Cryptotrojaner verschlüsselt System(e)

Wenn’s passiert ist, ist guter Rat teuer

Dieser Beitrag soll die wichtigsten Schritte definieren und damit einen roten Faden an die Hand geben, besonders wenn es hektisch wird.
Die Schritte erheben natürlich keinerlei Anspruch auf Vollständigkeit, denn je höher die Komplexität, desto mehr Systeme können betroffen sein.

Technische Kenntnisse der Systeme setze ich voraus! Sollte man nur ansatzweise daran zweifeln, die folgenden Schritte fachlich korrekt und vollumfänglich durchführen zu können, ist im Zweifel fremde Hilfe unabdingbar!

Eins vorweg:
Ein betroffenes System neu zu starten oder herunterzufahren, kann u.U. kontraproduktiv sein, denn die einzigen Spuren des Angriffs könnten im flüchtigen RAM liegen! Also Systeme durchaus laufen lassen, aber die Netzwerkverbindung(en) sofort trennen! Ohne Netzwerkverbindung ist das System zunächst isoliert und eine Kompromittierung des lokalen Systems ist in dieser Phase sowieso nicht mehr zu verhindern, auch nicht mit einem Neustart.

Eindämmungsphase

Die folgenden Maßnahmen sollen verhindern, dass weitere Schädlinge und Angreifer eine offene Tür vorfinden oder der Schädling sich weiter verbreiten und so weitere Systeme kompromittieren kann.

    1. Das gesamte Netzwerk/die Netze sofort vom und zum Internet trennen! (sämtliche Firewall Policies deaktivieren, WLAN abschalten, etc.)
    2. Remote Zugriffe (IPSEC, SSL-VPN) sofort blockieren und abstellen
    3. Netzwerk-Verbindung(en) der Client-Geräte trennen (bei Remote Workern sollte das im letzten Schritt automatisch erfolgt sein.

Alle Geräte gelten – mindestens bis die Ursache und der Einstiegspunkt klar sind – als kompromittiert und sind nicht mehr am lokalen Netzwerk anzuschließen!

Analysephase

Jetzt gilt es festzustellen, wie groß der Impact genau ist…

  1. Genauen Umfang des Schadens sondieren
  2. Wurden Dateien verschlüsselt?
  3. Ist das AD Kompromittiert?
  4. Sind Mailserver Datenbanken, Mailboxen betroffen?
  5. Ist evtl. eine Terminalserver Farm im Einsatz?
  6. Wo liegen die Benutzerprofile?
  7. Welche Informationen können wir einsammeln, bzw. werden wir brauchen?
    • Zeitstempel und generelle zeitliche Abläufe des Ereignisses?
    • Monitoring Systeme?
    • Logfiles Firewall?
    • Logfiles Server?
    • Logfiles Clients?
    • Aussagen der Mitarbeiter/Benutzer/Dienstleister/Partner/Kunden?

Kommunikationsphase

  1. Geschäftsleitung über den Vorfall informieren und abstimmen, inwieweit die Benutzer informiert werden können. (Telefon, vor Ort Meeting)
  2. Polizei informieren und Anzeige erstatten
  3. Vorfall beim zuständigen Landesamt für Datenschutz melden (für Bayern bspw. hier)
  4. Spätestens jetzt sollte das erste Meeting, also eine erste größere Abstimmung, mit allen Beteiligten, über die ersten 3 Phasen erfolgen und sämtliche Folgeschritte hängen nun vom Ergebnis der ersten 3 Phasen ab.

Auswertungsphase

  1. Umfang des Impact auswerten
  2. Beschluss der nächsten Schritte und Priorisierung der notwendigen Dienste
  3. Abstimmung zu möglichen Lösungen, entsprechend der Prio Liste
  4. Definition der Zuständigkeiten und Abstimmung über die nächsten Schritte und vor allem darüber, was, wann, wie evtl. parallel abgearbeitet werden kann/sollte

Wiederherstellungsphase

In dieser Phase greifen evtl. vorhandene Disaster Recovery Konzepte, um möglichst schnell, mit möglichst wenig Datenverlust die Handlungsfähigkeit des Unternehmens wiederherzustellen.

Aufarbeitungsphase

In dieser Phase muss der gesamte Vorgang aufgearbeitet werden. Die Kernfrage lautet hier immer:
Wie können wir uns künftig besser vor solchen Ereignissen schützen?
Man sollte sich nicht der Illusion hingeben oder gar kommunizieren, dass man Ereignisse dieser Art gänzlich vermeiden kann.

Ursachenforschung

Was waren im aktuellen Fall die Ursachen?

    • Uralte Systeme, ohne jedes Update
    • Exposed Webserver (Exchange), ohne Reverse Proxy und/oder Pre Authentication!
    • Mieser, oder besser KEIN wirklicher AntiSpam/AntiMalware Schutz
    • Schlecht überwachte und gewartete Endpoint Security Lösung
    • Keinerlei vorhandene Disaster Recovery Konzepte oder vorbereitete IT Mitarbeiter
    • Keinerlei Sensibilisierung der Mitarbeiter für aktuelle Bedrohungslagen

Ich beende die Liste an der Stelle, sie könnte durchaus noch einiges länger sein!

Das waren übrigens die Spuren der „Erpresser“:

Forderung:

Inhalt einer verschlüsselten Datei: