Erkenntnisse aus einer kürzlich durchgeführten Wiederherstellung nach einem Ransomware-Angriff

Erfahrungen aus der Praxis liefern wertvolle Erkenntnisse über die Wiederherstellung nach einem Ransomware-Angriff, die eine abstrakte Strategie nicht bieten kann.

Ein weltweit tätiger Kunde aus der Fertigungsbranche war kürzlich von Ransomware betroffen, durch die 17 Domänencontroller (DCs) auf mehreren Kontinenten ausfielen. Im Zuge des Angriffs wurden außerdem bei 98 % der Benutzerkonten die Active Directory-Kennwörter manipuliert. Auch unzählige Servicekonten waren hiervon betroffen.

Auf den ersten Blick schien es, als sei einer der 17 DCs nicht betroffen. Nachdem dieser DC im Netzwerk isoliert worden war, entdeckte das IT-Team jedoch verschlüsselte Dateien im SYSVOL. Diese hätten auch einfach Replikate von einem anderen DC sein können. Da sich Ransomware jedoch häufig über Gruppenrichtlinien verbreitet, musste sichergestellt werden, dass auf dem Server keine Malware versteckt war. Das Team musste also das Netzwerk wiederherstellen und gleichzeitig eine erneute Infektion verhindern – eine nicht zu unterschätzende Herausforderung, die aber typisch für die Wiederherstellung nach einem Ransomware-Angriff ist.