Digitale Erpressung: Gefahr auch 2018

Originalbeitrag von David Sancho, Senior Threat Researcher

Digitale Erpressung hat sich zum erfolgreichsten und effizientesten Erwerbsmodell für die Kriminellen entwickelt, auch hinsichtlich des Umfangs der Aktionen. Groß oder klein, jeden trifft es und jeder muss zahlen. Dies liegt vor allem an der Ransomware, der bei Kriminellen derzeit beliebtesten Waffe, um weltweit Bargeld von ihren Opfern – vor allem Unternehmen und Organisationen – zu erpressen. Bei Ransomware-Angriffen infizierten die Akteure geschäftskritische Systeme und störten somit den täglichen Betrieb der Opfer, um so großen Unternehmen ihren Willen aufzuzwingen.

Digitale Erpressung 2018 und darüber hinaus

Digitale Erpressung stellt auch künftig für Unternehmen und Organisationen ein erhebliches Risiko dar. Wie Trend Micro bereits in den Sicherheitsvorhersagen 2018 dargelegt hat, werden Cyberkriminelle auch weiterhin die großen Ziele ins Visier nehmen und dort Chaos und Schaden anrichten, vor allem in den Office-Bereichen. Zu diesem Schluss kommen die Sicherheitsforscher auf Basis der Ähnlichkeiten zwischen den größten Ransomware-Angriffen des letzten Jahres, bei denen die Schadsoftware selbst so aufgesetzt war, um nach Office- und Server-Datenbankdateien zu suchen.

Das bedeutet jedoch nicht, dass die Endanwender außen vor bleiben, denn Cyberkriminelle werden zweifelsohne auch weiterhin einen weitgestreuten Ansatz wählen und Ransomware en masse aussenden, um eventuell ein Nutzersystem zu treffen, dass mit einem Office-Netzwerk verbunden ist.

Die Forscher gehen auch davon aus, dass künftig nicht allein Ransomware für die digitale Erpressung eingesetzt wird und auch nicht nur Datenbankdateien, Server und Systeme angegriffen werden. Digitale Erpressung wird neben den geschäftskritischen Dokumenten von Unternehmen auch Produktionsstätten und Roboter in Fertigungsstraßen treffen. Diese Fabriken und Maschinen schließen unweigerlich auch Altsysteme und diverse Hardware mit ein, und diese Komponenten sind nur schwer, wenn überhaupt, upzudaten oder zu patchen. Damit werden sie aber zur leichten Beute für Angreifer, die alte Schwachstellen ausnutzen können.

Auch gibt es Angreifergruppen, die digitale Schmutzkampagnen und Propaganda gegen Prominente und Unternehmen einsetzen. In der heutigen Zeit, wo Kunden-Feedback und soziale Medien über den Erfolg entscheiden können, scheuen Angreifer nicht davor zurück, Bewertungs-Sites und soziale Medien dafür zu missbrauchen, um den Ruf einer Firma oder eines Prominenten zu schädigen – und erst dann die Kampagne zu stoppen, wenn das Opfer das Lösegeld gezahlt hat.

Schließlich wird digitale Erpressung auch weiterhin Phishing-Angriffe und Social Engineering-Techniken nutzen, um die Computer und Systeme nichts ahnender Mitarbeiter und Führungspersonen mit Ransomware zu infizieren, oder um einen Backdoor für Datendiebstahl zu installieren. Die Rolle von Ransomware für die digitale Erpressung zeigen die größten Vorfälle des letzten Jahres:

WannaCry (Mai 2017)

Der WannaCry-Ausbruch war das größte Cyberkriminalitätsereignis 2017. Die Schadsoftware missbrauchte eine erst kürzlich entdeckte Windows Server Message Block (SMB)-Schwachstelle und konnte darüber nicht nur Systeme infiltrieren und kritische Dateien infizieren, sondern auch die SMB-Freigaben scannen, um sich im gesamten Netzwerk auszubreiten. Nicht genug damit, gab es auch Varianten, die speziell darauf zugeschnitten waren, um geschäftsbezogene Dateien, etwa Datenbanken und Archive, zu verschlüsseln. Das bedeutete, Unternehmen mussten zahlen oder ihren Betrieb auf unbestimmte Zeit einstellen.

EREBUS (Juni 2017)

Kurz danach kam EREBUS: Die Schadsoftware konnte Webserver der südkoreanischen Hosting-Firma NAYANA infiltrieren. Die Infektion breitete sich auf 153 Linux-Servern und 3.400 Geschäfts-Websites aus. Zwei Dinge zu EREBUS waren beunruhigend. Erstens war es ganz klar die Linux-Version einer Ransomware, die im September 2016 zum ersten Mal gesichtet wurde. Zweitens war sie wie schon WannaCry auf die Suche nach Datenbankdateien ausgerichtet, die sie dann verschlüsselte, um den größtmöglichen Schaden anrichten zu können. All dies in Kombination mit den eingesetzten mehrfachen Verschlüsselungsmethoden macht diese Ransomware definitiv zu einer sehr gefährlichen Bedrohung.

PETYA (Juni 2017)

Die neue Variante von PETYA betraf eine Menge europäischer Nutzer. Sie nutzte den EternalBlue Exploit, denselben übrigens, den WannaCry für die netzwerkweite Verbreitung schon verwendete. Immer mehr große Unternehmen berichteten über Angriffe, wobei ein Unternehmen eine Schadenssumme von bis zu 300 Mill. $ nannte. Weitere Analysen zeigten, dass PETYA zahlreiche fortgeschrittene Routinen für die Datenextraktion besaß (etwa eine angepasste Mimikatz) und den MBR des befallenen Systems modifizierte, bevor die Dateien verschlüsselt wurden. Ein paar Monate später tauchte PETYA in neuer Variante wieder auf. Bad Rabbit beschädigte wichtige Transportinfrastrukturteile in Russland und in der Ukraine.

Weitere Details und Zahlen zur digitalen Erpressung bietet das Whitepaper „The Future of Digital Extortion.

Es gibt aber dennoch eine Reihe von Möglichkeiten für Nutzer und Unternehmen, die Geräte und Systeme vor dieser Art von Bedrohungen zu schützen. Der Einsatz von Sicherheitslösungen ist unabdingbar, um die üblichen Infektionswege durch unerlaubten Zugriff auf Systeme und Netzwerke zu vermeiden. Ebenso wichtig ist das regelmäßige Updaten und Patchen von Maschinen und Software, um Sicherheitslücken zu schließen.

Zudem müssen Unternehmen in ein geeignetes Training von Mitarbeitern und dem Management investieren. Auch müssen Firmen sich auf die kommende europäische Datenschutz-Grundverordnung (DSGVO) vorbereiten, um den Umgang mit Kundendaten – und auch den eigenen – entsprechend zu gestalten und zu sichern.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.