Digitale Erpressung lässt sich vermeiden

von Trend Micro

In den letzten Wochen häuften sich die Meldungen über digitale Erpressungsversuche auf Krankenhäuser, vor allem im Raum NRW, aber auch in den USA. Zwar stehen die Angriffe in Deutschland und in den USA nicht direkt miteinander in Verbindung, aber dennoch haben sie eines gemeinsam: Es sind Crypto-Ransomware-Angriffe mit dem Ziel, den Opfern zu schaden und ihnen Geld abzunehmen.
Ransomware, oder digitale Erpressersoftware, ist nichts Neues, sondern hat sich aus den „alten“ Fake-AV-Schädlingen heraus weiter entwickelt. Neu ist allerdings, dass sie wichtige Dateien in Systemen oder Netzwerklaufwerken der Opfer verschlüsselt. Diese Fähigkeit erlaubt es den Cyberkriminellen, Organisationen zu Geiseln zu nehmen und von ihnen Geld zu erpressen.

Lag der Anteil der Crypto-Ransomware im Jahr 2013 noch bei 20% der gesamten Erpressersoftware, so ist er im Jahr 2015 auf 80% gestiegen. Auch sind die Cyberkriminellen wählerisch geworden und zielen mit ihren Angriffen mittlerweile auf Unternehmen mit wertvolleren Daten, so die Online Trust Alliance (OTA) in einer Studie. Die Höhe des Lösegelds passen sie der Größe des Opferunternehmens und dem Wert der Daten an.

Es gibt Indizien dafür, dass aktuell auch speziell kritische Infrastrukturen im Fokus dieser Angriffe stehen, weil die Betreiber unter einem besonders hohen Druck stehen und schnell agieren müssen.

Die Verbreitungswege der Ransomware sind vielfältig. Sehr häufig ist es eine Mail mit einem infizierten Anhang, seien es Office-Dokumente, pdf-Dateien oder gar Javascripts, die der Empfänger ahnungslos anklickt. Laut derzeitigem Kenntnisstand von Trend Micro erfolgte zumindest der Angriff auf das Lukaskrankenhaus in Neuss über eine Mail mit einem Word-Dokument als Anhang, welches nach dem Öffnen weiteren Schadcode nachlädt. Zum Teil kam der Schadcode auch auf direktem Wege ins Netzwerk, zum Beispiel über mitgebrachte Mobilgeräte externer Mitarbeiter. Aber auch eine „Drive-By“-Infektion bei dem Besuch von eigentlich seriösen Webseiten ist als Verbreitungsweg nicht ausgeschlossen.

Sobald die Crypto-Ransomware auf einem System ausgeführt wird, verschlüsselt sie dann die gekaperten Dateien, und der Nutzer erhält eine Erpressernachricht auf dem Bildschirm mit der Höhe der Lösegeldforderung, Art der Zahlung (zumeist eine Bitcoin-Transaktion) und der Behauptung, nach Abwicklung der Zahlung, die Dokumente wieder entschlüsseln zu können. Darauf verlassen sollte sich das Opfer nicht, und leider gibt es keine bekannten Tools für die Entschlüsselung von Dateien, die von einer Ransomware verschlüsselt wurden.

Das BSI empfiehlt Screenshots zu machen und bezüglich der Angriffe Anzeige zu erstatten. In der Praxis stellen die Angreifer in der Regel sicher, dass idealerweise die eingesetzte Malware nicht von Standard-Virenscanner erkannt werden. Dazu wird die Malware, hier die Ransomware entsprechend modifiziert, so dass Signaturen in der Regel nicht greifen. Anwender und Organisationen können sich aber gegen die digitalen Erpresser effektiv wehren:

Mit dem Einsatz von so genannten Breach Detection Systemen ist es möglich, solche Angriffe frühzeitig zu erkennen und sie entweder direkt abzuwehren oder die Ransomware in ihrer Wirksamkeit sofort zu begrenzen. Da diese Systeme mit speziellen Methoden arbeiten, um verhaltensbasierte Analysen durchzuführen, werden solch gefährlichen Angriffe recht einfach erkannt. Hochentwickelte E-Mail-Lösungen können beispielsweise nicht nur gefährliche und teilweise verschlüsselte Anhänge einer verhaltensbasierten Analyse unterziehen, sondern auch gefährliche Links erkennen. Auf diese Weise kann eine gefährliche E-Mail schon vor Erreichen des Nutzers geblockt und unzugänglich gemacht werden.

Wird ein Angriff erkannt, so wird die Mail in der Regel bei einer guten Zusammenarbeit der einzelnen Module einer Sicherheitslösung in „Quarantäne“ gestellt und erreicht im besten Fall den Empfänger gar nicht. Bei einer „Drive-By“-Infektion ist dies unter Umständen nur begrenzt möglich, aber ein möglicher Schaden für das Unternehmen kann in der Regel abgewehrt werden, weil der Angriff direkt mit dem Eintritt des Schädlings ins Firmennetzwerk erkannt wird. Ein hoher Integrationsgrad zwischen verschiedenen Teilaspekten einer Lösung (z.B. die Endpoint Produkte kommunizieren in Echtzeit mit einem Breach Detection System und einer Firewall und verhindern somit Datenabfluss oder Ausbreitung im Netzwerk) erhöht den Sicherheitsgrad erheblich. Deshalb sollten Unternehmen bei der Auswahl einer Lösung, darauf achten, dass alle eingesetzten Produkte miteinander kombiniert werden können.

Die folgenden Empfehlungen sind für alle Unternehmen von Bedeutung, unabhängig davon, ob sie zu Betreibern kritischer Infrastrukturen zählen oder nicht:

  • Der Einsatz von Breach Detection Systemen ist dringend zu empfehlen, um solche Angriffe in einer frühen Phase zu erkennen und zu unterbinden.
  • Jedes Unternehmen braucht geschultes Personal, das im Falle eines Angriffs in der Lage ist adäquat zu reagieren. In der Fachsprache sind dies typischerweise Security Analysten oder so genannte Incident Response Teams. Dazu gehört natürlich auch der entsprechende Incident Response-Prozess, damit bei einem Vorfall die richtigen Schritte eingeleitet werden.
  • Als probates Mittel haben sich regelmäßige spezielle Security-Analysen und -Audits der Systeme bewährt, um versteckte Malware oder Verbindungen ins Darknet zu entdecken (Breach Detection Systeme sind hierzu auch geeignet).
  • Schließlich sind die Konzeption, Durchführung & Review von Security Awareness Maßnahmen unerlässlich.
  • Last but not least gilt es, existierende Backup-Prozesse zu überarbeiten und zu härten, und einen Business Continuity-Prozess, sowie einen Business Recovery-Prozess aufzusetzen, um kritische Situationen überstehen zu können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*