Nach Angaben der University of Texas überleben 94 % der Unternehmen, die einen katastrophalen Datenverlust erleiden, nicht. Nach Angaben der National Archives & Records Administration in Washington sind 93 % der Unternehmen, die 10 Tage oder länger keinen Zugriff auf ihre Daten haben, innerhalb von 12 Monaten nicht mehr im Geschäft.
Dies ist eine wahre Geschichte über ein Unternehmen, dem dieses Schicksal erspart geblieben ist.
Anatomie des Angriffs
Es ist früher Morgen und das IT-Team freut sich auf das bevorstehende Feiertagswochenende. Es war eine gute Woche. Eine ruhige Woche. Genau so, wie es das Team mag. Keine Probleme oder Ablenkungen.
Ein Anruf beim Helpdesk an der Ostküste ist das erste Anzeichen für mögliche Probleme. Irgendetwas ist nicht in Ordnung. Der Anrufer kann seine Dateien nicht öffnen. Dieser Anruf wird schnell von einem weiteren gefolgt, da Benutzer in einer anderen Region Probleme mit Fernzugriffssystemen melden. Sie können sich nicht bei zentralen Servern anmelden. Andere Systeme sind anscheinend überhaupt nicht verfügbar.
Sofort treten die Systemadministratoren des IT-Teams in Aktion. Fast sofort stellen sie fest, dass ihre virtuelle Umgebung ohne ersichtlichen Grund an der Kapazitätsgrenze arbeitet. Ein Gefühl des Grauens macht sich breit. Die meisten dieser Systeme sind ebenfalls unzugänglich.
Das Team arbeitet weiter zügig an der Fehlersuche mit seinen Technologieanbietern, um herauszufinden, was die Ursache für diese Aktivitäten sein könnte. Und dann, in einem Augenblick, wurde alles klar.
Ein Benutzer hat ein Support-Ticket erstellt und berichtet, dass mehrere PDF-Dateien, die gestern noch in Ordnung waren, nicht mehr geöffnet werden können. Seltsamerweise schienen sie keine PDFs mehr zu sein. Die Dateierweiterung für jede Datei wurde in .CURATOR geändert.
Es würde kein 4-tägiges Ferienwochenende geben. Keine Feierlichkeiten. Keine zusätzliche freie Zeit. In einem Augenblick wussten sie, dass dies ein Kampf um ihr Leben war. Es handelte sich nicht um einen gesichtslosen, namenlosen Ransomware-Angriff, über den sie nur gelesen hatten - es ging um ihr Unternehmen.
In diesem Moment befinden sie sich im Fadenkreuz eines ausgeklügelten Teams von Cyber-Kriminellen, die alles tun, um das meiste Geld von ihnen zu erpressen, selbst wenn das bedeutet, alle Daten zu zerstören.
Curator hat im Vergleich zu anderen Ransomware-Varianten eine relativ geringe Verbreitung, richtet aber einen hohen Schaden an. Sein Kennzeichen ist die Dateierweiterung .CURATOR und die Aufnahme einer Textdatei in jedes infizierte Verzeichnis, die Anweisungen zur Kontaktaufnahme mit den Angreifern enthält.
Bislang sind keine anderen Tools bekannt, mit denen infizierte Dateien repariert werden können, außer dem von den Angreifern bereitgestellten Entschlüsselungsprogramm.
Es war ernüchternd
Einen Moment lang schaute sich das Team gegenseitig an. Sie verstanden, dass sie für ihre Daten kämpften. Um ihr Unternehmen. Und um ihre Jobs. Noch immer zusammengekauert in einem überfüllten Konferenzraum, rief das IT-Team das globale Serviceteam von Panzuraan. Sie brauchten dringend Hilfe. Und sie brauchten sie sofort. Dies war ein Wettlauf mit der Zeit.
Zum Glück meldete sich ein erfahrener Support-Ingenieur. Wie die anderen Mitglieder des Panzura Cloud-Sicherheitsteams hatte auch er schon mehr als nur ein paar Ransomware-Angriffe erlebt und wusste genau, was zu tun war.
Innerhalb weniger Minuten half Panzura dem IT-Team des Kunden, den Schreibzugriff auf den Knoten, von dem der Angriff ausging, zu deaktivieren, indem die Windows CIFS/SMB-Lizenz abgeschaltet wurde. Dadurch wurde die Kommunikation mit dem betroffenen Dateisystem automatisch deaktiviert und alle Speicherorte wurden in den Nur-Lese-Modus versetzt, um eine weitere Kontamination des Dateinetzwerks zu verhindern.
Um im späteren Bereinigungsprozess Zeit zu sparen, deaktivierte das Team von Panzura die Benutzer-Snapshots, um das System daran zu hindern, automatische Wiederherstellungspunkte von verschlüsselten Daten zu erstellen, die ohnehin gelöscht werden würden.
Weniger als 20 Minuten später war der Ransomware-Angriff auf die lokalen Systeme beschränkt, so dass keine weiteren Dateien mehr verschlüsselt werden konnten und das IT-Team des Unternehmens die Möglichkeit hatte, die Quelle und das Ausmaß des Angriffs zu ermitteln.
Bei einem Ransomware-Angriff zählt jeder Augenblick. Maschinelle Prozesse wie diese können Dateien um ein Vielfaches schneller verschlüsseln, als ein Mensch reagieren kann...Panzura gibt Ihnen die Möglichkeit, die Auswirkungen des Angriffs auf Ihre gespeicherten Dateien zu stoppen, ohne dass Sie zuerst die Ursache identifizieren müssen.
Gleichzeitig wurden alle verschlüsselten Dateien, die Ihren Cloud-Speicher erreicht haben, als neue Daten geschrieben, wobei die vorhandenen Dateien völlig unberührt blieben. Das bedeutet, dass alle Ihre Daten wiederhergestellt werden können, und Sie können sich darauf konzentrieren, den Angriff zu stoppen...
Evaluierung und Bewertung des Schadens
Nachdem die Ransomware eingedämmt worden war, begann das IT-Team des Unternehmens mit einer gründlichen Bewertung aller Systeme - eine Bestandsaufnahme der Situation. Prozessorspitzen erschwerten weiterhin den Zugriff auf die virtuelle Umgebung, aber mit der Unterstützung von Panzurakonnte der Server identifiziert werden, der die meisten Aktivitäten verursachte. Sie trennten ihn ab und starteten die gesamte virtuelle Umgebung neu.
Es hat funktioniert. Durch den Neustart wurde genug Bandbreite geschaffen, um sich anmelden zu können.
Das IT-Team ging systematisch jeden virtuellen Server durch, trennte die Verbindung und bewertete den Schaden jedes einzelnen Knotens in seiner Umgebung. Dies dauerte den Rest des Tages.
Nach Abschluss der Arbeiten kannten sie das volle Ausmaß des umfassenden Angriffs, dem sie ausgesetzt waren. Tausende von Dateien waren verschlüsselt worden, und Hunderte von Mitarbeitern im ganzen Land waren betroffen. Die Projekte kamen zum Stillstand.
Es wurde schmerzlich deutlich, dass die Wiederherstellung einen stufenweisen Ansatz erfordern würde. Der Zugriff auf die Produktionsdateien sollte Vorrang haben, damit die Mitarbeiter ihre Arbeit wieder aufnehmen und die Projekte fortgesetzt werden konnten.
Reinigung und Planung für die Wiederherstellung
In der darauffolgenden Woche konzentrierte sich das Team des Unternehmens darauf, alle von der Verschlüsselung betroffenen Server zu identifizieren, ihren früheren und aktuellen Zustand zu bewerten, um die potenzielle Ursache zu ermitteln, und Schritte festzulegen, um die Systeme sicher wieder online zu bringen.
Während dieser Entdeckungsphase arbeiteten sie mit einem Cybersicherheitsunternehmen zusammen, um eine neue Endpunktschutzsoftware einzurichten und Dienste zur Überwachung und Abwehr des Angriffs bereitzustellen.
Während der gesamten Zeit, in der diese Abhilfemaßnahmen durchgeführt wurden, konnten die Benutzer auf die Daten der einzelnen Panzura -Bereitstellungen zugreifen und trotz eines Ransomware-Angriffs produktiv bleiben.
Während ein Teil des Firmenteams an der Systemüberprüfung arbeitete, kümmerte sich eine andere Gruppe in Zusammenarbeit mit den Experten von Panzuraum den Zugriff auf saubere, aktuelle Projektdaten. Die Cloud-Sicherheitsexperten von Panzuratesteten und implementierten schnell ein benutzerdefiniertes Skript, das die Erstellung neuer CURATOR-Dateien sofort erkannte und verhinderte, dass diese auf einen beliebigen Datenträger geschrieben wurden.
Um sicherzustellen, dass keine verschlüsselten Dateien durch die Maschen schlüpfen, implementierte das globale Serviceteam einen Zähler, der die Versuche, diesen Dateityp zu schreiben, verfolgt. Dies ermöglichte es den Systemadministratoren, neue verdächtige Aktivitäten zu überwachen, während die Systeme in Betrieb genommen wurden.
Innerhalb weniger Stunden verringerte sich die Anzahl der erzeugten .CURATOR-Dateien. Das IT-Team konnte sehen, dass es den Angriff unter Kontrolle bekam. Aber sie waren noch nicht fertig. Sie mussten nun das Chaos beseitigen, das dieser weit verbreitete Angriff angerichtet hatte.
Identifizierung betroffener Dateien
Mithilfe der in das globale Dateisystem von Panzura eingebetteten Schicht Data Services stellte das Team von Panzura dem Unternehmen eine vollständige Liste aller betroffenen verschlüsselten Dateien sowie deren Speicherort und Erstellungsdatum zur Verfügung. Diese Analyse zeigte, dass jede Dateipartition in jedem Büro von dem Angriff betroffen war und dass die Wiederherstellung der Daten eine methodische und sorgfältige Planung erfordern würde.
Das Support-Team von Panzura machte sich zielstrebig an die Arbeit und half dem Unternehmen, die unverschlüsselten Dateien wiederherzustellen, wobei ein Triage-System dafür sorgte, dass die wichtigsten Ordner zuerst wiederhergestellt wurden.
Um den Datenverlust so gering wie möglich zu halten, nutzte das IT-Team die Analysefunktion Panzura für jede Datei, um genau zu ermitteln, wann die Dateien und Ordner verschlüsselt wurden. Anhand dieser Informationen konnten sie die letzte gute Version jeder Datei wiederherstellen, bevor sie durch den Angriff verschlüsselt wurde.
Mit vollständigen Dateisystem-Snapshots alle 60 Minuten und Benutzer-Snapshots alle 60 Sekunden konnte das IT-Team der Unternehmensleitung versichern, dass sie geschützt waren.
Die Wiederherstellung der Daten wäre ein anderer Prozess - im Gegensatz zur Wiederherstellung von einer herkömmlichen Backup-Lösung. Da die Lösung Panzura unendlich viele Änderungen an jeder Datei katalogisiert und diese Daten in den Metadaten speichert, musste das IT-Team einfach jede Datei auf die beste Version der Datei zurücksetzen. Die Daten müssen nicht rund um den Globus transportiert werden. Es sind keine teuren Auslagerungsgebühren erforderlich. Nur eine Änderung der Metadaten. Das Ergebnis: Die Wiederherstellung des Panzura -Snapshots würde nur einen Bruchteil der Zeit in Anspruch nehmen, die sonst für ein Offsite-Backup benötigt wird, und das bei wesentlich höherer Zuverlässigkeit.
Trotz des Erfolgs, den sie mit den Daten ihrer Benutzer hatten, war es für das IT-Team offensichtlich, dass sie noch Wochen der Arbeit vor sich hatten. Sie mussten nun die außerhalb von Panzura gespeicherten Daten und Systeme bewerten und wiederherstellen.
Und die Aussichten waren düster.
Um es ganz offen zu sagen: Der IT-Manager brachte es auf den Punkt:
Während wir die verschlüsselten Dateien auf dem System Panzura frühzeitig beseitigen konnten, waren wir bei den anderen Systemen sieben Wochen später immer noch mit diesem Prozess beschäftigt.
Verlangsamung des Angriffs, frühzeitige Erkennung und schnellere, bessere Erholung
Die inhärente Architektur von Panzura bietet einen enormen Vorteil gegenüber herkömmlichen Methoden zur Speicherung und zum Schutz von Daten.
Die frühzeitige Erkennung, die Identifizierung der Hauptquellen des Angriffs und eine schnelle Reaktion zur Schadensbegrenzung waren entscheidend für den Erfolg der Wiederherstellung der Benutzerdaten. Es wurde kein Lösegeld gezahlt. Es kam zu keinen unangemessenen Ausfallzeiten.
Da Panzura die am häufigsten verwendeten Dateien lokal im Cache speichert, ist ein Ransomware-Angriff auf die lokal gespeicherten Dateien beschränkt. Das liegt daran, dass die Malware keine Möglichkeit hat, herauszufinden, ob sich die Datei, die sie gerade verschlüsselt, im Cache befindet oder nicht - sie durchforstet einfach Verzeichnisse.
Wenn die Malware auf Dateien stößt, die sich nicht im Cache befinden, holt sie diese aus dem Cloud-Speicher. Das kostet Zeit. Und es erzeugt sofort rote Fahnen, da die Bandbreite monopolisiert wird.
Auch die zunehmende Bewegung von Daten aus der und zurück in die Cloud ist leicht zu erkennen und zu melden, was eine frühzeitige Warnung ermöglicht und wertvolle Zeit bei der Problemdiagnose spart. Mit Panzura Data Services werden viele solcher Verschlüsselungsversuche innerhalb von Minuten gestoppt, was das Ausmaß des Schadens und die erforderliche Wiederherstellungszeit begrenzt.
Auf die Frage, wie anders die Situation ohne Panzura gewesen wäre, sagte der IT-Manager:
Wir hätten eine Bandsicherung gehabt und müssten jetzt die Bänder austauschen und die Daten wiederherstellen. Die Zeit bis zur Wiederherstellung ist wahrscheinlich der größte Vorteil der Nutzung von Panzura.
Bei diesem Angriff gingen weder kritische Produktionsdaten verloren, noch waren Produktionsdateien über einen längeren Zeitraum hinweg nicht verfügbar. In der Praxis bedeutete dies, dass die Firma weiterhin alle Fristen einhalten und sicherstellen konnte, dass ihre Kunden von der Unterbrechung nicht betroffen waren.
Ein tieferes Eintauchen
Ransomware-Angriffe haben ein einziges Ziel: Dateien so zu verschlüsseln, dass Entscheidungsträger in Unternehmen glauben, sie könnten nur mit Hilfe des Angreifers entsperrt werden. In der Regel konzentrieren sich Ransomware-Angriffe auf die Verschlüsselung oder Zerstörung von Backup-Daten und Snapshots sowie von Primärdaten - mit dem klaren Ziel, einem Unternehmen jegliche Möglichkeit zu nehmen, nützliche Daten selbst wiederherzustellen und der Lösegeldforderung zu entgehen.
Panzura lässt dies nicht zu.
PanzuraDas globale Dateisystem CloudFS ermöglicht es Unternehmen, Daten in jeder öffentlichen oder privaten Cloud zu speichern und dabei Objektspeicher für Skalierbarkeit und Haltbarkeit zu nutzen. Die Benutzer arbeiten an vertrauten Dateien in einem vertrauten Verzeichnis oder Ordner, aber unterhalb dieses Aufwands verwandelt Panzura jede Erstellung oder Änderung einer Datei in Objektblöcke, die in einem beliebigen Objektspeicher gespeichert werden können.
Mit Panzura sind alle Daten im Cloud-Objektspeicher unveränderlich und können nicht überschrieben werden. Wenn Benutzer Dateien im Dateisystem bearbeiten, werden die vorgenommenen Änderungen als neue Datenobjekte mit der Cloud synchronisiert.
Die Metadaten für jede Datei werden bei jeder Bearbeitung aktualisiert, wobei aufgezeichnet wird, welche Objektblöcke zur Bildung einer "Datei" zu einem bestimmten Zeitpunkt benötigt werden. Die gespeicherten Daten werden außerdem durch schreibgeschützte Snapshots geschützt, die in konfigurierbaren Abständen erstellt werden.
Infolgedessen verschlüsselte der Ransomware-Angriff, den das Unternehmen erlebte, nicht die Daten, die Panzura in seinem Cloud-Speicher gesichert hatte. Stattdessen wurden Daten erstellt, die als neue Objekte in den Cloud-Speicher geschrieben wurden, während die bereits vorhandenen Daten unberührt blieben.
Für Unternehmen, die mit älteren Dateisystemen arbeiten, stellt Ransomware ein ernstes Problem dar. Durch die Speicherung von Daten, die bearbeitbar sein müssen, sind ältere Dateisysteme von Natur aus anfällig.
Wenn sie angegriffen werden, tun sie genau das, wofür sie gedacht sind, und erlauben die Veränderung von Dateien. Das bedeutet, dass die Wiederherstellung "sauberer" Dateien außerordentlich schwierig und zeitaufwändig ist. Außerdem werden Sicherungsvorgänge in der Regel nach einem bestimmten Zeitplan ausgeführt, und zwar aufgrund des Ressourcenverbrauchs oft nur einmal täglich. Die Wiederherstellung aus einem Backup nach einer Katastrophe ist fast immer mit einem gewissen Datenverlust verbunden, oft sogar mit einer beträchtlichen Menge.
Gängige Konzepte für die Ausfallsicherheit von Daten tragen wenig dazu bei, diesen Datenverlust zu verhindern.
Traditionell erstellt die IT-Abteilung eine Kopie der Benutzerdaten und speichert diese Daten getrennt von den Primärdaten, häufig an einem anderen Unternehmensstandort. Um die Ausfallsicherheit zu erhöhen, werden zusätzliche Kopien an einem anderen Ort gespeichert. Auch bei diesem Ansatz der Notfallwiederherstellung kommt es zu Datenverlusten, insbesondere wenn die Dateien von einem Band wiederhergestellt werden müssen. Die erhebliche Zeitspanne zwischen der Durchführung der Sicherung und dem tatsächlichen Zeitpunkt des Angriffs schafft eine Lücke in der betrieblichen Integrität.
Was funktioniert also?
Die Investition dieses Unternehmens in Panzura geht weit über die Notwendigkeit hinaus, den Benutzern die Möglichkeit zu geben, in Echtzeit an ein und demselben Datensatz über mehrere Standorte hinweg zusammenzuarbeiten - eine Lösung, die Panzura in der Welt der unstrukturierten Datenanwendungen einzigartig macht.
Intelligente Technologie, die Daten sofort dorthin transportiert, wo sie benötigt werden, ist wenig hilfreich, wenn sie mit der Art von Angriffen konfrontiert wird, wie sie hier von hochentwickelten Cyberkriminellen durchgeführt werden.
Entscheidend für diese schnelle Wiederherstellung ist die Unveränderlichkeit der Daten von Panzura, die auch schnellen Versuchen, Daten mit Malware zu verschlüsseln, standhält.
In Verbindung mit der Ausfallsicherheit des Cloud-Speichers selbst verfügt dieses Unternehmen über eine Datenbeständigkeit von mindestens 13 Neunern - zusammen mit einem Ransomware-Schutz, den sich viele Unternehmen wünschen.
Diese Datenbeständigkeit machte ihre kritischen Daten im Wesentlichen unempfindlich gegen einen aggressiven Angriff, minimierte die Unterbrechungen und maximierte die Geschwindigkeit der Wiederherstellung.
Die meisten dieser Geschichten enden nicht so gut.
Mit einem intelligenten Datenverwaltungssystem wie Panzura ist dies jedoch möglich. Es verfügt über ein globales Dateisystem, das dem Datenschutz Vorrang einräumt und einen unverfälschten Datensatz verwaltet, der schnell wiederhergestellt werden kann - so werden Ausfallzeiten und Datenverluste minimiert und die Datenintegrität gewahrt.