Ryuk: Erneut gefährliche Ransomware im Umlauf
Januar 18, 2019 1:44 pm
Mit der Ransomware Ryuk haben es Kriminelle auf Firmen abgesehen
Erpressungssoftware scheint nicht aus der Mode zu kommen.
Auch, wenn die große Ransomware-Welle von vor zwei Jahren mit WannaCry, Petya und NotPetya vorbei ist, stellt der Erpressungstrojaner immer noch eine lukrative Angriffsmethode für Kriminelle dar.
Zurzeit nutzen Cyberkriminelle eine Malware namens Ryuk, um die Daten von Unternehmen zu verschlüsseln und Lösegeld zu fordern.
In unserem Artikel erklären wir Ihnen, auf welche Weise Ryuk agiert und zeigen Ihnen, wie Sie sich schützen können.
Wie infiziert man sich?
Ryuk ist tatsächlich nur die letzte Stufe in einer Reihe von Infektionen mit schädlicher Software.
Bevor es zu einer Infektion mit Ryuk kommt, arbeiten die vorangehenden Schädlinge nämlich einige Schritte ab. Diese Schritte dienen der Spionage und damit vor allem der Auswahl des Zieles. Die Angreifer möchten dabei herausfinden, wie viel Lösegeld das potentielle Opfer zahlen kann.
Erster Schritt:
Die Infektion beginnt mit dem Trojaner namens Emotet, der bereits seit Anfang Dezember unterwegs ist. Dieser liest Kontaktinformationen und Email-Inhalte aus den betroffenen Postfächern aus, um Emails zu individualisieren eine Verbreitung der Schädlinge zu vereinfachen. Mit den gesammelten Informationen gaukelt Emotet reale Absender und Empfänger vor, um die Emails so authentisch wie möglich aussehen zu lassen. Lässt ein Nutzer sich täuschen und öffnet er die Dokumente im Dateianhang, steht eine weitere Infektion bevor.
Zweiter Schritt:
Öffnet ein Nutzer das Word Dokument aus dem Email-Anhang, setzt Emotet seine Infizierung fort. Das geschieht über Makros, sofern diese aktiviert sind. Emotet beginnt dann damit, eine Analyse des Netzwerks durchzuführen um herauszufinden, ob es sich um einen Privatnutzer oder ein Firmennetzwerk handelt. Wird das betroffene Netzwerk als tauglich angesehen, lädt Emotet eine weitere Schadsoftware namens TrickBot nach. TrickBot sammelt dann Informationen und sorgt für Datenabfluss. Dabei greift er vor allem Kontozugangsdaten ab und gewährt somit Einblick in die finanzielle Situation eines Unternehmens.
Dritter Schritt:
Schätzen die Angreifer das Unternehmen als angemessen lukrativ für eine Lösegeldforderung ein, lädt TrickBot schließlich die Verschlüsselungssoftware Ryuk herunter. Dabei werden vor allem Datenbestände verschlüsselt, welche bei der Auskundschaftung des Unternehmens als besonders wichtig eingestuft worden sind.
Darüber hinaus verfügt Ryuk über eine Löschfunktion, die sämtliche Sicherungskopien löscht, die die Malware finden kann. Zusätzlich können sich Angreifer die vollständige Kontrolle über das System verschaffen.
Unternehmen sollten vorsichtig sein
Laut Informationen des BSI sei es vor wenigen Wochen bereits zu Produktionsausfällen in einigen Firmen gekommen, da die Firmennetzwerke und IT-Infrastrukturen von Grund auf neu aufgebaut werden mussten. Es entstanden Schäden in Millionenhöhe.
Der Ursprung von Ryuk liegt vermutlich in Russland. Seit August 2018 konnten Lösegeldzahlungen in Höhe von insgesamt 705 Bitcoins (etwa 2.230.000 Euro) verzeichnet werden. Von 22 Firmen ist bekannt, dass sie sich auf die Lösegeldforderungen eingelassen haben. Viele Unternehmen zahlen lieber das Lösegeld, wenn dies bedeutet, dass Bußgeldzahlungen vermieden werden können. Stellt sich nämlich heraus, dass das betroffene Unternehmen sich nicht angemessen um eine Sicherung seiner IT gekümmert hat, können die Strafen (teilweise erheblich) höher ausfallen, als das Lösegeld. Doch selbst nach Zahlung des Lösegeldes ist nicht garantiert, dass die Cyberkriminellen die Daten auch wieder entschlüsseln.
Wie kann man sich schützen?
Der beste Schutz gegen solche Angriffe ist ein rundum abgesichertes Netzwerk.
Damit ein Netzwerk wirklich sicher ist, müssen alle Komponenten innerhalb des Netzwerks gesichert, aufeinander abgestimmt und auf dem neuesten Stand sein.
Updates und Patches
Mit Updates und Patches werden bekannte Sicherheitslücken und Schwachstellen in Betriebssystemen oder Anwendungen geschlossen. Damit wird verhindert, dass Cyberkriminelle diese ausnutzen können. Achten Sie darauf, dass Updates möglichst bald nach Veröffentlichung installiert werden, um mögliche Einfallstore zu schließen.
Virenschutz und Firewall
Eine aktuelle Antivirussoftware erkennt viele Schädlinge, bevor sie das System infizieren können und beseitigt diese. Eine richtig konfigurierte Firewall überwacht die Kommuniaktion zwischen Netzwerk und Internet. Registriert sie verdächtigen Datenfluss, wird dies gemeldet und die Kommunikation geblockt.
Spamfilter
Ein Spamfilter sortiert eine ganze Menge schädlicher Emails aus, sodass diese gar nicht erst in Ihrem Postfach landen. Im Falle von Emotet und Ryuk kann das aber nicht ausreichend sein: Da die Emails individuell zugeschnitten werden und den Anschein erwecken, als würden sie von einer vertrauenswürdigen Email-Adresse kommen, werden sie ggfs. nicht als Spam erkannt. Hier ist jetzt vor allem der Nutzer gefragt.
Vorsicht und geschulte Wahrnehmung
In den meisten Fällen kommt es nämlich zu erfolgreichen Cyberangriffen, weil Anwender die Gefahren nicht erkennen und die Schädlinge selber ins Netzwerk lassen.
Hier ist es also besonders wichtig, dass Mitarbeiter, Geschäftsführung und generell alle Anwender in Ihrem Netzwerk für potentielle Gefahren sensibilisiert und im Umgang mit diesen geschult sind. Wer Gefahren erkennt, wird sich nicht auf diese einlassen.
Backups und noch mal Backups
Regelmäßige und häufige Backups sichern Ihre Datenbänke. Kommt es zu einem Angriff mit einem Verschlüsselungstrojaner, dann können Sie – nach Beseitigung des Schädlings – Ihr System wiederherstellen. Je öfter Backups gemacht werden, desto geringer ist der Datenverlust im Falle eines Angriffs oder eines Ausfallszenarios.
Makros deaktivieren
Makros in Word-Dokumenten können die Anzahl von Arbeitsschritten verringern und Sie damit Zeitsparen. Allerdings stellen Makros auch ein Sicherheitsrisiko dar. Um sicherzugehen, sollten Sie Makros deaktivieren. Anwender, die Open-Source-Lösungen wie beispielsweise Libre- oder OpenOffice nutzen, können sich nicht mit Schädlingen infizieren, deren Infektionsweg über Makros führt.
Was sollten Sie tun, wenn Sie betroffen sind?
Sie sollten den Angriff auf jeden Fall melden. Ein erfolgreicher Cyberangriff, der nicht gemeldet wird, kann zu ernsthaften rechtlichen Konsequenzen führen. Besonders, wenn personenbezogene Daten Dritter gestohlen werden. Darüber hinaus sollten Sie auch Ihr Umfeld informieren (vor allem Ihre Email-Kontakte), um die Verbreitung des Schädlings einzuschränken. Ändern Sie ebenfalls Ihre Zugangsdaten (besonders die Ihres Bankingdienstes), um weiteren Zugriff der Angreifer zu verhindern.
Um wirklich sicher gehen zu können, dass alle Schädlinge beseitigt werden, sollte das betroffene System neu aufgesetzt werden. So wird verhindert, dass sich nicht doch irgendwo Teile der Schädlinge in Ihrem System befinden.
Hilfe vom IT-Dienstleister
Größere Unternehmen verfügen meist über eine eigene IT-Abteilung, die sich um die Sicherheit und Instandhaltung der hauseigenen IT-Infrastruktur kümmert und auch bei Angriffsszenarien handeln kann.
Kleine und mittelständische Unternehmen haben allerdings oft keine eigenen IT-Mitarbeiter. Solche Unternehmen sollten sich an einen Dienstleister wenden, der sich um ein angemessen gesichertes und gewartet Netzwerk kümmert.
Kastl & Rieter – IT-Betreuung rundum
Cyberangriffe mit Schädlingen wie Ryuk zeigen immer wieder, warum Sie mit IT-Sicherheit niemals nachlässig sein sollten. Zögern Sie also nicht, einen IT-Dienstleister zu beauftragen.
Wir vom Kastl & Rieter IT-Service sind auf die IT-Bedürfnisse kleiner und mittelständischer Unternehmen spezialisiert.
Sicherheitslösungen, IT-Betreuung und -Einrichtung, Soforthilfe, Schulungen, Beratung und Wartung gibt es bei uns deshalb aus einer Hand.
Und das alles auf die individuellen Bedürfnisse Ihres Unternehmens zugeschnitten.
Rufen Sie uns an ( 0221 / 630 6151 60 ) und vereinbaren Sie einen Beratungstermin. Oder schreiben Sie uns eine Nachricht via Kontakformular.
Profitieren Sie auch von unserer kostenlosen Netzwerkanalyse, um aufzudecken, wo sich in Ihrem Netzwerk Schwachstellen befinden und wie Sie die Sicherheit Ihres Netzwerks verbessern können.
Sollten es bei Ihnen bereits zu einem erfolgreichen Angriff gekommen sein, dann nutzen Sie unsere Soforthilfe. Unsere Techniker werden Ihnen vor Ort schnellstmöglich helfen.
Wir freuen uns, Ihnen helfen zu dürfen
Ihr Kastl & Rieter IT-Service
Quellen:
https://www.pcwelt.de/a/kriminelle-erpressen-firmen-mit-neuer-schadsoftware,3463659
http://www.spiegel.de/netzwelt/web/ransomware-ryuk-so-erpressen-kriminelle-grosse-unternehmen-a-1248112.html