Ransomware Response – Was tun, wenn der Ernstfall eintritt?

January 18, 2021 / by Nadine Kern, Thorben Pöschus


Ransomware – ferngesteuerte bösartige Erpressersoftware – ist seit ein paar Jahren eine der größten Bedrohungen für die Cybersicherheit von Unternehmen. Dateien und IT-Systeme werden verschlüsselt, meist bleibt nur ein Erpresserschreiben. Was können Unternehmen tun, wenn das Kind in den Brunnen gefallen ist?

Stellen Sie sich vor, Sie kommen morgens ins Büro, starten Ihren PC und nichts geht. Auch Ihre Kollegen sind betroffen. Hektik entsteht, die IT wird hinzugezogen, es herrscht Chaos. Die gesamte IT-Infrastruktur ist verschlüsselt, die Angreifer fordern 1 Bitcoin (ca. 40.000€). Neben der IT- Infrastruktur sind auch große Teile des Backups zerstört bzw. gelöscht.

So in etwa klingen viele reale Szenarien. Um uns selbst auf einen solchen Fall vorzubereiten, haben wir dieses Szenario durchgespielt. Als Grundlage dient uns ein imaginäres Unternehmen, wie wir es oft im Alltag vorfinden. Das Unternehmen nutzt vorwiegend on-premises IT-Infrastruktur (Active Directory, Exchange, SCCM, …) und konsumiert bereits einige Dienste von Microsoft 365. Das Ziel unseres Use Cases, ist möglichst schnell wieder arbeitsfähig zu werden, dazu zählen Endgeräte und Kommunikationsmittel.

Ohne ein vollständiges Backup und dem Wissen, wie der Angreifer ins Netzwerk gelangt ist und wo er sich manifestiert hat, eine fast unlösbare Aufgabe. Die bisherige on-premises IT-Infrastruktur ohne forensische Prüfung wiederherzustellen, kommt für uns nicht in Frage. In diesem frühen Stadium ist noch nicht klar, wann und wie der Angreifer ins Netzwerk eingedrungen ist. Wie in vielen echten Szenarien können viele kritische Komponenten nicht wiederhergestellt werden, da das Backup zerstört wurde. Wir entwickelten daher die Idee, direkt in die Cloud zu gehen und unseren 100 % Cloud Blueprint vollständig umzusetzen. Mithilfe von Azure Active Directory, Office 365, Intune und RealmJoin wollen wir kurzfristig eine funktionsfähige Arbeitsumgebung bereitstellen. Nach einem solchen Angriff direkt in die Cloud zu gehen, bringt mehrere Vorteile. Viele Dienste können ohne den Aufbau einer Infrastruktur bereitgestellt werden, und dringend benötigte Sicherheitsfunktionen können sofort implementiert werden. Der Neuaufbau verhindert, dass infizierte Systeme mitgeschleppt werden. Mit unserer Strategie möchten wir zeigen, wie schnell wir sind, um Mitarbeiter so zügig wie möglich wieder an die Arbeit zu bringen.

Unser erster Schritt ist es, den bisherigen AD-Sync zu Azure AD zu deaktivieren. Alle Beteiligten sind sich einig, das bisherige Active Dirctory nicht wiederherzustellen (Stichwort Golden Ticket). Die bereits im Azure AD vorhandenen Identitäten wollen wir aber weiterhin nutzen. Dieser Prozess ist ein wichtiger Eckpfeiler für den Rebuild, kann aber bis zu 72 Stunden dauern. Sobald also die Entscheidung für einen Neuaufbau in der Cloud gefallen ist, muss dieser Schritt als erster erfolgen.

Die Identitäten im Azure AD werden zunächst gesperrt und deren Zugangsdaten zurückgesetzt. Innerhalb kürzester Zeit werden Mailboxen angelegt, die Plattform für unseren Future Workplace vorbereitet und alle wichtigen Security Features aktiviert und konfiguriert. Dank unseres bewährten Blueprints sind die ersten Clients nach zwei Tagen provisioniert, in der Cloud enrolled und den Usern bereitgestellt. Hierfür müssen die Protagonisten perfekt Hand in Hand arbeiten, um die zeitlichen Ziele zu erreichen. Nach zwei arbeitsreichen Tagen ist die Basis geschaffen, um alle Mitarbeiter mit einem Endgerät sowie wichtigen Kommunikationsmitteln auszustatten.

Und wie geht es nach den ersten paar Tagen weiter? Ein wichtiger Baustein sind die Bestands-E-Mails. Hierfür muss ein funktionierendes Backup gefunden, wiederhergestellt und geprüft werden. Je nach Situation müssen die Daten so aufbereitet werden, dass sie anschließend in Exchange Online importiert werden können.

Weitere unternehmenskritische Anwendungen sollten ebenfalls in der Cloud neu aufgesetzt werden. Wenn dies nicht möglich ist, ist auch ein on-premises Aufbau denkbar. Hierfür wird in der Regel ein Active Directory benötigt. Da das bisherige Active Directory kompromittiert wurde, muss dieses neu aufgesetzt werden. Die User können aus dem Azure AD exportiert und ins neue Active Directory importiert werden. Anschließend müssen die User per Softmatch über Azure AD Connect mit den Azure AD Usern verknüpft werden. Für das Seamless Single Sign-On der lokalen Applikationen empfehlen wir die Konfiguration von Windows Hello for Business Hybrid. Die benötigten DC-Zertifikate können wir schnell und einfach per SCEPman erstellen und verteilen.

Microsoft Defender for Endpoint

Fazit:

Der Befall mit einer Ransomware ist für jedes Unternehmen immer der Worst Case. Allerdings kann aus dem anfänglichen Chaos auch ein Weg geschaffen werden, die IT-Infrastruktur schnell, effektiv und sicher neu aufzubauen. Der glueckkanja-gab Blueprint zeigt an dieser Stelle, dass unser vielfach erprobter Weg in die Cloud auch in einem solchen Notfallszenario funktionieren kann. In unserer Simulation ist es von unmittelbarem Vorteil, dass das imaginäre Unternehmen bereits seine Identitäten in die Cloud synchronisiert hat. So kann auf gedruckte Mitarbeiterlisten verzichtet werden, was den Prozess deutlich beschleunigt und folglich der Umbau in die Cloud zeitnah durchgeführt werden kann.

Generell bietet der Infrastruktur Neuaufbau in der Cloud viele Vorteile, z.B. können neben der Modernisierung durch neue Funktionen und Technologien auch neue Sicherheitsfeatures implementiert und genutzt werden. Dies beginnt mit dem Einsatz von Conditional Access, um sämtliche Anmeldungen an Microsoft 365 Services zu überwachen und den Zugriff risikobasiert zu gewähren. Darüber hinaus bietet sich auch die Möglichkeit, on-premises installierte Applikationen mit einem Azure AD Application Proxy zu veröffentlichen und die Anmeldungen an dieser Applikation durch Conditional Access zu kontrollieren. Das Management der Clients durch Microsofts Endpoint Manager und die Absicherung der Clients durch den Defender for Endpoint stellt sicher, dass die Clients immer up-to-date und geschützt sind. Dies lässt sich in nahezu Echtzeit automatisch kontrollieren. Microsoft Defender for Office 365 stellt sicher, dass E-Mails jederzeit geprüft und bei Bedarf blockiert werden. Damit deckt Microsoft an dieser Stelle den kompletten Schutzbedarf für Identitäten, Clients und Applikationen ab. Zusätzlich stellt RealmJoin sicher, dass immer die aktuellsten Pakete auf den Clients installiert sind. Durch den Einsatz von SCEPman vermeidet man den komplexen Neuaufbau einer on-premises PKI, ohne auf notwendige Funktionen bei der Zertifikatsaustellung verzichten zu müssen.

All diese Komponenten sorgen dafür, dass ein solcher, quasi erzwungener Weg in die Cloud schnell und sicher erfolgen kann.

Autoren:

Nadine Kern: Twitter @nadineausRT, LinkedIn
Thorben Pöschus: Twitter: @TPO901, LinkedIn