Ransomware und Kollaborationsspeicher Auszug aus der Praxis Kai Scheddin - ZeuSWarE GmbH 11.10.2017 1
Überblick Inhalt i. Allgemeines i. Was ist ein Kollaborationsspeicher? ii. Was ist Ransomware? iii. Gefährdung- Angriffe mit Schädlingen verstärkt ii. Vorfall 1 i. Die Infrastruktur im Kleinunternehmen ii. Was ist passiert? iii. Nachbereitung/Analyse iv. Maßnahmen aus der Nachbereitung iii. Vorfall 2 i. Die erweiterte Infrastruktur im Kleinunternehmen ii. Was ist passiert? iii. Nachbereitung/Analyse iv. Maßnahmen aus der Nachbereitung iv. Fazit v. Links & Formulare 11.10.2017 2
I: Was ist ein Kollaborationsspeicher? Jede Form von Speicher die für die Zusammenarbeit von Teilnehmern vorgesehen, diese vorwiegend direkt darauf zugreifen können, und unabhängig von der eigentlich verwendeten Form und Technik ist. Das können sein: NAS SMB CIFS WebDAV Korn- und Wasserspeicher Uvm.. 11.10.2017 3
I: Was ist Ransomware? Software welche den Zugriff auf Daten bis zur Zahlung eines Lösegeldes ( engl.: ransom Arten: Sperren von Systemen Verschlüsselung von Daten Sonderform Pseudo-Ransomware: Das Ziel ist nicht das Lösegeld sondern der verursachte Schaden am Ziel. 11.10.2017 4
I: Gefährdung- Angriffe mit Schädlingen verstärkt ANZAHL NUTZER WELCHE MIT RANSOMWARE KONFRONTIERT WAREN 2,58 Millionen ANZAHL DER VON VERSCHLÜSSELUNGSSCHÄDLINGEN ANGEGRIFFENEN BENUTZER +11,4% +60,37% 1.152.299 2,32 Millionen 718.536 31,03% zu 2,32 M 44,64% zu 2,58 M A P R I L 2 0 1 5 - M Ä R Z 2 0 1 6 A P R I L 2 0 1 6 - M Ä R Z 2 0 1 7 A P R I L 2 0 1 5 - M Ä R Z 2 0 1 6 A P R I L 2 0 1 6 - M Ä R Z 2 0 1 7 11.10.2017 5
II: Vorfall 1 Die Infrastruktur des Kleinunternehmens Was ist passiert? Nachbereitung/Analyse Maßnahmen aus der Nachbereitung 11.10.2017 6
II: Die Infrastruktur im Kleinunternehmen Szenario SBS 2011 All Services on one Server 15-30 Nutzer Viel E-Mail Verkehr Wichtige Daten auf/in der Freigabe Kleines Budget für IT KU im B2C Geschäft Umsatz ~2,5M-4M Computer Domän e Freigabe Standort Computer Computer Benutzer Computer Benutz er Benutzer Benutzer 11.10.2017 7
II: Was ist passiert? 11:00 Anruf eines Mitarbeiters 12:30 Der GF kann seine E-Mails nicht mehr abrufen 12:45 Telko zwischen GF und uns 13:00 Der GF traf in der Firma ein 13:45 Eintreffen des externen IT-Dienstleisters 14:15 Erkenntnis: Es wird noch durchgehend Verschlüsselt 14:15 15:30 Prozess identifiziert und ausgeschaltet 15:30 - clear Hallo Herr Scheddin, die Dateien sehen irgendwie 11.10.2017 8
II: Nachbereitung/Analyse Die Alarmierung, die Reaktionszeiten, die Ursachen sowie die Auswirkungen wurden schnell und fassbar eingeschätzt. Der Virenscanner war wirkungslos. Angriffsvektor durch den externen IT-Dienstleister nur schätzbar. Die Wiederanlaufzeit war mit 24h annehmbar, da zu betriebsarmen Zeit. Die weitere Analyse zeigte: Dharma Ransomware (CrySiS Variante) Zum Glück machen wir 11.10.2017 9
II: Maßnahmen aus der Nachbereitung Sofortmaßnahmen*: Verbesserung des Datensicherungsprozederes (Backups) Prüfung der Aktualität aller Virenscanner Meldung des Vorfalles an die zuständige Behörde (LKA o.ä) Langfristige Maßnahmen: Prüfung der Zugriffsrechte der Clients** Kontinuierliche Prüfung auf Aktualität der Betriebssystem und Software*** * Man bedenke: kleines IT-Budget ** Man bedenke auch: Im B2C Geschäft unbedingt prüfen wegen EU-DSGVO *** Nutzer ignorieren gerne den Patch-bedarf, auf doch dann unangenehme Art und Weise 11.10.2017 10
III: Vorfall 2 Die erweiterte Infrastruktur des Kleinunternehmens Was ist passiert? Nachbereitung/Analyse Maßnahmen aus der Nachbereitung 11.10.2017 11
III: Die erweiterte Infrastruktur im Kleinunternehmen Szenario 15- Sync mit HQ-Freigabe CIFS mit Daily Backup gemounted in /data Ordner Anbindung der Nutzer via Dokan und webdav Viel E-Mail Verkehr Wichtige Daten auf/in der Freigabe Kleines Budget für IT KU im B2C Geschäft Umsatz ~2,5M->4M Benutzer Computer webdav via Dokan owncloud CIFS Domäne Freigabe Standort 11.10.2017 12
III: Was ist passiert? 12:15 Anruf eines Mitarbeiters USB Sicherung verschlüsselt lokale Sicherung verschlüsselt alle Freigaben der owncloud verschlüsselt externer IT-Dienstleister ist vor Ort 12:45 Manuelle Prüfung und Sicherung des IST Standes durch Erzeugung eines Snapshots des CIFS 13:00 Rename webdav wurden die Dateien als gelöscht markiert und waren im Trash Ordner der owncloud auffindbar und wiederherstellbar. 15:00 Die alten Dateien waren wieder hergestellt Ja hallo Herr Scheddin, diesmal hat es mich 11.10.2017 13
III: Nachbereitung/Analyse Die Alarmierung war ok, die Reaktionszeiten, die Ursachen sowie die Auswirkungen wurden schnell und fassbar eingeschätzt. Der Virenscanner war wirkungslos. Angriffsvektor war E-Mail. Die Wiederanlaufzeit war mit rund 3h gut. Wäre die Wiederherstellung per owncloud nicht möglich gewesen, so währe auch via CIFS-Dienst ein weiteres Sicherheitsnetz da gewesen. Zum Glück machen wir 11.10.2017 14
III: Maßnahmen aus der Nachbereitung Ähnlich wie bei Vorfall 1: Sofortmaßnahmen*: Prüfung der Aktualität aller Virenscanner Meldung des Vorfalles an die zuständige Behörde (LKA o.ä) Langfristige Maßnahmen: Prüfung der Zugriffsrechte der Clients auf* Kontinuierliche Prüfung auf Aktualität der Betriebssystem und Software*** * Man bedenke: kleines IT-Budget ** Man bedenke auch: Im B2C Geschäft unbedingt prüfen wegen EU-DSGVO *** Nutzer ignorieren gerne den Patch-bedarf, auf doch dann unangenehme Art und Weise 11.10.2017 15
IV: Fazit Kleinunternehmen mit kleinem IT-Budget fixierten sich bei den Maßnahmen in den vorliegenden Fällen darauf, das die Daten wiederhergestellt werden können. Maßnahmen zum Schutz vor dem Eindringen von Schadsoftware wird aufgrund des kontinuierlichen Aufwandsbedarfes nur als sekundäres Ziel betrachtet. Backups retten Geschäfte.. Präventivmaßnahmen verhindern Verluste.. 11.10.2017 16
V: Links Ransomware Bedrohung, Prävention & Reaktion https://www.bsi.bund.de/shareddocs/downloads/de/bsi/cyber- Sicherheit/Themen/Ransomware.pdf? blob=publicationfile&v=2 Statistik (Kaspersky) https://de.securelist.com/ksn-report-ransomware-in-2016-2017/72817/ Formulare und Dokumentation für solche Fälle: https://www.zeusware.de/it-sa/ 11.10.2017 17
Vielen Dank für Ihre Aufmerksamkeit 11.10.2017 18
Vielen Dank für Ihre Aufmerksamkeit 11.10.2017 19