Update Verschlüsselungs-Trojaner: Neue Vorgehensweise

30.07.2019 – In den vergangenen Wochen wurden Schweizer Unternehmen Ziel einer neuen Art von Angriffen, mit der unbekannte Angreifer Unternehmensnetzwerke erfolgreich infiltrieren und deren Daten mittels einem Verschlüsselungstrojaner grossflächig verschlüsseln. Auch diverse namhafte Schweizer Unternehmen sind von den Angriffen betroffen.

Seit 2016 warnt MELANI regelmässig vor der Gefahr von Verschlüsselungstrojanern (sogenannte „Ransomware”). So warnte MELANI bereits am 9. Mai 2019 die Öffentlichkeit eindringlich vor Ransomware-Angriffen und hat in ihrem Newsletter konkrete Massnahmen empfohlen. Die empfohlenen Massnahmen sind immer noch aktuell und sollten von den Unternehmen umgesetzt werden. Seit Anfang Juli wurden vermehrt Cyber-Angriffe vermeldet, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes „Spear-Phishing“).

Bislang sind folgende Angriffsszenarien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit „Emotet“, „TrickBot“ oder vereinzelt auch „Qbot“ infiziert. Kriminelle Gruppierungen „kaufen“ die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.

Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge wie zum Beispiel „Cobalt Strike“ oder „Metasploit“, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware (wie z.B. „Ryuk“, „LockerGoga“, „MegaCortex“, etc) auf den Systemen platziert welche die Daten vollständig verschlüsselt.

Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten zum Beispiel auf einer externen Festplatte. Nutzen Sie dabei das Generationenprinzip (täglich, wöchentlich, monatlich / mindestens 2 Generationen). Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Generationen verfügt und dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
    • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen (z. B. Adobe Acrobat Reader, Adobe Flash, Java usw.) müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros. Eine Liste von zu sperrenden Dateianhängen finden Sie hier:
    https://www.govcert.ch/downloads/blocked-filetypes.txt
  • Beobachten Sie die Logfiles Ihrer Antivirus-Lösung auf Unregelmässigkeiten.

Lösegeld bezahlen?

Generell rät MELANI davon ab, Lösegeld zu bezahlen, da Sie damit die Kriminellen unterstützen und es ihnen ermöglichen, ihre Infrastruktur auszubauen und damit weitere Opfer zu erpressen. Ausserdem gibt es keine Garantie, die Schlüssel für die Wiederherstellung der Daten zu bekommen.

Weitere Informationen zu Ransomware und den aktuellen Angriffen finden Sie ausserdem auf den unten erwähnten Links.

Aktueller GovCERT.ch Blog über Ransomware (in englisch)
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes

Detaillierte Informationen über Verschlüsselungstrojaner («Ransomware») finden Sie auf:
https://www.melani.admin.ch/ransomware

Merkblatt Informationssicherheit für KMUs:
https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html

Schweizweiter Ransomware Awarness Tag:
https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/ransomwareday.html

Trojaner Emotet greift Unternehmensnetzwerke an:
https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/Trojaner-Emotet-greift-Unternehmensnetzwerke-an.html

Fachkontakt
Letzte Änderung 12.08.2019

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/dokumentation/newsletter/update-ransomware-neue-vorgehensweise.html