Warnung vor gezielten Ransomware-Angriffen auf Unternehmen

Tom Wannenmacher, 26. April 2019
Artikelbild: Shutterstock / rawf8
Artikelbild: Shutterstock / rawf8

Bevor wir ins Detail gehen, möchten wir kurz erklären, was das Wort Ransomware bedeutet.

Das Wort “Ransom” kommt aus dem Englischen und bedeutet übersetzt: “Lösegeld” und genau darum geht es bei der sogenannten Ransomware. Ransomware wird oft auch als “Lösegeldtrojaner” oder “Verschlüsselungstrojaner” bezeichnet. Sprich, der Trojaner verschlüsselt Ihre Dateien und verlangt im Nachhinein ein Lösegeld, damit diese Dateien am Ende wieder entschlüsselt werden.

Nun warnt das BSI vor gezielten Ransomware-Angriffen auf Unternehmen!

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden.

Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus.

Dabei kommt es teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen.

Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.

Bedrohungslage

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. „Trickbot“) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten.

Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.

Bewertung

  1. Jede einfache Infektion kann zu einem gezielten Angriff führen
  2. Es droht ein kompletter Datenverlust
  3. Gefahr für deutsche Unternehmen steigt

Detailinformationen findet man hier vor.

Schutz vor Ransomware

Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen.

Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.

Quelle: BSI

Mimikama-Tipp

Setzen Sie bitte in Ihrem Unternehmen auch eine Anti-Schadsoftware ein und dies nicht nur auf den Standrechnern, sondern auch auf ihrem Server. Sollte Ihr Server bereits mit einer Firewall geschützt sein, dann deckt dies diese Sicherheitslücke nur zum Teil ab! Daher empfehlen wir Ihnen eine zweifache Sicherung Ihrer Rechner bzw. Ihres Servers!


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama