Die Cloud ist das neue Hauptziel von Ransomware

"Mit einem Back-up in der Cloud sind Sie gut geschützt." Das galt in den vergangenen Jahren als gängige Empfehlung zur Lösung des Ransomware-Problems. Doch leider ist dem nicht mehr so, und auch Daten in der Cloud können Ransomware zum Opfer fallen.

Ein typischer Fall liegt vor, wenn die lokale Maschine mit Ransomware infiziert wird und die böswillig verschlüsselten Daten per Synchronisation in die Cloud gelangen. Dabei kann es sich um einen externen Dienst wie Google, Amazon oder Dropbox beziehungsweise um die Cloud des Back-up-Anbieters handeln. Das passiert recht häufig, weil Ransomware nicht immer erkannt wird und die verschlüsselte Version daher schnell die gute ersetzt. Im besten Fall geht dadurch nur ein Teil der Arbeit verloren, weil die frühere Version separat gespeichert wird. Oft gehen aber die lokalen und Cloud-Versionen der Daten verloren. Werden die Daten in der Cloud von mehreren Personen oder Entitäten verwendet, kann sich die Malware auf diese Weise auch weiter verbreiten.

Die Bedeutung der Cloud bei Angriffen auf Endpunkte oder Server

Deutlich schwieriger wird die Lage, wenn die Angreifer die Netzwerkfreigaben und – wichtiger noch – das Administratorkonto oder den Back-up-Agenten selbst kompromitieren. Folglich können sie direkt auf alle Back-ups – auch die Cloud-Back-ups – zugreifen. Besonders gefährlich ist das, wenn es sich bei dem kompromittierten Administrator um einen MSP-Admin handelt, der die Back-ups zahlreicher Unternehmen verwaltet, die dann alle gelöscht oder verschlüsselt werden. Selbst wenn in diesem Fall einige Cloud-Sicherheitsfunktionen vorhanden sind, wird keine Warnmeldung ausgelöst, da der Löschvorgang durch einen autorisierten Benutzer erfolgt. Da nicht nur Administratoren alte Versionen löschen können, sondern auch Malware, die den Agenten kompromittiert hat, schützt in diesem Fall auch Versionierung nicht.

Direkter Angriff auf die Cloud

Künftig ist aber auch mit gezielten Angriffen auf Cloud-Dienste und -Storage zu rechnen, da dies für die Kriminellen Vorteile mit sich bringt. Viele Unternehmen und MSPs nutzen Google Apps oder Microsoft 365, sichern ihre jenseits von Google und Microsoft generierten Daten jedoch weiterhin irgendwo und nicht unbedingt in deren Cloud. Die Daten können bei der Übertragung oder bei der Speicherung in einem ungeschützten externen Back-up (lokal oder in der Cloud) kompromittiert werden und dann wie oben beschrieben die Cloud-Dienste manipulieren.

Kriminelle greifen die Cloud-Dienste bislang nicht direkt an. Stattdessen erlangen sie etwa mittels Phishing-Angriff Zugriff auf die Konten der Benutzer. Dort legen sie ein ­manipuliertes Dokument ab oder führen eine beliebige Malware aus, um weiter in das Netzwerk zu gelangen.

Vorbereitung und Schutzmassnahmen

Achten Sie darauf, dass Ihre Administratoren mehrstufige Authentifizierung verwenden. Setzen Sie eine Back-up- oder Data-Protection-Lösung ein, die Ransomware erkennen und blockieren und die Daten sofort wiederherstellen kann. Entscheiden Sie sich für eine Lösung mit Selbstschutzfunktionen, damit der Agent nicht so leicht kompromittiert werden kann. Achten Sie darauf, dass sämtliche Kommunikation zwischen Cloud und lokalem Storage verschlüsselt wird. Verschlüsseln Sie alle Daten, die Sie speichern, und befolgen Sie die 3-2-1-Backup-Regel: 3 Kopien, 2 verschiedene Medien (lokal und Cloud) und 1 Kopie an einem Remote-Speicherort. Schulen Sie alle Benutzer zu richtiger Cyber-Hygiene. Das schliesst die zuverlässige Erkennung von Social Engineering und Phishing ein. Klären Sie mit Ihrem Cloud-Anbieter, welche Sicherheitsfunktionen er implementiert hat, und schliessen Sie eventuelle Lücken.