Ransomware-Angriffe auf Unternehmen nehmen sowohl in ihrer Häufigkeit als auch in ihrer Komplexität zu. Viele in der Sicherheitsbranche glauben, dass WannaCry und NotPetya nur ein Beispiel für das waren, was noch kommen wird. Active Directory (AD) steht zunehmend im Mittelpunkt von Cyberangriffen, wobei Wiper wie MBR-ONI AD nutzen, um die Reichweite der Angriffe zu maximieren, und in einigen Fällen haben Wiper wie NotPetya AD komplett lahmgelegt. In dieser Blogserie erfahren Sie mehr über reale Fälle von Wiper-Angriffen, deren Auswirkungen auf AD und was Sie tun können, um Ihr Unternehmen besser auf die nächste Angriffswelle vorzubereiten.
Der Umgang mit einem Wiper-Virus: Wenn NotPetya angreift
Seit dem Ausbruch des Wiper-Angriffs NotPetya ist fast ein Jahr vergangen und in dieser Zeit habe ich mehrere Gespräche mit Systemanalysten geführt, deren Unternehmen von der Wiper-Malware betroffen waren. Da Semperis ein Unternehmen für den Schutz von Verzeichnisdiensten ist, drehen sich die meisten meiner Gespräche um Verzeichnisdienste und die Auswirkungen der Angriffe im Zusammenhang mit AD. In jedem Gespräch, das ich geführt habe, haben wir darüber gesprochen, was passiert ist und welche Auswirkungen die Angriffe auf das Unternehmen hatten. Wir haben dann besprochen, was unternommen wurde, um die Auswirkungen des Angriffs abzumildern und welche Lehren daraus gezogen wurden. Ich dachte, dass es für andere von Vorteil sein könnte, einige dieser Geschichten zu hören, um besser auf zukünftige Angriffe vorbereitet zu sein.
Die erste Geschichte, die ich über NotPetya erzählen möchte, handelt von einem großen Hersteller in Westeuropa mit etwa 10.000 Mitarbeitern, dessen gesamtes Active Directory als Folge von NotPetya verschlüsselt wurde. Das Erstaunliche an dieser Geschichte ist, dass der Wiper von dem Moment an, in dem er sich ausbreitete, weniger als 10 Minuten brauchte, um alle Domänencontroller (DC) und Dateiserver (FS) des Unternehmens zu verschlüsseln, wobei sich die Verschlüsselung global auf alle entfernten Standorte ausbreitete.
Leider waren auch die Backup- und Recovery-Server verschlüsselt und mussten von Grund auf neu aufgebaut werden. Der Angriff brachte das Unternehmen vollständig zum Stillstand. Nachdem die IT-Teams die erste Schadensbilanz gezogen hatten, stellten sie fest, dass dieser Angriff mit nichts vergleichbar war, was sie je zuvor erlebt hatten.
Der Wiederherstellungsprozess nach dem Angriff war lang und komplex. Zunächst musste das Team ein paar wichtige Entscheidungen treffen:
- Was sollte zuerst wiederhergestellt werden?
Dazu gehörte auch eine Bestandsaufnahme der geschäftskritischen Anwendungen und der erforderlichen Infrastrukturkomponenten, auf die sie angewiesen sind. - Wie viele DCs müssen für jeden Standort mindestens wiederhergestellt werden?
Außerdem musste der Wiederherstellung von Servern, die sich an Standorten mit geringer Bandbreite befanden, besondere Aufmerksamkeit gewidmet werden.
Der erste Schritt im Wiederherstellungsprozess war die Wiederherstellung der Backup- und Wiederherstellungsserver, gefolgt von der Wiederherstellung der anderen Server von Bändern, ein Prozess, der mehrere Tage dauerte und bei dem Microsoft-Ingenieure zur Unterstützung vor Ort waren.
Die Wiederherstellung der verschlüsselten DCs war ein langwieriger Prozess, der von Grund auf neu durchgeführt werden musste. Das IT-Team begann damit, eine neue virtuelle Maschine mit einem sauberen Betriebssystem zu erstellen, den Wiederherstellungsagenten zu installieren, den Systemzustand wiederherzustellen, den virtuellen Network Interface Controller (NIC) zu säubern und nach der Wiederherstellung des Systemzustands andere treiberbezogene Probleme zu lösen.
Obwohl das Team die richtigen Wiederherstellungsprotokolle befolgte, scheiterte die erste Wiederherstellung von Active Directory aufgrund eines Problems mit der Update-Sequenznummer (USN), das die Replikation von AD verhinderte. Die Herausforderung bei USN-Rollbacks besteht darin, dass sie sehr schwer zu identifizieren sind und es Tausende von ihnen geben kann, ohne dass irgendwo ein Fehler protokolliert wird.
Erwarten Sie das Unerwartete im Erholungsprozess
Das Wichtigste, was Sie aus dieser Geschichte mitnehmen können, ist, dass die Wiederherstellung einer verschlüsselten Umgebung ein unglaublich komplexer Prozess ist, bei dem viele bewegliche Teile berücksichtigt werden müssen.
Selbst wenn Sie glauben, dass Sie gut vorbereitet sind, ist es schwer, einige der Probleme vorherzusehen, die während der Wiederherstellung auftreten können. Hier sind nur einige Möglichkeiten, wie Sie Ihr Unternehmen besser vor den Auswirkungen eines Wiper-Virus schützen können:
- Bereiten Sie sich immer auf den schlimmsten Fall vor - Auch wenn es unwahrscheinlich erscheint, sollten Sie auf eine Situation vorbereitet sein, in der alle Ihre Server, einschließlich der Backup-/Recovery-Server, ausgefallen sind. Führen Sie ein Verfahren ein, bei dem die Wiederherstellung der Backup-/Wiederherstellungsserver der erste Schritt ist.
- Kartieren Sie geschäftskritische Anwendungen und ihre Infrastrukturabhängigkeiten - Höchstwahrscheinlich stützen sich Ihre Geschäftsanwendungen auf Active Directory, aber es ist wichtig zu wissen, welche anderen Komponenten wiederhergestellt werden müssen, damit die Anwendung läuft.
- Stellen Sie sicher, dass Sie einen bewährten Plan zur Wiederherstellung Ihres Active Directory haben - Ein Backup ist ein guter erster Schritt, aber Sie müssen sich darüber im Klaren sein, dass die Wiederherstellung kein einfacher Prozess ist und die Dinge sehr schnell kompliziert werden können. Microsoft bietet einen Vorbereitungsdienst für die Wiederherstellung von Active Directory namens ADRES an, der Ihnen helfen kann, auf eine katastrophale Situation mit Ihrem AD vorbereitet zu sein.
Die NotPetya-Wiederherstellung ist nicht mehr schmerzhaft
Es ist zwar wichtig, bestimmte Maßnahmen zu ergreifen, um Ihre Infrastruktur vor Wiper-Angriffen zu schützen, aber nur mit einem soliden Disaster Recovery-Plan lässt sich die Komplexität des Wiederherstellungsprozesses wirklich minimieren. Die Lösung Active Directory Forest Recovery (ADFR) von Semperis automatisiert die Orchestrierung des Active Directory Disaster Recovery-Prozesses vollständig und verkürzt die Zeit bis zur Wiederherstellung drastisch. Durch die Nutzung der internen Intelligenz ist ADFR in der Lage, Entscheidungen zu treffen, die eine Vielzahl von Problemen lösen, die während des AD DR-Wiederherstellungsprozesses auftreten können (z.B. die Verwendung von Verteilungspunkten, um das Problem der geringen Netzwerkbandbreite zu überwinden). Weitere Informationen zur Active Directory Disaster Recovery finden Sie in unserem Webinar zur AD DR-Automatisierung und in unserem Webinar zu Überlegungen zur AD-Sicherung.
Bleiben Sie dran für den nächsten Blog in dieser Serie, in dem ich ein wenig mehr über den ONI-Virus und seine Auswirkungen auf Active Directory berichten werde.
