.

Das Dokument soll eine erste systematische Hilfestellung bei einem IT-Sicherheitsvorfall geben und wird unregelmäßig mit aktuellen Erfahrungen ergänzt. Für Unternehmen oder Behörden, die noch keine Erfahrung mit Cyberattacken haben, können die Ausführungen als eine Art Projekt dienen.

Zusammengefasst empfiehlt das BSI folgende Erste-Hilfe-Maßnahmen:

Organisation

  • Bewahren Sie Ruhe und handeln Sie nicht übereilt.
  • Richten Sie einen Krisenstab (oder eine Projektgruppe) ein.
  • Klären Sie regelmäßig folgende Fragen: Wer macht was bis wann? Welche Tagesaufgaben können für die Bewältigung des Vorfalls liegen gelassen werden? Wer trifft die relevanten Entscheidungen? Sollen Systeme schnell wieder aufgesetzt oder Spuren gesichert werden? Wer kommuniziert was wann an wen? Wollen Sie Anzeige erstatten?
  • Denken Sie an Meldepflichten.
  • Holen Sie sich bei Bedarf frühzeitig externe Unterstützung.
  • Kurzfristig für den Notbetrieb wichtige Daten können sich auch an ggf. abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, welche (noch) nicht betroffen sind.

Technik

  • Oberste Regel: Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist.
  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inklusive Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
  • Identifizieren Sie das/die Schadprogramm/e. Für Ransomware können Sie etwa die Seiten „No More Ransom“ und „ID Ransomware“ nutzen. Sollte es für die Ransomware bereits Entschlüsselungstools geben, wird dies dort angezeigt – die Wahrscheinlichkeit hierfür ist jedoch gering. In einigen Fällen steht der Name der Ransomware auch in dem üblicherweise angezeigten Erpresserschreiben oder dieser wird den verschlüsselten Dateien als Dateinamenserweiterung hinzugefügt. Zu einer bekannten Ransomware können Sie dann mit Hilfe gängiger Suchmaschinen Informationen finden.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten lokalen System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte lokale Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
  • Fortschrittliche Schadsoftware-Varianten wie Trickbot können sich mit ausgespähten Zugangsdaten für Benutzerkonten (ggf. mit administrativen Rechten) lateral im Netzwerk ausbreiten. Beachten Sie die Problematik eines „Golden Tickets“ und Kompromittierungen von Domaincontrollern und Serversystemen (Active Directory und alle domain-joined Systeme neu aufsetzen). Sollte das nicht schnell möglich sein, muss das Passwort des eingebauten Key Distribution Service Accounts (KRBTGT) zweimal zurückgesetzt werden. Dies invalidiert alle Golden Tickets welche mit dem zuvor gestohlenen KRBTGT-Hash und allen anderen Kerberos Tickets erzeugt wurden.
  • Alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden. Dies umfasst u. a. Webbrowser, eMail-Clients, RDP/VNC-Verbindungen sowie andere Anwendungen wie PuTTY, FileZilla, WinSCP, etc.
  • Blockieren Sie jede nicht unbedingt benötigte Remote-Verbindung, beobachten Sie den Netzwerkverkehr und lassen Sie Antiviren-Scans laufen um weitere Infektionen und Täterzugriffe auszuschließen.
  • Prüfen Sie, ob Sie saubere, integre Backups haben.
  • Im Fall einer bereits erfolgten Verschlüsselung sollten Sie grundsätzlich nicht auf die Erpressung eingehen und kein Lösegeld bezahlen. Stattdessen sollten die Daten in ein sauberes Netzwerk aus Backups zurückgespielt werden.
  • Eine Persistenz von Schadsoftware im BIOS oder gar der Hardware ist sehr selten und wird bislang nicht von breit verteilter Schadsoftware angewandt.
  • Um einen zukünftigen weiteren Zugriff der Täter auf das interne Netzwerk und eine erneute Ausbreitung von Schadsoftware auszuschließen, sollte im Fall einer Kompromittierung des AD das Netz unbedingt komplett neu aufgebaut werden. Dies kann nach einer schnellen Bereinigung u.U. auch langfristig nach Sicherstellung der Betriebsfähigkeit erfolgen.

Das komplette Dokument „Erste Hilfe bei einem schweren IT-Sicherheitsvorfall“ mit detaillierten Anweisungen und Tipps gibt es online als PDF auf der entsprechenden Seite des BSI.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46374246 / Security)