Lösegeldzahlung ist keine Wiederherstellungsstrategie

Veeam stellt die Ergebnisse seines Ransomware-Trends-Report 2022 auf der VeeamON 2022 vor und stellt fest, dass Cyber-Kriminelle durchschnittlich 47 Prozent der Produktionsdaten erfolgreich verschlüsseln und die Opfer nur 69 Prozent der betroffenen Daten wiederherstellen können.

Laut dem Veeam-Ransomware-Trends-Report 2022 verlieren Unternehmen die Schlacht, wenn es darum geht, sich gegen Ransomware-Angriffe zu verteidigen. 72 Prozent der Unternehmen waren teilweise oder vollständig von Angriffen auf ihre Backup-Repositories betroffen, was die Möglichkeit der Datenwiederherstellung ohne Zahlung des Lösegelds drastisch beeinträchtigt. Veeam Software stellte fest, dass 80 Prozent der erfolgreichen Angriffe auf bekannte Schwachstellen abzielten, was die Bedeutung von Patches und Software-Upgrades unterstreicht. Fast alle Angreifer versuchten, Backup-Repositories unbrauchbar zu machen, um das Opfer daran zu hindern, die Daten ohne Zahlung des Lösegelds wiederherzustellen.

Der Veeam-Ransomware-Trends-Report 2022 enthüllt die Ergebnisse eines unabhängigen Forschungsunternehmens, das 1 000 IT-Führungskräfte befragte, deren Unternehmen in den letzten 12 Monaten mindestens einmal erfolgreich von Ransomware angegriffen wurde, und ist damit einer der umfangreichsten Berichte seiner Art. Diese erste Studie untersucht die wichtigsten Erkenntnisse aus diesen Vorfällen, ihre Auswirkungen auf IT-Umgebungen und die Schritte, die zur Implementierung moderner Datenschutzstrategien unternommen wurden, um die Geschäftskontinuität auch in Zukunft zu gewährleisten. Im Rahmen des Forschungsprojekts wurden speziell vier IT-Rollen (CISOs, Sicherheitsexperten, Backup-Administratoren und IT-Operations-Personal) befragt, um zu verstehen, wie die Cyber-Vorsorge in den Unternehmen ausgerichtet ist.

Danny Allan, Chief Technology Officer bei Veeam

„Ransomware hat das Unterfangen Datendiebstahl revolutioniert und erfordert von Unternehmen aller Branchen eine gemeinsame Anstrengung, um ihre Fähigkeit zur Wiederherstellung von Daten zu maximieren, ohne das Lösegeld bezahlen zu müssen“, sagt Danny Allan, CTO bei Veeam, „denn Cyber-Kriminelle für die Wiederherstellung von Daten zu bezahlen, ist keine Datenschutzstrategie. Es gibt keine Garantie für die Wiederherstellung von Daten, die Risiken von Rufschädigung und Vertrauensverlust der Kunden sind hoch, und vor allem erhöht es den Anreiz, wenn man kriminelle Aktivitäten auf diese Weise belohnt.“

 

Die Zahlung des Lösegelds ist keine Wiederherstellungsstrategie

Von den befragten Unternehmen hat die Mehrheit (76 Prozent) das Lösegeld gezahlt, um einen Angriff zu beenden und Daten wiederherzustellen. 52 Prozent haben das Lösegeld gezahlt und konnten die Daten wiederherstellen, während 24 Prozent zwar das Lösegeld gezahlt hatten, aber trotzdem keine Daten wiederherstellen konnten. Die Wahrscheinlichkeit, dass die Zahlung des Lösegelds zu keinen Daten führt, liegt damit bei einem von drei Unternehmen. Bemerkenswert ist, dass 19 Prozent der Unternehmen das Lösegeld nicht gezahlt haben, weil sie ihre eigenen Daten wiederherstellen konnten. Das ist es, was die verbleibenden 81 Prozent anstreben müssen: die Wiederherstellung von Daten ohne Zahlung des Lösegelds.

„Eines der Markenzeichen einer starken modernen Datenschutzstrategie ist die Verpflichtung zu einer klaren Richtlinie, dass das Unternehmen niemals Lösegeld zahlen wird, sondern alles in seiner Macht stehende tut, um Angriffe zu verhindern, Zwischenfälle zu beheben und sich davon zu erholen“, fügt Allan hinzu: „Trotz der allgegenwärtigen und unvermeidlichen Bedrohung durch Ransomware ist die Behauptung, dass Unternehmen ihr hilflos gegenüberstehen, nicht zutreffend. Klären Sie Ihre Mitarbeiter auf und stellen Sie sicher, dass sie eine tadellose digitale Hygiene praktizieren; führen Sie regelmäßig strenge Tests Ihrer Datenschutzlösungen und -protokolle durch und erstellen Sie detaillierte Business Continuity-Pläne, welche die wichtigsten Beteiligten auf Worst-Case-Szenarien vorbereiten.“

 

Prävention erfordert Sorgfalt seitens der IT und den Benutzern

Die „Angriffsfläche“ für Kriminelle ist vielfältig. Cyber-Bösewichte verschafften sich am häufigsten zuerst Zugang zu Produktionsumgebungen, indem sie ihre Opfer dazu brachten, auf bösartige Links zu klicken, unsichere Websites zu besuchen oder schlicht auf versendete Phishing-E-Mails zu reagieren – was wiederum zeigt, dass viele Vorfälle vermeidbar gewesen wären. Nachdem sie sich erfolgreich Zugang zur Umgebung verschafft hatten, gab es kaum einen Unterschied in den Infektionsraten zwischen Servern in Rechenzentren, Remote-Office-Plattformen und in der Cloud gehosteten Servern. In den meisten Fällen nutzten die Eindringlinge bekannte Schwachstellen aus, darunter gängige Betriebssysteme und Hypervisoren sowie NAS-Plattformen und Datenbankserver, wobei sie nichts unversucht ließen und jede ungepatchte oder veraltete Software und Schwachstelle ausnutzten, die sie finden konnten. Bemerkenswert ist, dass Sicherheitsexperten und Backup-Administratoren deutlich höhere Infektionsraten meldeten als IT-Betriebsleiter oder CISOs, was darauf hindeutet, dass „diejenigen, die näher am Problem dran sind, auch mehr von den Problemen mitbekommen“.

 

Abhilfe schaffen beginnt mit Unveränderlichkeit

Die Teilnehmer an der Umfrage bestätigten, dass 94 Prozent der Angreifer versuchten, Backup-Repositories zu zerstören und in 72 Prozent der Fälle war diese Strategie zumindest teilweise erfolgreich. Dieses „Kappen der Rettungsleine“ eines Unternehmens ist eine beliebte Angriffsstrategie, da sie die Wahrscheinlichkeit erhöht, dass die Opfer keine andere Wahl haben, als das Lösegeld zu zahlen. Die einzige Möglichkeit, sich gegen dieses Szenario zu schützen, besteht darin, mindestens eine unveränderliche oder physisch und logisch isolierte Schutzebene als teil der Infrastruktur der Datensicherung verankert zu haben – was 95 Prozent der befragten Unternehmen nach eigenen Angaben inzwischen tun. Viele Unternehmen gaben sogar an, dass sie ein gewisses Maß an Unveränderlichkeit oder Air-Gap-Medien in mehr als einer Ebene ihrer Festplatten-, Cloud- und Tape-Strategie haben.

Weitere wichtige Erkenntnisse aus dem Veeam-Ransomware-Trends-Report 2022 sind:

  • Orchestrierung ist wichtig: Um die Wiederherstellbarkeit ihrer Systeme proaktiv zu gewährleisten, automatisiert eines von sechs IT-Teams (16 Prozent) die Validierung und Wiederherstellbarkeit ihrer Backups, um sicherzustellen, dass ihre Server wiederherstellbar sind. Bei der Behebung eines Ransomware-Angriffs verwenden 46 Prozent der Befragten eine isolierte Sandbox oder einen Testbereich, um zu gewährleisten, dass die wiederhergestellten Daten „sauber“ sind, bevor sie die Systeme wieder in Betrieb nehmen.
  • Die Ausrichtung der Organisation muss einheitlich sein: 81 Prozent glauben, dass die Cyber- und Business Continuity-/Disaster Recovery-Strategien ihrer Unternehmen aufeinander abgestimmt sind. Allerdings sind 52 Prozent der Befragten der Meinung, dass die Interaktion zwischen diesen Teams verbessert werden muss.
  • Der Schlüssel liegt in der Diversifizierung der Repositories: Nahezu alle Unternehmen (95 Prozent) verfügen über mindestens eine unveränderliche oder eine physisch und logisch isolierte Datensicherungsebene. 74 Prozent nutzen Cloud-Repositories, die Unveränderlichkeit bieten; 67 Prozent verwenden lokale Festplatten-Repositories mit Unveränderlichkeit oder Locking-Funktion; und 22 Prozent verwenden Bänder, die unveränderlich sind. Doch, ob unveränderbar oder nicht, die Unternehmen stellten fest, dass zusätzlich zu den Festplatten-Repositories 45 Prozent der Produktionsdaten immer noch auf Tape gespeichert werden und 62 Prozent zu irgendeinem Zeitpunkt im Datenlebenszyklus in eine Cloud wandern.

Info: Der vollständige Veeam-Ransomware-Trends-Report steht unter https://vee.am/RW22 zum Download bereit.

#Veeam