Kaspersky
Solved

Infektion durch Ransomware Ryuk - was tun (bei Systemen die keine Verschlüsselungsaktivität zeigen)? [verschoben]

  • 6 December 2019
  • 5 replies
  • 5134 views

Hallo zusammen,

einige unserer Systeme wurden in den letzten Tagen von der Ryuk-Ransomware heimgesucht. Zu sehen ist das an Dateien mit der Endung “.RYK” oder der Datei “ RyukReadMe.html” auf dem Server. Wir benötigen keine Entschlüsselung, da wir die betroffenen Systeme aus Snapshots wiederherstellen könnten.

Nun stellt sich die Frage, wie sinnvoll/sicher dieses Vorgehen ist? Nach Möglichkeit möchte ich eine Neuinstallation der Systeme vermeiden. Dazu müsste jedoch sichergestellt sein (soweit es geht), dass die wiederhergestellten Systeme frei vom Schädling sind.

Wie soll ich eurer Meinung nach vorgehen, wenn die Systeme wieder verfügbar sind?

 

Grüße+Danke

Andi

icon

Best answer by alexcad 7 December 2019, 19:03

...Nun stellt sich die Frage, wie sinnvoll/sicher dieses Vorgehen ist? Nach Möglichkeit möchte ich eine Neuinstallation der Systeme vermeiden. Dazu müsste jedoch sichergestellt sein (soweit es geht), dass die wiederhergestellten Systeme frei vom Schädling sind.


Hallo Andi,

um die Neuinstallation wirst du nicht rumkommen. Hier ein Heise-Artikel von Thomas Hungenberg, der alle wichtigen Aspekte zusammen fasst: https://heise.de/-4573848 

Auf Seite 3 ab dem Abschnitt "Wenn es brennt" stehen die wichtigen Infos. Am Schluss der wichtigste Punkt:

"Wurde die Ransomware Ryuk ausgerollt, ist das Active Directory mit hoher Wahrscheinlichkeit vollständig kompromittiert und muss neu aufgesetzt werden. Um einen weiteren Zugriff der Täter auf das interne Netzwerk und die erneute Ausbreitung der Schadprogramme wirksam auszuschließen, müssen nach der Entschlüsselung zwingend alle Daten gesichert und nach einem Neuaufbau des Netzwerks auf die neu installierten Systeme zurückgespielt werden."

Einige Kernaussagen aus dem Artikel, die sich mit meiner Erfahrung decken, lassen keine andere Vorgehensweise als Neuinstallation zu:
 
"... kann der Schädling das Windows-Netz einschließlich des Domänen-Controllers komplett übernehmen. Das Active Directory muss dann als komplett gefallen betrachtet und im Zuge der Bereinigung vollständig neu aufgebaut werden."

"Zusätzlich zu Passwörtern für RDP- und VNC-Verbindungen späht Trickbot auf infizierten Systemen auch in Anwendungen wie PuTTY, FileZilla oder WinSCP gespeicherte Anmeldedaten für SSH- oder FTP-Zugänge aus. Auf diesem Weg können die Täter auch Zugriff auf weitere Systeme wie zum Beispiel Linux-basierte Datei- oder Backup-Server im Netzwerk erlangen."

"Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war."
 

Damit sind die Aufgaben nach einer Infektion:

  • Archivierung der aktuellen (infizierten) Systeme zwecks u. U. später durchzuführende forensischer Analyse (eventuell Beweispflicht)
  • Neuinstallation aller Systeme
  • Meldepflicht: "Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO). Formulieren Sie gemeinsam mit Ihrer Öffentlichkeitsarbeit eine Sprachregelung zum Vorfall und informieren Sie Ihre Mitarbeiter."
  • Entscheidung, ob Verhandlungen mit den Erpressern geführt werden sollen/müssen - spätestens hierzu würde ich dann empfehlen die KriPo hinzu zu ziehen https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Polizeikontakt/ZACkontakt/zackontakt.htm


Im Zuge der Neuinstalltion potentielle Einfallstore ausfindig machen und schließen: 

  • Firewall review: offene Ports nach außen? Alle Schutzmodule lizenziert/aktiv/richtig konfiguriert/überhaupt vorhanden?
  • Netzwerk-Audit, Netzwerk-Segmentierung
  • Patchmanagement !!!!!
  • Endpoint-Security: umfassend, gemanaged und mit aktivem Monitoring/Incident response
  • strikte Rechte-Trennung im Active Directory im Rahmen eines 3-Tier-Modells
  • Passwort-Management, 2-Faktor-Auth., ...

Eine schöne Darstellung des 3-Tier-Modells habe ich hier gefunden https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material 

Wenn Daten aus der Sicherung wiederhergestellt werden, können diese vor dem Einspielen in die neue Umgebung z. B. mit der Kaspersky Rescue Disk (kostenlos) gescannt werden https://support.kaspersky.com/de/viruses/krd18 

Grüße
Alex

​​​​​​​

View original

5 replies

Userlevel 7
Badge +8

Hallo  @Languenhaert
Herzlich willkommen!
Bitte teilen Sie uns den Namen und die Version der installierten Kaspersky software mit?
Handelt es sich um ein Persönliches / Privates oder Kommerzielles umfeld?
Atm, das Thema ist in B2C = Kaspersky Home software; B2B = Kaspersky Commercial software.
Bitte posten Sie zurück?
Danke vielmals.

Kaspersky Endpoint Security for Business v10. But there was no AV on the infected machine.

Userlevel 6
Badge +5

...Nun stellt sich die Frage, wie sinnvoll/sicher dieses Vorgehen ist? Nach Möglichkeit möchte ich eine Neuinstallation der Systeme vermeiden. Dazu müsste jedoch sichergestellt sein (soweit es geht), dass die wiederhergestellten Systeme frei vom Schädling sind.


Hallo Andi,

um die Neuinstallation wirst du nicht rumkommen. Hier ein Heise-Artikel von Thomas Hungenberg, der alle wichtigen Aspekte zusammen fasst: https://heise.de/-4573848 

Auf Seite 3 ab dem Abschnitt "Wenn es brennt" stehen die wichtigen Infos. Am Schluss der wichtigste Punkt:

"Wurde die Ransomware Ryuk ausgerollt, ist das Active Directory mit hoher Wahrscheinlichkeit vollständig kompromittiert und muss neu aufgesetzt werden. Um einen weiteren Zugriff der Täter auf das interne Netzwerk und die erneute Ausbreitung der Schadprogramme wirksam auszuschließen, müssen nach der Entschlüsselung zwingend alle Daten gesichert und nach einem Neuaufbau des Netzwerks auf die neu installierten Systeme zurückgespielt werden."

Einige Kernaussagen aus dem Artikel, die sich mit meiner Erfahrung decken, lassen keine andere Vorgehensweise als Neuinstallation zu:
 
"... kann der Schädling das Windows-Netz einschließlich des Domänen-Controllers komplett übernehmen. Das Active Directory muss dann als komplett gefallen betrachtet und im Zuge der Bereinigung vollständig neu aufgebaut werden."

"Zusätzlich zu Passwörtern für RDP- und VNC-Verbindungen späht Trickbot auf infizierten Systemen auch in Anwendungen wie PuTTY, FileZilla oder WinSCP gespeicherte Anmeldedaten für SSH- oder FTP-Zugänge aus. Auf diesem Weg können die Täter auch Zugriff auf weitere Systeme wie zum Beispiel Linux-basierte Datei- oder Backup-Server im Netzwerk erlangen."

"Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war."
 

Damit sind die Aufgaben nach einer Infektion:

  • Archivierung der aktuellen (infizierten) Systeme zwecks u. U. später durchzuführende forensischer Analyse (eventuell Beweispflicht)
  • Neuinstallation aller Systeme
  • Meldepflicht: "Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO). Formulieren Sie gemeinsam mit Ihrer Öffentlichkeitsarbeit eine Sprachregelung zum Vorfall und informieren Sie Ihre Mitarbeiter."
  • Entscheidung, ob Verhandlungen mit den Erpressern geführt werden sollen/müssen - spätestens hierzu würde ich dann empfehlen die KriPo hinzu zu ziehen https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Polizeikontakt/ZACkontakt/zackontakt.htm


Im Zuge der Neuinstalltion potentielle Einfallstore ausfindig machen und schließen: 

  • Firewall review: offene Ports nach außen? Alle Schutzmodule lizenziert/aktiv/richtig konfiguriert/überhaupt vorhanden?
  • Netzwerk-Audit, Netzwerk-Segmentierung
  • Patchmanagement !!!!!
  • Endpoint-Security: umfassend, gemanaged und mit aktivem Monitoring/Incident response
  • strikte Rechte-Trennung im Active Directory im Rahmen eines 3-Tier-Modells
  • Passwort-Management, 2-Faktor-Auth., ...

Eine schöne Darstellung des 3-Tier-Modells habe ich hier gefunden https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material 

Wenn Daten aus der Sicherung wiederhergestellt werden, können diese vor dem Einspielen in die neue Umgebung z. B. mit der Kaspersky Rescue Disk (kostenlos) gescannt werden https://support.kaspersky.com/de/viruses/krd18 

Grüße
Alex

​​​​​​​

Hallo Alex,

erst mal: Big sorry for the delay! Ein riesiges Dankeschön an dich für deine Zusammenfassung :-) Ich wollte mich jetzt aber auch noch mal melden und die Ergebnisse mitteilen.

Das Projekt hat mich als Nebenher-Supporter knappe 2 Wochen gekostet. Ich war dabei nur für einige Anwendungsserver zuständig. DIe Kollegen vom Netzwerk und Backoffice haben deutlich mehr gearbeitet und waren auch länger vor Ort.

Das Ende vom Lied ist wie du es schon beschreibst: Quasi kompletter Neuaufbau der Landschaft. AD/Exchange/Netzwerk (VLANs,..)/Clients neu ausgerollt/etc. Einige meiner Windows-Maschinen wurden gescannt und für OK bewertet, mussten dann aber trotzdem neu installiert werden. Da wollte man kein Risiko eingehen.

Die von dir genannten Punkte wurden auch in Angriff genommen.

Wenn du noch etwas wissen möchtest, dann einfach fragen :-)

Viele Grüße und nochmal… Danke!

Andi

 

Userlevel 6
Badge +5

Hi Andi,

ja, dass ist ein unglaublicher Aufwand - aber es gibt keinen anderen Weg.

Noch ein Tipp: kennst du schon die Trainingsplattform für die Schulung von Mitarbeitern? Damit lassen sich einige Vorfälle vermeiden - indem Mitarbeiter sensibilisiert und geschult werden:
https://www.k-asap.com/de/

Grüße
Alex

Reply / Ответить