23. August 2019
Am Wochenende musste der Administator feststellen, dass ein Cyber-Angriff auf das Firmen-Netzwerk im Gange war. Die Ransomware Ryuk hatte bereits Live-Systeme und Datensicherungen befallen. Der Hyper-V Cluster war bereits vollständig verschlüsselt worden, das Backup-System, ein NAS mit angeschlossener externer Festplatte, war ebenfalls bereits teilweise von Ryuk verschlüsselt worden, andere wichtige Verzeichnisse wurden vollständig gelöscht.
Das Backup wurde von der IT schnellstmöglich vom Strom getrennt. Das Unternehmen stand inzwischen still, kein Mitarbeiter konnte die zweihundert bis sechshundert täglich eintreffenden Artikel bearbeiten. Deshalb wurde, basierend auf einer früheren Zusammenarbeit mit dem verantwortlichen IT-Berater Attingo Datenrettung kontaktiert.
Direkt nach dem Erstgespräch wurden das NAS und die externe Festplatte persönlich zur Analyse in Attingos Labor gebracht. Die Bearbeitung erfolgte im High Priority Service, sodass mit höchster Priorität und rund-um-die-Uhr an dem Fall gearbeitet wurde.
Dabei wurde schnell diagnostiziert, dass die benötigten Daten auf der externen Festplatte vollständig mit der *.RYK File Extension versehen waren. Dementsprechend wurden diese von der Ransomware Ryuk verschlüsselt. Auf dem Synology NAS jedoch wurden die entsprechenden Daten gelöscht, sodass sich hierbei eine höhere Wahrscheinlichkeit auf eine Datenrettung ergab.
Die Datenwiederherstellung erfolgte nach der Anfertigung der Rohdaten-Images der fünf im NAS verwendeten Festplatten. Bei der Wiederherstellung der Daten wurde das RAID-Volumen mit speziellen Tools in simultanen Prozessen nach den gelöschten Daten durchforstet. Dabei konnten diverse von Ryuk verschlüsselte Dateien mit der File Extension *.RYK aber ebenso viele unverschlüsselte, jedoch anonyme Dateien wiederhergestellt werden.
In Anbetracht des verschlüsselten und teilverschlüsselten sowie anonymen Zustands der wiederhergestellten gelöschten Daten und der proprietären Art und Weise, in die Backup Software die selbst erstellten Daten verwaltet, war das erzielte Wiederherstellungsergebnis für den Kunden nicht verwendbar. Allerdings existierte noch eine weitere, glücklicherweise unverschlüsselte, aber wesentlich ältere Offline-Datensicherung. Aus dem Backup konnten die Live-Systeme wiederhergestellt werden und der Betrieb war zumindest wieder arbeitsfähig.
Durch ein Offline-Backup konnte das denkbar schlimmste Szenario in diesem Fall noch abgewendet werden. Allerdings gab es in der Vergangenheit genug Fälle, in denen auch Offline-Datensicherungen bereits verschlüsselt waren.
Es ist nicht zu ermitteln, wie und wann der Befall stattgefunden hat und wie lange die Täter bereits ihr Unwesen im Netzwerk haben treiben können. Attingo vermutet, dass die Täter in diesem Fall eventuell noch nicht sehr erfahren waren. Möglicherweise auch nicht sehr geduldig. In der Regel analysieren die Täter Netzwerke ausführlich, um auch Offline-Datensicherungen angreifen zu können. Da verschiedene Sicherungszyklen denkbar sind, nehmen sich die meisten Ransomware-Erpresser teils Wochen oder Monate Zeit zur Beobachtung und Analyse.
Dass die gelöschten Daten des NAS-Backups bereits überwiegend verschlüsselt worden sind, ist ein Indiz dafür, dass die Löschung nicht primär geplant war. Denkbar ist, dass es eine Panik- oder Notfallreaktion darauf war, dass der Cyber-Angriff frühzeitig bemerkt wurde.
Denn auch Ransomware-Erpresser wissen mittlerweile, dass professionelle Datenretter wie Attingo gelöschte und mutmaßlich zerstörte RAID-Backups bei Cyber-Angriffen wiederherstellen können. Um diesen Störfaktor effektiv zu eliminieren, ist davon auszugehen, dass die Verschlüsselung aller Daten und Systeme das vorrangige Ziel ist. Damit auch Spezialisten wie Attingo den Betroffenen keine alternative Lösung zur Bezahlung des Lösegelds bieten können.
Attingo musste bei der Analyse der von Ryuk verschlüsselten Daten feststellen, dass die verschlüsselten sowie anteilig verschlüsselten Dateien den Vermerk HERMES enthalten. Bei Ryuk soll es sich laut Expertenmeinungen um den fast identischen Quellcode des Trojaners HERMES handeln. Dieser wird der Hackergruppe Lazarus zugesprochen, welcher eine Nähe zu Nordkorea unterstellt wird.
Möglicherweise hat Lazarus den Trojaner recycelt und stellt diesen als RaaS anderen Kriminellen zur Verfügung oder Dritte haben sich den Code angeeignet, um damit Firmen zu erpressen.