Ransomware Recovery: How to Respond to Ransomware Attacks

Abraham Smith

Wichtige Ransomware-Statistiken

Mit mehreren bemerkenswerten Angriffsgeschichten, die dieses Jahr Schlagzeilen machten, dominiert Ransomware weiterhin die Bedrohungslandschaft. Etwa 11 % der von IBM in ihrem Bericht „Cost of a Data Breach 2022“ untersuchten Verstöße waren Ransomware, was auf einen Anstieg der Ransomware-bezogenen Verstöße um 41 % im Jahresvergleich hinweist.

Lösegeldforderungen sind in den letzten zwei Jahren um 144 % gestiegen. Dies kann teilweise auf das gestiegene Vertrauen unter Cyberkriminellen zurückzuführen sein. Bedrohungsakteure werden durch eine Erfolgsserie ermutigt und entwickeln ihre Taktiken, Techniken und Verfahren weiter.

Das Cybersicherheitsunternehmen Palo Alto Networks stellte in diesem Jahr eine erhöhte Aktivität unter Ransomware-Banden fest. Ihr 2022 Unit 42 Ransomware Threat Report stellte den Aufstieg von 35 neuen Ransomware-Gruppen fest, die das Modell der doppelten Erpressung verwenden. Diese Gruppen veröffentlichten öffentlich die Namen und Kompromittierungsnachweise von 2.566 Opfern (eine Steigerung von 85 %) auf undichten Stellen im Dark Web, um ihre Ziele weiter unter Druck zu setzen. Der Bericht entdeckte auch, dass Bedrohungsakteure 42 Schwachstellen in verschiedenen Technologien ausnutzten, um Angriffe zu starten.

Die Ransomware-Bedrohung gibt Unternehmen auf der ganzen Welt Anlass zur Sorge. Im Jahr 2021 meldeten Ransomware-Leckseiten mindestens ein Opfer aus 90 Ländern. Die drei Regionen mit den meisten Ransomware-Opfern waren:

  • Amerika (60%)
  • EMEA (31 %)
  • APAC (9 %)

Wie lange dauert es, sich von Ransomware zu erholen?

Die Wiederherstellung nach einem Ransomware-Angriff ist zeitaufwändig und mühsam. Es umfasst mehrere Schritte, von der Meldung von Vorfällen bis hin zur forensischen Analyse, dem Umgang mit Öffentlichkeitsarbeit und Medien, der Suche nach dem Entschlüsselungsschlüssel, der Beseitigung der Ransomware, der Beseitigung von Schwachstellen, der Wiederherstellung betroffener Systeme und so weiter. Daher kann der Zeitrahmen für die Wiederherstellung nach Ransomware-Angriffen stark variieren, abhängig von der Bereitschaft und Fähigkeit Ihres Unternehmens, mit solchen Situationen umzugehen. Im Jahr 2021 betrug die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff 20 Tage, wenn es in Unternehmen zu Unterbrechungen kam oder die Produktivität unter 100 % lag.

Wie viel kostet die Wiederherstellung nach Ransomware?

Laut dem Cost of a Data Breach Report 2022 von IBM belaufen sich die durchschnittlichen Kosten eines Ransomware-Angriffs auf 4,54 Millionen US-Dollar und übertreffen damit die durchschnittlichen Gesamtkosten einer Datenschutzverletzung, die 4,35 Millionen US-Dollar betragen. Es ist wichtig zu beachten, dass diese Kosten das Lösegeld nicht beinhalten.

Die Folgen eines Ransomware-Angriffs gehen über den rein finanziellen Schaden hinaus. Es verursacht Geschäftsausfälle und potenzielle Reputationsschäden, was zu Geschäftsverlusten und Wettbewerbsvorteilen führt. Um die richtigen Einblicke in die tatsächlichen Kosten der Ransomware-Wiederherstellung zu erhalten, müssen Sie auch die durch den Angriff verlorenen Arbeitsstunden, entgangene Geschäfte und Produktivität, die Kosten für die Wiederherstellung des Rufs Ihres Unternehmens und die Kosten für Verstöße berücksichtigen, um nur einige zu nennen.

Wie sollte auf Ransomware reagiert werden?

Ransomware-Angriffe können selbst die erfahrensten Cybersicherheitsexperten zusammenzucken lassen, wenn man bedenkt, wie destruktiv sie sein können. Zu wissen, wie man auf einen Ransomware-Angriff reagiert, kann jedoch dazu beitragen, die Risiken des Angriffs und seine Folgen zu mindern. Das erste, was Sie tun müssen, wenn ein Ransomware-Angriff auftritt, ist, das infizierte System so schnell wie möglich zu finden und vom Netzwerk zu isolieren. Dies hilft, weitere Infektionen zu verhindern; Löschen Sie die Systeme jedoch nicht sofort, da dies forensische Beweise zerstören kann. Identifizieren Sie die Quelle des Angriffs, um zu verstehen, wie Bedrohungsakteure in das System eingedrungen sind, und schließen Sie Sicherheitslücken, um zukünftige Vorfälle zu verhindern. Melden Sie den Vorfall den Strafverfolgungsbehörden und suchen Sie Hilfe und Rat. Sobald die Situation eingedämmt ist, prüfen Sie, ob Sie auf die Daten und Systeme zugreifen können. Wir gehen unten detailliert auf die Planung der Reaktion auf Ransomware-Vorfälle ein.

Sollte man Hackern Lösegeld zahlen?

Es ist leicht, in Panik zu geraten, wenn verheerende Cybersicherheitsvorfälle wie Ransomware-Angriffe passieren. Für Unternehmen ohne Backup- und Disaster-Recovery-Lösung oder Incident-Response-Plan (IR) scheint die Zahlung des Lösegelds eine klügere Entscheidung zu sein. Leider gibt es keine Garantie dafür, dass die Zahlung des Lösegelds dabei hilft, Ihre Dateien zurückzubekommen oder den Zugriff auf Systeme wiederherzustellen.

Laut The State of Ransomware 2021 von Sophos erhielten 96 % der Lösegeldopfer, die das Lösegeld bezahlten, ihre Daten zurück. Allerdings wurden auch nach Zahlung des Lösegelds nur 65 % der verschlüsselten Daten wiederhergestellt. Verschlüsselte Dateien sind oft beschädigt oder nicht wiederherstellbar, weil Entschlüsselungsschlüssel abstürzen oder fehlschlagen.

Cyberkriminelle haben neue Wege gefunden, um die Wirkung weiter zu verstärken und durch doppelte und mehrfache Erpressungstechniken mehr Geld zu verdienen. Bei einem typischen Ransomware-Angriff verschlüsseln Hacker die Daten eines Opfers und verlangen Lösegeld im Austausch für den Entschlüsselungsschlüssel. Bei Ransomware-Angriffen mit doppelter Erpressung stehlen Bedrohungsakteure große Mengen sensibler Daten und verschlüsseln sie, wodurch sie mehr Geld von den Opfern erpressen können. Sie werden entweder die exfiltrierten Daten vernichten, sensible Informationen öffentlich preisgeben oder sie im Darknet an den Meistbietenden verkaufen, wenn die Opfer das geforderte Lösegeld nicht zahlen.

Was ist die beste Lösung für Ransomware?

Cyberkriminelle und ihre Taktiken entwickeln sich ständig weiter, wodurch sie noch ausgeklügelter und gefährlicher werden. Aus diesem Grund raten Cybersicherheitsexperten, einschließlich des FBI, Unternehmen zu einer mehrschichtigen Verteidigung mit geschützten Backups für eine schnellere Wiederherstellung nach Ransomware.

Eine der effektivsten Möglichkeiten, sich von einem Ransomware-Angriff zu erholen, besteht darin, ein Backup Ihrer Daten extern und offline zu speichern, das Sie schnell wiederherstellen können, um den Betrieb wieder aufzunehmen.

Vorbereitung ist der Schlüssel zum Umgang mit Ransomware-Angriffen. Ihr Unternehmen sollte sicherstellen, dass die notwendigen Tools und Strategien vorhanden sind – wie eine Datensicherungs- und Notfallwiederherstellungslösung und ein Plan zur Reaktion auf Vorfälle – um Ransomware-Angriffe effektiv zu bekämpfen.

Wiederherstellen von Ransomware mit einem maßgeschneiderten Plan zur Reaktion auf Vorfälle

Da Ransomware-Angriffe in Unternehmen jeder Größe verheerende Schäden anrichten, ist ein Plan zur Reaktion auf Vorfälle von entscheidender Bedeutung, um schnell und effizient auf diese Bedrohungen zu reagieren. Ein Incident-Response-Plan bietet die Anleitung und Methodik zur Erkennung, Eindämmung und Wiederherstellung von Vorfällen wie Ransomware-Angriffen. Ihr IR-Plan sollte darauf abzielen, die direkten und indirekten Kosten im Falle eines Ransomware-Angriffs zu minimieren, einschließlich Ausfallzeiten, Wiederherstellungskosten und Markenruf.

Ein gut definierter IR-Plan hilft dabei, nach einem Ransomware-Angriff geeignete Maßnahmen zu ergreifen. Sie müssen die folgenden Schritte in Ihrem IR-Plan berücksichtigen.

  1. Erkennung und Analyse: Bevor Sie mit Ihrem IR-Plan fortfahren, müssen Sie zunächst überprüfen, ob es sich bei dem Vorfall um einen Ransomware-Angriff handelte. Ransomware-Angriffe sind dafür bekannt, die Daten der Opfer zu sperren oder Dateien zu verschlüsseln. Führen Sie eine gründliche Bedrohungsanalyse durch, um zu überprüfen, ob Ihre Dateien verschlüsselt sind.
  2. Rufen Sie Ihr IR-Team in Aktion: Sobald Sie die Bedrohung analysiert haben, teilen Sie das Problem Ihrem IR-Team mit – Management, technischer Leitung, rechtlicher Unterstützung und Öffentlichkeitsarbeit, damit sie geeignete Maßnahmen gemäß dem IR-Plan ergreifen können.
  3. Untersuchen Sie den Umfang des Vorfalls: Identifizieren Sie, wo der Schaden begann und wo er sich ausgebreitet hat. Es ist wichtig zu wissen, woher die Infektion stammt, um zu verstehen, wie Cyberkriminelle in das System eingedrungen sind, was sie getan haben, indem sie auf das Netzwerk zugegriffen haben, und um das Ausmaß des Schadens zu verstehen. Untersuchen Sie, welche Dateien und Systeme betroffen sind.
  4. Eindämmung: In diesem Schritt entscheidet Ihr IR-Team, wie der Schaden durch den Vorfall minimiert und das Geschäft am Laufen gehalten werden kann. Jedes Unternehmen hat einzigartige Bedürfnisse und Fähigkeiten; Daher kann dieser Schritt je nach betroffenen Systemen und Daten variieren. Wenn es zu einem Ransomware-Angriff oder einer Datenschutzverletzung kommt, müssen Sie als Erstes (noch bevor Sie das IR-Team einschalten) das infizierte System sofort vom Netzwerk trennen. Es ist wichtig, das infizierte System so schnell wie möglich zu identifizieren und zu isolieren, um den Vorfall einzudämmen und eine weitere Infektion oder Beschädigung anderer Systeme im Netzwerk zu verhindern. Es ist auch wichtig, das infizierte System für forensische Untersuchungen aufzubewahren.
  5. Melden Sie den Vorfall und wenden Sie sich an die Strafverfolgungsbehörden: Wenn Sie von einem Ransomware-Angriff betroffen sind, müssen Sie unverzüglich die betroffenen Behörden und Strafverfolgungsbehörden benachrichtigen, je nachdem, wer und wann Sie gemäß Ihren Unternehmensrichtlinien informieren müssen. Compliance-Vorschriften wie PCI-DSS, HIPAA und GDPR verlangen, dass Unternehmen im Falle eines Verstoßes unverzüglich die Aufsichtsbehörden informieren. Sie können sich an den Secret Service, die Cybersecurity & Infrastructure Security Agency (CISA), das Internet Crime Complaint Center (IC3) oder Ihr örtliches FBI-Büro wenden, um weitere Informationen zu erhalten.
  6. Ausrottung und Wiederherstellung: In diesem Schritt muss Ihr IR-Team entscheiden, wie das Problem am praktischsten und effektivsten behoben werden kann. Beispielsweise das Entfernen der Ransomware oder das Abrufen des Entschlüsselungsschlüssels oder das Wiederherstellen von Daten und Systemen aus Backups. Sobald die betroffenen Systeme wiederhergestellt wurden, setzen Sie Passwörter sofort zurück, einschließlich Konto- und Netzwerkpasswörter.
  7. Prüfen Sie Ihren Zugriff auf Daten und Systeme: Sobald die Sicherungen wiederhergestellt sind und sich die Dinge wieder normalisieren, überprüfen Sie, ob Sie auf die Daten und Systeme zugreifen können, um sicherzustellen, dass die Wiederherstellung erfolgreich ist. Wenn Sie verdächtiges Verhalten bemerken, wie z. B. langsamere Antwortzeiten oder ungewöhnliche Dateigrößen, ist die Infektion möglicherweise immer noch in der Datenbank oder im System vorhanden. Führen Sie ein Anti-Malware-Programm aus und ersetzen Sie den Speicher (falls erforderlich), um alle Spuren der Infektion vollständig zu beseitigen.
  8. Stärken Sie den IR-Plan mit den gewonnenen Erkenntnissen: Dieser Schritt ist entscheidend, um Ihre Bemühungen zur Reaktion auf Ransomware-Vorfälle weiter zu verbessern. Sie müssen analysieren, was wie beabsichtigt gelaufen ist und was schief gelaufen ist. Wenn Sie Schwachstellen in Ihrem IR-Plan finden und diese so schnell wie möglich beheben, können Sie eine robustere Methode für die Zukunft entwickeln. Verbringen Sie etwas Zeit damit, zu verstehen, wie Bedrohungsakteure den Angriff überhaupt erst gestartet haben und welche Schritte unternommen werden können, um solche Vorfälle in Zukunft zu verhindern.

Ransomware-Wiederherstellung mit Spanning Backup

Ransomware ist eine wachsende Bedrohung, die schwer zu vermeiden ist. Die zuverlässigste Form des Schutzes, die Ihr Unternehmen zum Schutz Ihrer wertvollen Daten nutzen kann, ist ein Backup.

Spanning Backup for Google Workspace, Microsoft 365 und Salesforce schützt Ihr Unternehmen vor Ransomware-Angriffen, indem es Ihre SaaS-Daten täglich automatisch sichert. Mit robusten Sicherungs- und Wiederherstellungsfunktionen der Enterprise-Klasse schützt es Ihre Daten vor kostspieligen und katastrophalen Datenverlusten. Seine leistungsstarken und dennoch benutzerfreundlichen Funktionen ermöglichen es IT-Administratoren und Endbenutzern, Daten mit nur wenigen Klicks genau so wiederherzustellen, wie sie waren.

Laden Sie unser eBook „Vorbeugung einer Ransomware-Katastrophe“ herunter, um tiefer in Ransomware einzutauchen und zu erfahren, wie Sie sich erfolgreich von solchen Angriffen erholen können.

Laden Sie das eBook herunter

Leave a Reply

Your email address will not be published. Required fields are marked *