Categories
Da sich die Angriffstechniken von Ransomware ständig weiterentwickeln, sind die Bedrohungen für Unternehmen nicht mehr nur auf „Systemschwachstellen“ beschränkt. Immer mehr reale Fälle zeigen, dass Angreifer häufig durch Diebstahl von Zugangsdaten, interne Verstöße oder laterale Bewegungen legitime Administratorrechte erlangen und dann verheerende Angriffe auf die gesamte IT-Umgebung starten.
Die kürzlich beobachteten Qilin-Ransomware-Kampagnen stellen eindeutig diese neue Generation von Angriffsmustern dar.
Wenn „legitime Berechtigungen“ zur größten Sicherheit-Lücke werden
In diesem realen Cybersecurity-Vorfall erlangten Angreifer erfolgreich hochprivilegierte Konten innerhalb der Unternehmensumgebung und nutzten diese „legitimen Zugangsdaten“, um auf mehrere Systeme zuzugreifen.
Wenn Administratorrechte in die Hände von Angreifern fallen, bedeutet das:
- Zugriffskontrollen dienen nicht mehr als Barriere
- Traditionelle Antivirus und Firewalls funktionieren nur noch eingeschränkt
- Kernsysteme des Unternehmens und Daten sind einem umfassenden Risiko ausgesetzt
Selbst wenn die Systeme keine Schwachstellen aufweisen, kann ein kompromittiertes Konto zum vollständigen Zusammenbruch der gesamten Sicherheit-Sicherheit führen.
NAS unter Angriff: Dienste und Daten vollständig betroffen
In diesem Vorfall wurde auch ein NAS einer US-amerikanischen Bildungseinrichtung ins Visier genommen.
Nachdem die Angreifer Administratorrechte erlangt hatten, führten sie zerstörerische Aktionen auf dem System und den Diensten des NAS durch, was zu Folgendem führte:
- Verschlüsselung von System- und Anwendungs-Daten
- Beeinträchtigung von containerisierten und virtualisierten Umgebungen
- Störung mehrerer kritischer Dienste
Der gesamte NAS kam nahezu zum Stillstand und auf den ersten Blick schien der Unternehmens-Daten vollständig kompromittiert zu sein.
Wesentlicher Unterschied: Unveränderliche Backups blieben unversehrt
Der eigentliche Wendepunkt lag jedoch in der Backup-Architektur.
In dieser Umgebung hatte das IT-Team der Institution proaktiv QuObjects als Objekt-Speicher-Plattform für VM-Backups eingesetzt und aktiviert Object Lock, wodurch ein WORM (Write Once, Read Many) unveränderlicher Speicher-Mechanismus unterstützt wurde.
Dieses Design erzielte eine entscheidende Schutzwirkung:
- Selbst wenn Angreifer die höchsten Systemrechte erlangten
- Selbst wenn die meisten Dienste auf dem NAS verschlüsselt worden wären
- Die bereits auf QuObjects geschriebenen Backup-Daten konnten weder gelöscht, verändert noch verschlüsselt werden
Alle kritischen VM-Backup-Daten wurden vollständig und sicher bewahrt.
Rapid Recovery: Wirklich Lösegeldzahlungen und Betriebsunterbrechungen vermeiden
Nach dem Vorfall musste die Institution lediglich:
- Das NAS-System und die zugehörigen Dienste neu bereitstellen
- QuObjects mit den bestehenden Object Lock (WORM) Daten erneut verbinden
- Ermöglicht die schnelle Wiederherstellung vollständiger Backups und die komplette Systemwiederherstellung
Es wurde kein Lösegeld gezahlt und es gab keine längeren Betriebsunterbrechungen.
Wichtige Erkenntnisse aus diesem Fall
Im Kontext von Next-Generation-Ransomware-Angriffen ist es im schlimmsten Fall nicht ein einzelnes Sicherheit-Gerät, das die Lebensader eines Unternehmens wirklich schützt, sondern:
- Eine unveränderliche Backup-Architektur
- Object-Speicher-Design, das den Prinzipien von Object Lock und WORM entspricht
- Eine Daten-Verteidigungslinie, die selbst bei kompromittierten Administratorrechten nicht durchbrochen werden kann
Backups dürfen nicht nur existieren; sie müssen „nicht löschbar und nicht verschlüsselbar“ sein.
Wirklich zuverlässige Backups müssen auch im schlimmsten Fall wirksam bleiben.
Wirklich zuverlässige Backups müssen auch im schlimmsten Fall wirksam bleiben
In der heutigen Ransomware-Landschaft müssen Unternehmen einer harten Realität ins Auge sehen:
Konten können gestohlen, Rechte kompromittiert werden und Angriffe stammen oft von „legitimen Identitäten“.
Daher ist es in kritischen Momenten nicht ein einzelnes Sicherheit-Tool, das die Lebensader eines Unternehmens wirklich schützt, sondern eine Backup-Architektur, die selbst bei kompromittierten höchsten Rechten nicht durchbrochen werden kann.
Mit QuObjects Object Lock (WORM) können Unternehmen sicherstellen, dass kritische Backup-Daten während der Aufbewahrungsfrist weder gelöscht, verändert noch verschlüsselt werden können, wodurch Backups die letzte und zuverlässigste Verteidigungslinie gegen Ransomware-Angriffe bilden.
Der Wert eines Backups liegt nicht darin, „ob es wiederhergestellt werden kann“, sondern darin, „ob es erfolgreich bewahrt wurde“.
Genau dies ist die zentrale Schutzfunktion, die QNAP QuObjects Unternehmen im Zeitalter der Ransomware bietet.
