Sean Deuby | Leitender Technologe

Die jüngste Entwicklung in der NotPetya-Attacke von 2017 sollte Unternehmen daran erinnern, dass es nur eine Handvoll Cyberkrimineller braucht, um Ihren gesamten Betrieb lahmzulegen.

Letzte Woche hat das US-Justizministerium Anklagepunkte wie Computerbetrug und Verschwörung gegen sechs Hacker der als Sandworm bekannten Cyberkriminellen, die nachweislich Mitglieder des russischen Militärgeheimdienstes GRU sind.

Man geht davon aus, dass Sandworm hinter den Angriffen steckt, die 2016 einen Teil des ukrainischen Stromnetzes lahmlegten, sich in die französischen Wahlen 2017 einmischten, Computer bei den Olympischen Winterspielen 2018 zerstörten und vor allem für den berüchtigten NotPetya-Angriff verantwortlich sind.

Der NotPetya-Angriff betraf Organisationen in 65 Ländern weltweit und verursachte einen geschätzten Schaden von 10 Milliarden Dollar. Ein Beispiel für ein solches Unternehmen aus den Schlagzeilen ist die größte Reederei der Welt, Maersk. Berichten zufolge war das Netzwerk von Maersk innerhalb weniger Minuten lahmgelegt und der Schaden durch die Malware innerhalb einer Stunde vollständig. Maersk hat alle Online Active Directory (AD) Domänencontroller-Server sowie deren Backups verloren. Die Rettung war ein abgeschalteter Domänencontroller in der Niederlassung in Accra, Ghana. 

Maersk benötigte neun Tage, um AD wiederherzustellen. Der CISO von Maersk, Andy Powell, wurde mit den Worten zitiert: "Neun Tage für eine Active Directory-Wiederherstellung sind nicht gut genug, Sie sollten 24 Stunden anstreben; wenn Sie das nicht schaffen, können Sie auch nichts anderes reparieren."

Der renommierte Cybersecurity-Journalist und Autor von Sandworm hat auf wired.com über die Geschichte berichtet: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg. Wir hatten kürzlich die Gelegenheit, uns mit Andy zusammenzusetzen auf der 2020 Konferenz zum Schutz hybrider Identitäten darüber zu sprechen, was Unternehmen aus zerstörerischen Cyberangriffen wie NotPetya lernen können und wie sie über eine Ausweichstrategie nachdenken sollten. Andy betonte: "Noch mehr als auf die Verteidigung sollten Sie sich auf die Widerstandsfähigkeit konzentrieren. Sie können einen Angriff vielleicht nicht verhindern, aber Sie können bereit sein, auf einen Angriff zu reagieren und sich davon zu erholen.

Verwandte Lektüre

Gelernte Lektionen: Sind Sie bereit für den nächsten "NotPetya"?  

NotPetya trat vor nicht allzu langer Zeit lange her Es ist noch nicht lange her, und die meisten CISOs waren zum Zeitpunkt des Angriffs in irgendeiner Form in der IT-Branche tätig. Maersk war ziemlich transparent in Bezug auf den Schaden, den NotPetya angerichtet hat, so dass die Details über den vollständigen Verlust des Active Directory des Unternehmens in so gut wie jedem Tech-Artikel über den Angriff enthalten waren. Man sollte meinen, CISOs würden zur Kenntnis nehmen und die AD-Wiederherstellungsstrategie würde heute anders aussehen.

Und dennoch haben die meisten Unternehmen immer noch keinen Plan, um die Wiederherstellbarkeit von AD sicherzustellen.

Sicher, Sie machen Backups, und es gibt Sicherheitslösungen, um eine angemessene präventive Sicherheitsstrategie zu unterstützen, aber Unternehmen sind heute immer noch nicht auf einen AD-Angriff vom Kaliber eines NotPetya vorbereitet.

Laut unserer kürzlich veröffentlichten Wiederherstellung von Active Directory bei Cyberkatastrophen geben 84 % der Unternehmen zu, dass der Verlust von AD-Domänencontrollern im Rahmen eines Cyberangriffs erhebliche, schwerwiegende oder katastrophale Auswirkungen auf das Unternehmen haben würde.

Backups spielen sicherlich eine Rolle in einer Disaster Recovery-Strategie, aber da AD in 58% der Unternehmen entweder der einzige oder der primäre Identitätsdienst ist, müssen Sie unbedingt auf einen "katastrophalen" Verlust von AD vorbereitet sein. NotPetya hat bewiesen, dass das passieren kann. Und dennoch haben etwas mehr als zwei Drittel (68%) der Unternehmen entweder keinen AD-Wiederherstellungsplan, haben einen Plan, haben ihn aber nicht getestet, oder haben ihn innerhalb eines Jahres nicht getestet. 

Basierend auf dem NotPetya-Angriff und neueren Cyberattacken die AD betreffen, gibt es ein paar Arten von AD-bezogenen Angriffstaktiken, mit denen Sie rechnen sollten erwarten und die Ihr Reaktionsplan berücksichtigen sollte:

  • AD Manipulation-Die Fähigkeit von AD, Zugang zu auf Ressourcen und die Kontrolle über Benutzer und Endpunkte zu ermöglichen, bringt es in die Hände von Cyberkriminellen. Es ist notwendig, dass in der Lage sein Ihr AD wieder in ein bekannt gutes und bekannt-sicheren Zustand
  • AD Verfügbarkeit-Im Fall Maersk Angriffwurde der Master Boot Record jedes Domain Controllers erhalten. verschlüsselt, wodurch sie nicht mehr booten können. Sie müssen in der Lage sein alles von einem einzigen Domänencontroller bis hin zum gesamten Forest (mit all seinen Komplexitäten) ohne die Wiedereinführung von Malware zu riskieren.
  • Keine AD-BackupsViele Ransomware-Stämme zielen auf den Volume Shadow Copy-Dienst von Microsoft ab, sichern Dateien nach Dateityp und versuchen sogar, über eine API auf Backup-Lösungen zuzugreifen. Zumindest sollte die 3-2-1-Backup-Regel mit einer Kopie, die außerhalb des Unternehmens aufbewahrt wird. Und für die Unternehmen, die AD als kritische Arbeitslast erkennen, ist eine Lösung, die sich auf die AD-Forest-Wiederherstellung eine mehrschichtige Reaktionsstrategie. Auf diese Weise können Sie sich darauf verlassen, dass Sie den Schaden auch dann beheben können, wenn es keine brauchbaren Backups gibt.

Das alte Sprichwort "Wer sich nicht an die Vergangenheit erinnert, ist dazu verdammt, sie zu wiederholen" ist immer noch wahr. Und wenn Sie zu den Unternehmen gehören, die nicht aus den Erfahrungen von Maersk bei der Erholung von NotPetya gelernt haben, sollte Ihnen die Sandworm-Anklage als Erinnerung dienen, dass es jetzt an der Zeit ist, mit der Planung für den nächsten großen Cyberangriff trifft.