Bitdefender: Backups sind bevorzugte Angriffsziele für Ransomware
»Professionelle erpresserische Hacker betreiben einen hohen Aufwand, um ihre Opfer an der Wiederherstellung der verschlüsselten Daten zu hindern«, erklärt Martin Zugec, Technical Solutions Director bei Bitdefender. »Dies geschieht etwa, indem sie Shadow-Volume-Copys routinemäßig angreifen. Alternativ infizieren sie Backups: Beim Einspielen einer solchen Sicherung stellen die IT-Administratoren dann auch den Zugang der Hacker auf zuvor angegriffene Systeme wieder her.
IT-Sicherheitsverantwortliche müssen daher komplexe Angriffe frühzeitig erkennen, um Hacker abzuwehren, bevor sie auf das Backup zugreifen. Eine Extended Detection and Response (XDR) wird über das verdächtige Entfernen einer Shadow-Volume-Copy benachrichtigt, korreliert dann die vorherigen sowie die nachfolgenden Aktionen und visualisiert den Gesamtablauf der Attacke.
Darüber hinaus kommt es auf eine tiefgehende und gestaffelte IT-Sicherheit zum Schutz der Backups an. Eine geringstmögliche Angriffsfläche und automatisierte Kontrollen mit dem Ziel, die meisten Sicherheitsereignisse im Vorfeld zu blocken, sind wichtige Bausteine, um die Wiederherstellbarkeit der Daten zu gewährleisten. Besondere Verfahren zum Schutz gegen Ransomware erkennen den Versuch, Dateien zu randomisieren – also durch Codierung dem berechtigten Zugriff zu entziehen –, stellen diese dann automatisch aus einem Backup wieder her und alarmieren die Endpoint Detection and Response (EDR). Eine ebenso wichtige Rolle spielt ein Identity Access Management (IAM): Die IT-Administratoren sollten sich klarmachen, dass bereits ein einziges gekapertes Nutzerkonto sämtliche Backups kompromittieren kann, gleichgültig wo sie sich befinden: Ob in der Cloud oder On Premises auf beliebigen Datenträgern. Das ist ohne Zweifel auch im Sinne der klassischen und immer noch wichtigen 3-2-1-Regel, die aber eine Cyberabwehr für Backups nicht ersetzt.«