Als G&J Pepsi-Cola Bottlers, den größten unabhängigen Pepsi-Franchise-Abfüller in den USA, in 2021 ein umfangreicher Cobalt Strike Ransomware-Angriff traf, war es um die Daten des Unternehmens fast geschehen. Ziel der Hacker war es, durch die Verschlüsselung sämtlicher Systeme ein Lösegeld zu erpressen. Doch dazu war Eric McKinney, Enterprise Infrastructure Director bei &J Pepsi-Cola Bottlers, nicht bereit: In einem zweiwöchigen Schadensbegrenzungsmarathon gelang es ihm und seinem achtköpfigen Team, die meisten Daten zu retten und dauerhaften Schaden abzuwenden.

Pepsi Flaschenabfüllmaschine.

Im Mittelpunkt der Rettungsaktion: Microsoft Azure Backup und weitere Sicherheitslösungen wie Microsoft Defender for Endpoint und Microsoft Intune. Nur anderthalb Stunden nach der Entdeckung der Ransomware identifizierte das Sicherheitsteam von G&J Pepsi mithilfe von Microsoft Defender for Endpoint alle kompromittierten VMs und schaltete sie ab. Mit Hochdruck wurden sämtliche Geräte isoliert, bei denen der Verdacht bestand, dass sie von den Hackern ins Visier genommen wurden. Der Wiederaufbau der Server begann sofort. Dank des regelmäßigen Einsatzes von Microsoft Azure Backup verfügte G&J Pepsi-Cola Bottlers über wöchentliche Sicherungskopien für jeden Server. Das Unternehmen startete mit einer methodischen Wiederherstellung, beginnend mit den Domänencontrollern und dann mit den Systemen in der Reihenfolge ihrer Wichtigkeit. Zu diesem Zeitpunkt fand das Team den „Übeltäter“: eine VM, die mit einem falschen Penetrationstester infiziert war. Glücklicherweise beschränkte sich der Angriff zu diesem Zeitpunkt auf einen Server. „Dank der mit Azure Backup gesicherten Daten konnten wir unsere Umgebung innerhalb von sieben Stunden wieder in Betrieb nehmen“, berichtet McKinney. „Und wir haben den Angreifern keinen Cent gezahlt.“ Doch die eigentliche Arbeit begann für McKinney erst jetzt: Mit diesen aktuellen Learnings entwickelter er einen deutlich proaktiveren Sicherheitsansatz. Es galt, die bestehenden Prozesse zu vertiefen, die Backup-Frequenz zu erhöhen und die Richtlinien strenger durchzusetzen. „Wir waren sehr reaktiv“, räumt McKinney ein. „Das hat uns bei diesem Cyber-Angriff zu schaffen gemacht, denn wir sahen nur die Sicherheitsereignisse auf höchster Ebene.”

Jetzt geht das Team proaktiv vor und legt Wert auf eine einzige konsolidierte Ansicht der globalen Aktivitäten im gesamten Unternehmen, wobei den Endpunkten besondere Aufmerksamkeit geschenkt wird. „Wenn ich die Zeit bis zu den Monaten vor unserem Ransomware-Angriff zurückdrehen könnte, würde ich unsere Endpunktrichtlinien stärken und alle Funktionen von Defender for Endpoint und Intune voll ausschöpfen”, fasst der Sicherheitsexperte zusammen. „Ich betrachte unsere Wiederherstellung nicht als Sieg, sondern eher als Aufruf, die Sicherheit zu verdoppeln.“ Mehr über diesen Cyber-Angriff und die zentralen Learnings von McKinney lesen Sie hier.

Informationen: Referenz, Microsoft Defender for Endpoint, Azure Backup, Microsoft Intune