Hallo zusammen,
immer wieder sind Meldungen in der Presse zu lesen, dass Unternehmen oder Behörden einem Ransomware Befall haben oder durch Verschlüsselungs-Trojaner erpresst werden. In vielen Fällen bleiben aber Ransomware Attacken unter Verschluss, um einen Imageverlust des Unternehmens zu vermeiden.
Unternehmen oder Behörden die auf eine „normale“ Backup Strategie setzen, (Einmal abends ein inkrementelles Backup, am Wochenende Full) stehen im Falle eines Befalls durch einen Verschlüsselungs-Trojaner vor dem Dilemma die Daten eines ganzen Tages zu verlieren. In einigen Fällen wurden sogar neben den normalen Dateien auch die Backups verschlüsselt. Das ist dann so richtig kacke.
Wer dann von einem Band Backup der Vorwoche zurücksichert verliert eine enorme Menge an Daten und kann sich nicht Sicher sein, ob die Ransomware sich nicht schon in diesem Backup versteckt hat.
Der wirtschaftliche Schaden ist für die betroffenen Unternehmen meistens enorm.
„Wer NetApp als File-Server nutzt kann sich glücklich schätzen!“
Okay, okay die Aussage ist etwas provokativ und stimmt nicht zu 100%. Auch auf NetApp File-Servern können Viren und Verschlüsselungs-Trojaner wüten.
Was unterscheidet NetApp File Services?
Der File Service auf einer NetApp ist immer geclustert.
Zwar kein Schutz vor Ransomware, aber ein NetApp Build in Add-On ist, dass euer File Service auf der NetApp immer hoch verfügbar ist, denn die NetApp Systeme werden mit mindestens zwei Controllern geliefert. Ihr habt also einen File Server Cluster out of the Box.
Der File Service auf einer NetApp ist kein Windows Server.
In der NetApp gibt es kein aktives Windows Betriebssystem auf dem sich sich Ransomware ungestört ausbreiten kann. Wenn etwas verschlüsselt wird, dann nur durch aktive Clients die Zugriff auf den SMB Share haben.
Sind keine Clients angemeldet wird auch nichts verschlüsselt.
SnapShots in NetApp sind Read-Only.
Wer die eingebaute SnapShot Technologie von NetApp nutzt und beispielsweise jede Stunde oder alle 30 Minuten einen SnapShot seines Dateisystems erstellt, hat damit schon einen richtigen Schritt getan. Denn die NetApp SnapShots sind read-only und können somit nicht durch einen Trojaner verschlüsselt werden. Im Schlimmsten Fall verliert ihr damit nur 30 Minuten eurer Arbeit.
Wie im obigen Bild (PIC1) dargestellt, könnt ihr in den Vorgängerversionen einer Datei Freigabe browsen und einzelne „betroffene“ Datein innerhalb von Sekunden zurücksichern. Da gibt es nur einen Haken an der Sache…
Wisst ihr genau welche Dateien verschlüsselt wurden?
Im Moment, in dem ihr durch eure Benutzer über einen Trojaner Befall informiert wurdet, wütet der Trojaner sicherlich schon einige Zeit. Es ist praktisch unmöglich alles bereits verschlüsselten Dateien zu identifizieren. Denn die neuesten Generationen von Verschlüsselungs-Trojanern tun uns leider nicht mehr den Gefallen eine. locky Endung an die verschlüsselten Dateien zu schreiben.
Das Perfide ist, dass die heutigen Verschlüsselungs-Trojaner eine Datei öffnen, sie verschlüsseln und wieder schließen. Rein äußerlich ist nicht mehr zu erkennen, welche Datei verschlüsselt ist. Was sichert ihr nun also aus eurem SnapShot zurück?
CryptoSpike für NetApp hilft:
Die Firma Prolion hat erkannt, dass es sehr schwierig ist die bereits verschlüsselten Dateien zu identifizieren und geht mit seinem Produkt CryptoSpike in die Offensive gegen Verschlüsselungs-Trojaner.
CrypoSpike schaltet sich in die native NetApp Fpolicy und erkennt am „Verhalten“, ob gerade ein Verschlüsselungs-Trojaner loslegen möchte. Werden beispielsweise ungewöhnlich schnelle und massenhafte Open, Write, Close Anfragen auf Dateien durch einen Benutzer erkannt, so blockiert CryptoSpike automatisch den Zugriff für diesen Benutzer, schlägt Alarm und meldet welche Dateien potenziell verschlüsselt wurden.
Wenn CryptoSpike die betroffene Datei identifiziert hat, habt ihr direkt die Möglichkeit diese aus euren NetApp SnapShots direkt wiederherzustellen.
Aber was macht CryptoSpike sonst noch um Trojaner zu erkennen?
White-List enthält alle in eurem Unternehmen erlaubten Datei-Endungen, diese werden automatisch aus dem Storage bei Installation von CryptoSpike ausgelesen.
Black-List enthält aktuell rund 1800 bekannte Ransomware Dateiendungen oder Dateinamen, die täglich aktualisiert werden.
Learner ist als zweite Sicherheitsstufe der entscheidende Teil. Denn Ransomware verändert nur noch selten Dateinamen und Endungen, sodass von außen die Verschlüsselung nicht erkennbar ist. Der Learner analysiert daher Muster (Patterns) des Benutzerverhaltens in Ihrem Unternehmen, z.B. von read/write/open/close Datei-Operationen. Dazu werden z.B. die letzten 50.000 Transaktionen im Netzwerk erfasst und in der White-Patterns List gespeichert. Ebenso gibt es die Black-Patterns List mit Verhaltensmustern aus aktuellen Ransomware Angriffen.
Fazit:
Wenn ihr im Besitz einer NetApp seid und dort die File Services mit SnapShots verwendet, habt ihr schon mal einen wichtigen Schritt getan. Überlegt euch, ob eurer SnapShot Plan ausreichend engmaschig ist, um eine Ransomware Attacke ohne großen Datenverlust zu überstehen.
Wenn ihr im Besitz einer NetApp seid und dort einen Windows Server als File Server betreibt, frage ich mich: „WARUM?“ Es gibt nur wenige Fälle in denen ein „echter“ Windows File Server unabdingbar ist.
Wenn ihr im Besitz einer NetApp seid, eure SnapShot Pläne sehr engmaschig sind und ihr den ultimativen Schutz vor Verschlüsselungs-Trojanern haben wollt, dann schaut euch den CryptoSpike an.
Epilog
Ich habe diesen Beitrag nicht geschrieben um Werbung für bestimmte Produkte zu machen! Vielmehr treibt mich die Sorge um, wenn ich in meinem täglichen Geschäft mitbekomme wie bitter es Unternehmen getroffen hat, die mit Ransomware befallen wurden. Und ja da waren auch Unternehmen mit NetApp Systemen dabei, welche den kompletten Dateibestand auf den letzten Snapshot zurücksetzen mussten, da sie nicht wussten was alles infiziert ist. Auch waren dort Unternehmen dabei, die eine NetApp einsetzen, aber die File Services über einen Windows Server betreiben. Dort wurde dann sowohl der Windows Fileserver verschlüsselt als das Backup.
Kurz und Knapp: „Macht euch Gedanken, HANDELT JETZT!“
Danke fürs Lesen
Beste Grüße
DerSchmitz
DISCLAIMER: Dieser Beitrag stellt meine persönlichen Beobachtungen dar und ist nicht offiziell von NetApp oder anderen autorisierten. Fehlinterpretationen oder Missverständnissen vorbehalten.
Klasse Beitrag,
deckt sich sehr mit unseren Erfahrungen.
wir hatten den Fall, das cirka ein halbes Jahr Backups verschlüsselt waren.