Unveränderliche Datenarchitektur und Datenresilienz bedeuten, dass einmal geschriebene Daten nicht mehr geändert werden können. Und wenn sie nicht geändert werden können, dann können sie auch nicht durch Ransomware verschlüsselt werden.
Die zunehmende Häufigkeit, die Forderungen und die Taktik von Ransomware - einschließlich derVeröffentlichung sensibler Daten, wenn Unternehmen das Lösegeld nicht zahlen - zeigen uns, dass Ransomware für die Täter mehr als lukrativ genug ist. Und da das Risiko, dass die Täter entdeckt werden, mit dem Aufkommen von Crimeware-as-a-Service noch geringer wird, haben bekannte Unternehmen kaum eine Chance, einem Angriff zu entgehen. Tatsächlich wurden immer mehr Unternehmen mehr als einmal angegriffen.
Was Ransomware bewirkt
Ransomware ist eine Art von Malware, die darauf abzielt, den Zugriff auf Ihre Daten zu blockieren, indem sie diese in der Regel verschlüsselt, so dass Ihre Dateien nicht geöffnet oder aufgerufen werden können. Einige Varianten ändern Dateierweiterungen, andere verschlüsseln einfach Dateien.
Die Hacker fordern dann ein Lösegeld (in der Regel in Bitcoin) im Austausch für Entschlüsselungsschlüssel oder einen Decoder, um den Zugriff auf Ihre Daten wiederherzustellen. Es ist die digitale Version einer Entführung, bei der Ihre Daten als Geiseln gehalten werden, bis Sie zahlen.
Ausgeklügelte Ransomware-Angriffe sind so konzipiert, dass sie schwer zu bekämpfen und früh zu erkennen sind. Sie sind auch schwer zu stoppen und verschlüsseln ein Netzwerk oft so weit, dass die Opfer über ihre Möglichkeiten verwirrt sind und manchmal glauben, sie hätten keine andere Wahl, als das Lösegeld zu zahlen.
Aus Sicht des Angreifers hängt der Erfolg eines Angriffs davon ab, dass Sie nicht in der Lage sind, den Zugriff auf Ihre Daten wiederherzustellen, es sei denn, das Lösegeld wird gezahlt. Um Ihre Wiederherstellungsoptionen einzuschränken, zielen Angreifer oft zuerst auf Backups und Snapshots ab. Dies kann dazu führen, dass den betroffenen Unternehmen nichts anderes zur Verfügung steht als externe Backups, möglicherweise auf Band. Sich auf Backups zu verlassen, ist ein langsamer Wiederherstellungsprozess, der Wochen oder Monate dauern kann und zu einem enormen Datenverlust führt.
Wenn ein Angriff erfolgt, müssen IT-Teams ihn erkennen, herausfinden, woher er kommt, ihn verlangsamen und hoffentlich stoppen, bevor er ganze Netzwerke verschlüsselt. Wenn Teams einen infizierten Laptop oder Server ausfindig machen können, können sie ihn vom Netzwerk trennen, um den Schaden einzudämmen und zu minimieren. Häufig führen Angriffe jedoch zu einer CPU-Überlastung, die es Systemadministratoren extrem schwierig macht, auf kritische Infrastrukturen wie Server zuzugreifen.Sobald der Angriff beendet ist, beginnt die Aufgabe, verschlüsselte Dateien, Ordner und Verzeichnisse zu identifizieren und herauszufinden, ob sie entschlüsselt werden können.
Während all dies geschieht, sind die Benutzer von den Netzen ausgesperrt. Den Betroffenen entstehen Kosten durch Ausfallzeiten, Datenverlust und fehlgeschlagene Wiederherstellungsversuche. Der Ansatz von Panzura zur unveränderlichen Speicherung und Ausfallsicherheit von Daten - und die Fähigkeit unserer Multi-Cloud-Lösung, Daten zu verschlüsseln und sie für Angreifer unbrauchbar zu machen - bedeutet, dass Kunden von Panzura die Zahlung von Lösegeld vollständig vermeiden können.
Wie Ransomware in ein Netzwerk eindringt
Ransomware kann über sozial manipulierte Methoden wie gefälschte E-Mails, Spam, Webseiten, kostenlose Software-Downloads, gefälschte Software-Updates und Sofortnachrichten verbreitet werden.
Eines Morgens erhalten Sie beispielsweise eine dringende E-Mail von Ihrem CEO (die E-Mail enthält seinen Namen und seine E-Mail-Adresse im Feld "Von:"), in der Sie gebeten werden, die angehängte Rechnung, eine PDF-Datei, zu erklären. Sie sieht authentisch aus, also öffnen Sie den Anhang. Die PDF-Datei enthält ein Visual Basic-Makro, das Ransomware herunterlädt und ausführt.
Sie sind nun infiziert, und die Ransomware beginnt, Daten zu verschlüsseln, nicht nur auf Ihrem Laptop, sondern auch auf dem Netzlaufwerk. Die Ransomware ist so konzipiert, dass sie maximalen Schaden anrichtet. Daher bleibt sie so lange unbemerkt, bis sie mit einem Unternehmensnetzwerk verbunden wird, und läuft dann auf Hochtouren.
Vollständige Ransomware-Abwehr ist nicht möglich
Angesichts des Umfangs und des Erfolgs der weltweiten Angriffe liegt der Schluss nahe, dass es keinen vollständigen Schutz vor Ransomware gibt. Anti-Ransomware-Tools können die Angriffe abwehren und die Sicherheit Ihrer Infrastruktur gewährleisten. Einige sind besonders gut darin, E-Mail-Anhänge zu erkennen und abzulehnen und Angriffe automatisch zu beenden, um den Schaden zu minimieren.
Diese Lösungen sind jedoch reaktiv und nicht präventiv. Und egal, wie schnell sie auf eine bekannte Variante reagieren, die heimtückische Natur von Ransomware bedeutet, dass immer noch erheblicher Schaden angerichtet werden kann, bevor ein Angriff unter Kontrolle gebracht werden kann.
Eine umfassendere Antwort: Ausfallsicherheit von Daten
In unserem digitalen Zeitalter haben Daten einen immensen Wert, denn ohne sie kann Ihr Unternehmen nicht funktionieren.
Die Statistiken sind eindeutig: Wenn ein Unternehmen 10 Tage oder länger keinen Zugriff auf wichtige Geschäftsdaten hat, beträgt die Wahrscheinlichkeit, dass esdie nächsten 12 Monate überlebt, nur7 %. Damit sind Daten das wertvollste Gut, das Sie besitzen.
Wenn es nicht möglich ist, Ransomware vollständig fernzuhalten, hängt das Stoppen eines Ransomware-Angriffs vom Schutz der Daten ab. In Bezug auf Entführungen bedeutet dies, dass Sie nicht mehr versuchen, die Entführung einer Person zu verhindern, sondern dass Sie es unmöglich machen, dass etwas anderes als ein Hologramm dieser Person als Geisel genommen werden kann. In der Zwischenzeit ist die echte Person nie in Gefahr.
Einführung in die robuste Datenspeicherung
Da sie Daten in einem bearbeitbaren Format speichern, sind ältere Dateisysteme von Natur aus anfällig für Ransomware. Wenn sie angegriffen werden, lassen sie zu, dass Ihre Dateien verändert werden. Eine widerstandsfähige Datenarchitektur ist jedoch grundsätzlich resistent gegen Angriffe. Sie dient nicht der Verteidigung oder dem Schutz, sondern reduziert die Auswirkungen und die Ausbreitung eines Angriffs, indem sie von ihm unberührt bleibt.
Eine robuste Datenspeicherung wird durch eine intelligenteMulti-Cloud-Dateisystemtechnologie ermöglicht, wie z. B. das globale Dateisystem Panzura CloudFS. Es verfolgt einen eleganten, modernen Ansatz für unstrukturierte Daten, die als Objekte in einer öffentlichen, privaten oder völlig dunklen Cloud gespeichert werden.
Für einen Benutzer sieht CloudFS aus wie jedes andere Dateisystem und fühlt sich auch so an. Dateien können von jedem autorisierten Benutzer überall und in Echtzeit geöffnet, bearbeitet, gespeichert, kopiert oder entfernt werden. Hinter den Kulissen verbirgt sich jedoch eine radikal andere, einfachere und unendlich robustere Speicherinfrastruktur.
CloudFS speichert Daten als Blöcke in einem Cloud-Objektspeicher, der einen einzigen, maßgeblichen Datensatz bereitstellt, mit dem jeder Benutzer arbeitet. Die Datenblöcke sind unveränderlich und werden in Form von einmaligen Schreib- und Lesevorgängen gespeichert. Sie können nicht geändert, bearbeitet oder überschrieben werden und sind daher für die meisten Formen von Malware unempfindlich.
Die Metadatenzeiger des Systems zeichnen auf, aus welchen Blöcken eine Datei zu einem bestimmten Zeitpunkt besteht. Wenn Benutzer Dateien erstellen oder bearbeiten, werden alle 60 Sekunden geänderte Datenblöcke in den Objektspeicher verschoben. Gleichzeitig werden Metadaten, die alle Änderungen beschreiben, auf jedem Knoten und im Objektspeicher gespeichert.
Wenn beispielsweise ein 4-seitiges Dokument mit dem Namen fileone.docx aus den Blöcken A, B, C und D besteht und das Dokument heute bearbeitet wird, könnte es jetzt aus den Blöcken A, B, C und E bestehen. Der neue Block E wird in den Objektspeicher verschoben, und die Zeiger halten fest, dass A, B, C und E benötigt werden, um die aktuelle Version dieser Datei zu öffnen.
Diese unveränderlichen Datenblöcke und der Inhalt der einzelnen Knoten werden außerdem durch systemweite schreibgeschützte Snapshots geschützt, die in konfigurierbaren Intervallen erstellt werden, wobei der Standardwert 60 Sekunden beträgt. Da diese Snapshots schreibgeschützt sind, sind sie auch unempfindlich gegen Ransomware und bieten eine granulare Möglichkeit zur Wiederherstellung von Daten auf eine frühere Version.
Angenommen, Sie haben die Datei fileone.docx bearbeitet und stellen fest, dass Sie versehentlich einen wichtigen Text entfernt haben. Normalerweise wären diese Daten verloren, es sei denn, sie wurden von einer Systemsicherung erfasst, die in der Regel nur einmal am Tag durchgeführt wird. Mit Panzura CloudFS klicken Sie einfach mit der rechten Maustaste auf das Dokument im Windows File Explorer und stellen es wieder her.
Wie widerstandsfähige Daten Ransomware trotzen
Bei einem Ransomware-Angriff wird bösartiger Code in Ihre Dateien eingefügt, der diese verändert. Panzura erkennt geänderte Dateidaten, und die verschlüsselten Dateien werden als neue Daten in den Objektspeicher geschrieben.
Ein herkömmliches Speichersystem würde es erlauben, die Datei zu bearbeiten, aber CloudFS erstellt völlig neue Datenblöcke: F, G, H und I, zum Beispiel. Da CloudFS die Daten als Originalobjekte bewahrt, kann der Status jeder Datei auf "verschlüsselt" gesetzt werden, und Snapshots und der Metadatenzeiger können so eingestellt werden, dass eine saubere Dateiversion, die vor der Infektion geschrieben wurde, nun die aktuelle ist. Dies lässt sich leicht für eine einzelne Datei, ganze Verzeichnisse oder sogar das gesamte globale Dateisystem durchführen.
CloudFS macht Ransomware-Angriffe unschädlich. Wenn der Zugriff auf Ihre Daten so einfach ist wie die Wiederherstellung aus einem Snapshot, brauchen Sie keinen Entschlüsselungsschlüssel.Oder Bitcoin.
Ursprünglich veröffentlicht am 9. Mai 2021, aktualisiert am 25. März 2024