Ransomware: BSI warnt vor gezielten Angriffen
April 26, 2019 2:49 pm
Dynamite-Phishing-Attacken mit Ransomware sorgen bei Unternehmen für gravierende Schäden
Zur Zeit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Welle von Angriffen mit Verschlüsselungs-Trojanern. Die Angreifer gehen dabei immer ausgefeilter und zielgerichteter vor. Für Unternehmen kann das unter Umständen zu “existenzbedrohendem Datenverlust” führen.
Wir klären Sie über die Einzelheiten auf und geben Ihnen Tipps zum Schutz vor Cyberangriffen.
Vermehrt komplexe Angriffe
Attacken mit Verschlüsselungs-Trojanern gehören zu den beliebtesten Angriffsmethoden von Cyberkriminellen und sind längst keine Neuigkeit mehr. Was die aktuelle Welle von Angriffen allerdings vom Rest unterscheidet, ist deren Struktur sowie Art und Weise des Vorgehens der Angreifer. Neben den großflächig angelegten Ransomware-Attacken, die möglichst viele Rechner infizieren sollen, neigt sich der Trend zur Zeit in Richtung zielgerichteter und komplexer Angriffe, die auf die Opfer zugeschnitten sind. Einen ersten Vorgeschmack auf dieses Vorgehen der Hacker gab die Angriffsserie mit Ryuk, Emotet und Trickbot, die Ende des letzten Jahres Schlagzeilen machte.
Was unterscheidet die Angriffe von anderen Ransomware-Attacken?
Die meisten Angriffe sind eher großflächig angelegt. Man infiziert sich über einen schädlichen Dateianhang oder eine manipulierte Webseite mit einem Verschlüsselungs-Trojaner. Dieser beginnt sämtliche Daten, auf die er zugreifen kann, zu verschlüsseln. Gegen ein Lösegeld soll man sich die Daten wieder freikaufen können. Während diese Angriffe für unvorbereitete Nutzer äußerst unangenehm sein können, haben Nutzer, die regelmäßig Backups durchführen lassen, nur geringen Datenverlust zu befürchten. Immerhin lässt sich eine solche Infektion mit einer Wiederherstellung des Systems weitestgehend rückgängig machen.
Anders sieht es jetzt bei den aktuellen Attacken aus:
Dynamite-Phishing
Um den bestmöglichen Erfolg eines Angriffs zu erzielen, gehen die Cyberkriminellen schrittweise vor. Vor dem eigentlichen Angriff mit dem Trojaner steht dabei meistens eine Dynamite-Phishing-Attacke. Beim Dynamite-Phishing werden täuschend echte Mails entworfen, die ebenso über eine real wirkende Absenderadresse verfügen. Das soll dem potentiellen Opfer vorgaukeln, es handele sich um einen vertrauten Absender und soll ihn somit zum Öffnen der Mail sowie des beigefügten Anhangs bewegen.
Um das so überzeugend wie möglich zu gestalten, spionieren die Angreifer mit einem Schädling (wie bspw. Emotet), welcher vorher in einer großen Welle von Spam-Mails verschickt wird, die Email-Postfächer der Zielnutzer aus. So lassen sich nicht nur vermeintlich vertraute Absender finden, sondern sogar Inhalte der im Postfach befindlichen Mails für die Angriffe missbrauchen.
Was macht die Angriffe so gefährlich?
Durch das vorangehende Ausspionieren eines potentiellen Opfers lässt sich ermitteln, ob es sich dabei um ein lukratives Ziel handelt (meistens ein Unternehmen). Findet der Angreifer über eine Dynamite-Phishing-Attacke einen Weg ins Netzwerk, wird weiter ausgekundschaftet (z.B. mit Malware wie “Trickbot”) und oftmals eine Backdoor eingerichtet, um später schnell Zugriff zu erhalten. Wird das Zielnetzwerk als lohnenswert erachtet, folgt die Infektion mit dem Erpressungstrojaner (in Deutschland zur Zeit vor allem mit Gandcrab).
Dabei werden nicht nur wahllos Daten verschlüsselt, sondern gezielt Dateien, die von den Angreifern als besonders wertvoll erachtet werden. Ebenso wird sich anhand dieser Einschätzungen auch an das Löschen von Backup-Dateien gemacht. Damit wird verhindert, dass das Opfer sein System einfach in den Zustand zurückversetzt, in welchem es vor dem Angriff war. Der einzige Ausweg scheint dabei die Zahlung des Lösgeldes zu sein, welches von den Angreifern entsprechend hoch angelegt wird.
“Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren.” – Arne Schönbohm, BSI-Präsident
Besondere Vorsicht gefragt
Sie können das Risiko eines erfolgreichen Angriffs verringern und Schäden durch Datenverlust vermeiden, wenn Sie folgende Punkte beachten:
IT-Sicherheitsmaßnahmen
Gehen Sie sicher, dass Sie über eine angemessene IT-Sicherheitslösung verfügen. Ohne eine Kombination aus aktueller Antivirussoftware, richtig konfigurierter Firewall sowie Spam-Filter und zuverlässiger Backup-Lösung sollten Sie sich aus ihrem Unternehmensnetzwerk heraus nicht ins Internet bewegen.
Offline-Backups
Da die Angreifer es gezielt auf die Manipulation bzw. Löschung bestehender Backups abgesehen haben, ist es ratsam, über eine Offline-Backup-Lösung nachzudenken. Wenn sich das Speichermedium mit den Backups nicht im Netzwerk befindet, kann es auch nicht kompromittiert werden. Allerdings sind Offline-Backups meist auch aufwändiger. Am besten sprechen Sie mit Ihren IT-Fachkräften oder lassen Sie sich von einem IT-Dienstleister beraten.
Angriffe ernst nehmen
Registrieren Sie in Ihrem Netzwerk selbst kleinere Angriffe bzw. Angriffsversuche, dann sollten Sie diese nicht unterschätzen. Es kann sich dabei um die unscheinbar wirkende Vorstufe des eigentlich folgenden Angriffs handeln. Überprüfen Sie in solch einem Fall also gründlich, welche Daten kompromittiert und abgeflossen sein könnten (z.B. Zugangsdaten).
Seien Sie natürlich auch im Umgang mit Emails besonders aufmerksam.
Folgendes sollten Sie ebenfalls beachten:
Informieren Sie Geschäftspartner, Kunden und sonstige Kontakte, wenn Sie Opfer eines Malware-Angriffs geworden sind. Weisen Sie in diesem Kontext darauf hin, dass es zu Angriffsversuchen mit gefälschten Absenderadressen Ihrer Firma oder Organisation kommen könnte.
Des Weiteren rät das BSI, nicht auf die Lösegeldforderungen der Angreifer einzugehen.
Hilfe vom IT-Dienstleister
Cyberangriffswellen zeigen immer wieder, wie wichtig ein angemessener Schutz und eine zuverlässige Betreuung der eigenen Unternehmens-IT ist.
Wir vom Kastl & Rieter IT-Service sind auf die IT-Bedürfnisse kleiner und mittelständischer Unternehmen spezialisiert.
Sicherheitslösungen, IT-Betreuung und -Einrichtung, Soforthilfe, Schulungen, Beratung und Wartung gibt es bei uns deshalb aus einer Hand.
Rufen Sie uns also gerne an ( 0221 / 630 6151 60 ) und vereinbaren Sie einen Beratungstermin. Oder schreiben Sie uns eine Nachricht via Kontakformular.
Profitieren Sie auch von unserer kostenlosen Netzwerkanalyse, um aufzudecken, wo sich in Ihrem Netzwerk Schwachstellen befinden und wie Sie die Sicherheit Ihres Netzwerks verbessern können.
Sollten es bei Ihnen bereits zu einem erfolgreichen Angriff gekommen sein, dann nutzen Sie unsere Soforthilfe. Unsere Techniker werden Ihnen vor Ort schnellstmöglich helfen.
Wir freuen uns, Ihnen helfen zu dürfen
Ihr Kastl & Rieter IT-Service
Quelle:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/BSI_warnt_vor_Ransomware-Angriffen-240419.html