Wichtige Security Mittelung: Schutz gegen Ransomware

Die aktuellen Bedrohungen durch Verschlüsselungstrojaner ("Petya", „WannaCrypt“, „Locky“ und Co.) sowie weitere Schadsoftware wie Mal- oder Ransomware ist in alles Munde. Dabei versuchen Cyberkriminelle immer häufiger, mit maßgeschneiderten E-Mail-Anhängen und vertrauenswürdig wirkenden Inhalten die Sicherheitsvorkehrungen von Unternehmen jeder Größe zu umgehen. 

 

Aktuelles Beispiel ist der Angriff durch „Bad Rabbit“ auf vorwiegend osteuropäische Unternehmen vom vergangenen Dienstag, der sich Medienberichten zufolge nun auch in Deutschland immer stärker verbreitet.

 

Dieser Angriff ist mittels „Watering-Hole-Angriffe“ (zu Deutsch: „Wasserloch“-Angriff) in den Netzwerken der Unternehmen verbreitet worden. Ähnlich wie im Tierreich immer wieder bekannte Wasserlöcher aufgesucht werden, besuchen User der Zielgruppe immer wieder bekannte Quellen/Websites, um Software herunterzuladen oder zu aktualisieren. In diesem Falle wurde die Software über infizierte Installationsdateien des Adobe Flash Player verbreitet.

 

Wird diese Quelle mit Malware infiziert, verschafft man, durch den Download dieser infizierten Software, der Ransomware Zugriff auf die entsprechenden Unternehmensnetzwerke. Einmal in das System gelangt, beginnt Bad Rabbit nicht nur wie bisherige Crypto-Tojaner mit der Verschlüsselung der lokalen Daten auf dem Gerät, sondern versucht zeitgleich entsprechende Zugriffe auf das Netzwerk mit weitverbreiteten und gängigen Passwörtern zu erlangen. Gelingt dies, verbreitet sich die Schadsoftware Bad Rabbit wurmähnlich im Netzwerk und beginnt auch hier mit der Verschlüsselung der verfügbaren Daten.

 

Da dieses „Geschäftsmodell“ sehr gut zu funktionieren scheint, werden die Angriffe immer gezielter und komplizierter gestaltet. Dabei passt sich die Schadsoftware schnell an Gegenmaßnahmen an (evasiv).

 

Und entgegen der landläufigen Meinung bei kleinen und mittelständigen Unternehmen „Wer hat den schon Interesse, uns zu Hacken“, sind es gerade diese Unternehmen, auf die abgezielt wird. Dies liegt zum einen an der vermeintlich schwachen Sicherheitsausstattung, aber vor allem an der hohen Zahl an potentiellen Opfern. Hier zählt das Motto der Kriminellen „sehr viele kleine und daher nicht zurück verfolgbare Zahlungen ergeben eine große Menge“.

 

 

Wichtige Informationen zu Verschlüsselungstrojanern:

 

Was ist los?
Aktuell sind vermehrt wieder Verschlüsselungstrojaner (Ransomware) im Umlauf.


Was machen diese Trojaner?
Die Trojaner verstecken sich u.a. als Dateianhänge in E-Mails oder nutzen andere Sicherheitslücken wie z.B. in Flashplayer aus. Wird der Dateianhang geöffnet, wird der Trojaner aktiv und verschlüsselt unbemerkt die Festplatte. Der Zugriff auf die Daten ist danach nicht mehr möglich. Beim Neustart des PCs wird man aufgefordert gegen ein Lösegeld den Schlüssel zu kaufen, welcher die Daten wieder entschlüsseln kann.

 

Das ist doch eigentlich nichts neues, oder?
Nein, Verschlüsselungstrojaner gibt es bereits seit 1989. Damals wurden sie noch per Diskette in Umlauf gebracht.

 

Warum ist der Schutz vor Verschlüsselungstrojanern denn so schwer?
Die „bösen Buben“ werden immer einfallsreicher. Für den PC-Anwender wird es immer schwieriger, eine „saubere“ Email von einer „bösen“ Email zu unterscheiden. So werden immer mehr Trojaner von augenscheinlich bekannten und eigentlich vertrauenswürdigen Absendern versendet. Dies geschieht dadurch, dass sich der Trojaner unbemerkt an die Adressen meines Adressbuches bedient, oder aber dass E-Mail-Konten gefälscht oder gehackt werden. Eine E-Mail meines Kunden, kann somit schon großen Schaden anrichten, obwohl dieser gerade seit Tagen im Urlaub ist. Ebenso könnte der Absender ein Netzwerkgerät sein, der Scanner/Kopierer im Unternehmen zum Beispiel.

 

Aber ich habe doch einen Virenscanner und eine Firewall. Genügt dieser Schutz nicht?
Virenscanner und Firewall sind aktuell ein Minimum an technischen Grundschutzmechanismen. Dennoch sind Trojaner inzwischen so gut versteckt, dass die Hersteller von Schutzprogrammen mit der Nachpflege der entsprechenden Signaturen nicht nachkommen. Kaum ist eine Firewall „geimpft“, gibt es auch schon neue Formen der Ransomware.

 

Sollte ich das Lösegeld bezahlen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt auf keinen Fall das Lösegeld zu zahlen. Eine Garantie, ob der Schlüssel nach der Zahlung tatsächlich ausgehändigt wird, gibt es nicht. Ebenso kann nicht ausgeschlossen werden, mit welcher Seuche der PC nach der Entschlüsselung noch infiziert wurde.

 

Klingt ausweglos. Wie kann ich mich denn schützen?

Der Umgang mit Security muss von der Geschäftsleitung vorgegeben und sozusagen gelebt werden. Die Mitarbeiter müssen sensibilisiert werden. Gegebenenfalls sind hier auch Schulungen nötig.

 

Weitere Maßnahmen sind z.B. die Systeme regelmäßig zu aktualisieren (Updates), sowie eine zuverlässige Datensicherung inkl. Restorekonzept. Um einen vollständigen Überblick zu erhalten, ist es notwendig eine Analyse durchzuführen und erforderliche Maßnahmen zu erarbeiten. Hier stehen wir Ihnen gerne mit unserem KnowHow zur Verfügung.

 

ZUM VIDEO: "How Ransomware works" - Link zum Video

 


Einige Grundregeln sollte man jedoch immer beachten:

 

  ProLan - Grundregeln für den Umgang mit Ransomware

 

BSI - Themenpapier: "Ransomware: Bedrohungslage, Prävention & Reaktion"

 

BSI - Artikel Erneut weltweite Cyber-Sicherheitsvorfälle durch Ransomware, vom 28.06.2017

 

Für weitere Fragen oder Unterstützung bei der Umsetzung der oben genannten Punkte kontaktieren Sie das ProLan-Berater Team unter: +49 6034/93960

 

                 

 

 

 

 

Kontakt

Fernwartung

Sie benötigen direkte Hilfe? Öffnen Sie hier eine Fernwartung.

       

 

                         

Kontakt und Beratung                   

Telefon: +49 (6034) 9396-0                          

E-Mail: info@prolan-computer.de

                  

Service und Support                   

Telefon: +49 (6034) 9396-66

E-Mail: service@prolan-computer.de