Skip to main content
30. März 2016

+43 1 2530000
Vertriebshotline

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
E-Mail

Wie Sie sich vor Cyber-Erpressern schützen

30. März 2016

Ransomware , Erpressungstrojaner, Kryptotrojaner, Verschlüsselungstrojaner… 

shutterstock 396081346

 

Die Verschlüsselung firmeneigener Daten ohne verfügbare Datensicherung ist ein Horrorszenario.
Erst vor wenigen Tagen sorgte „Locky“ mit haarsträubenden Infektionszahlen und prominenten Beispielen wie der Verschlüsselung der Daten zweier Krankenhäuser in Deutschland für Schlagzeilen.

Nun scheint auch Österreich stärker ins Visier der Cyber-Erpresser geraten zu sein: die von unserem Partner IKARUS Security Software GmbH in Österreich aufgebauten Scan-Center zählen aktuell mit ihren Mailfiltern (mail.security) bis zu 200 Outbreaks täglich. Der Security-Experte Christoph Barszczewski von IKARUS hat sich an vorderster Front genauer umgesehen und uns aus erster Hand berichtet. 

Infektion in Wellen

Manche dieser Wellen bestehen noch „klassisch“ aus mehreren Tausend E-Mails pro Welle. Von ganz anderer Qualität sind jedoch seit Neuestem mehrere kleine Wellen, die jeweils nur aus wenigen Hundert E-Mails bestehen, sich aber sehr häufig inhaltlich verändern. Pro neuer Angriffswelle ändern sich E-Mail-Inhalt und Anhang sowie der Viren-Code, was die lokal eingesetzten Antivirus-Systeme in vielen Fällen an ihre Grenzen führt. Am schnellsten reagieren zentral vorgelagerte Mail-Security-Services, die solche Outbreaks auch generisch erkennen, ohne den neuen Virus vorab überhaupt zu Gesicht bekommen zu haben.
Um den Anwendern und der IT-Security-Branche zusätzlich das Leben schwer zu machen, wurde zuletzt beispielsweise beim Tesla-Trojaner aus dem Botnetz statt mehrerer E-Mails nur ein E-Mail pro befallenem Bot-Rechner versendet.
Was im Dezember 2015 noch eher als Ausnahme galt (siehe Bild unten), ist mittlerweile zu einem gängigen Szenario der Angreifer geworden: Eine einzelne Ransomware-Welle aus nur 123 E-Mails, die noch dazu aus 123 unterschiedlichen IP-Adressen (Botrechnern) verschickt werden. Nach einer Pause beginnt das Spiel mit veränderten Anhängen und Mail-Parametern von vorn.

[widgetkit id=71]

Verdächtige Anhänge sind überholt

Die Schadcodes sind längst nicht mehr (nur) in Dateien wie zum Beispiel Rechnungxxxxx.doc.zip verpackt, auch Office-Dateien oder PDFs sind anfällig. Der breiten Öffentlichkeit ist zum Beispiel nicht bewusst, dass man es bei einer docx-Datei im Gegensatz zum alten doc-Format letztlich mit einem ZIP-ähnlichen Dateiformat zu tun hat.
Die neuesten Generationen der Ransomware kommen allerdings auch ganz ohne Anhänge aus und verwenden direkt in das E-Mail eingebettete JavaScripts, die viel schwieriger zu erkennen sind und meist nur als „Erstinfektor“ (Dropper) fungieren, um die eigentliche Malware nachzuladen.

Für den Fall der Fälle: Backup?

Sind Computer bzw. Netzwerk erst einmal verschlüsselt, gibt es kaum Chancen, die Daten zu dechiffrieren: „Cerber“, „Locky“, „Cryptowall“ oder „Tesla Crypt“ verwenden sowohl symmetrische als auch asymmetrische Schlüssel und sind nach anfänglichen Startschwierigkeiten mittlerweile leider so sauber programmiert, dass die verschlüsselten Systeme mit vertretbaren Mitteln nicht mehr entschlüsselt werden können.

Nur aktuelle Backups retten die Daten, das Einspielen bedeutet für Unternehmen allerdings einen nicht zu unterschätzenden Aufwand. Beim Umgang mit (möglichen) Viren-Mails ist daher äußerste Vorsicht geboten und im Zweifelsfall sollte man die Neugierde im Zaum halten und verdächtige Mails löschen.

10 Maßnahmen, um Erpresserviren vorzubeugen:

• Installieren Sie Antivirus-Software, SPAM-Filter, Firewall und IPS und aktualisieren Sie so oft wie möglich.
• Konfigurieren Sie SPAM-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen blockiert werden.
• Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen (direkt im SPAM-Filter oder am Mailserver bzw. im E-Mail-Programm).
• Löschen Sie E-Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete Nachrichten im Zweifelsfall.
• Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.
• Hindern Sie die Verzeichnisse %AppData% und %Startup% via GroupPolicies am Ausführen von unbekannten Executables.
• Deaktivieren Sie unter Windows die Standardeinstellung zur Ausblendung bekannter Dateitypen.
• Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.
• Informieren Sie sich und Ihre Mitarbeiter über die aktuellen Gefahren.
• Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf. Achtung! Auch Backups werden sonst gern von der Malware verschlüsselt!

Zahlen oder nicht zahlen?

Wenn es trotz aller Vorsichtsmaßnahmen passiert, die Daten bereits verschlüsselt sind und keine Backups vorliegen, stellt sich für viele Betroffene die Frage, wie es nun weitergehen kann.
Offenbar finden sich genug Opfer, die zu zahlen bereit sind, wodurch natürlich auch das Geschäftsmodell für die Hacker weiter attraktiv bleibt.
Es liegt im Ermessen des Betroffenen, den Wert seiner Daten gegenüber dem Zwang der Erpressungssituation abzuwägen. Wenn gezahlt wird, stehen die Chancen mittlerweile sehr hoch, die Daten mit einem passenden Schlüssel auch wieder entschlüsseln zu können. Die Angreifer haben längst verstanden, dass eine Zahlung ohne Gegenleistung ihr Geschäftsmodell massiv in Frage stellen würde.
Aber Achtung! Dass man die Daten wieder bekommen hat, heißt noch lange nicht, dass das betroffene System wieder sauber ist. Daher lautet die Empfehlung auf jeden Fall: wenn man sich mangels verfügbarer Datensicherung für das Zahlen entschieden hat und die Daten wieder bekommen hat, muss das System trotzdem neu aufgesetzt werden. Nur so kann man erwarten, dass man wieder mit einem sauberen System arbeitet und ein paar Monate später nicht erneut zum Opfer desselben Angriffes wird.

Quelle: DI Christoph Barszczewski, IKARUS Security Software GmbH

Achtung, Falle!

Prüfen Sie jetzt Ihre Sicherheitsstrategie und schützen Sie sich vor Cyber-Erpressern!

 

Tags

Bleiben Sie auf dem Laufenden!

Hier finden Sie unsere Blogbeiträge rund um die Digitalisierung Ihres Business. Sie wollen keinen Beitrag mehr verpassen? Dann melden Sie sich gleich zu unserem Newsletter an!

Die Felder, die mit einem Stern (*) markiert sind, müssen ausgefüllt werden.

1 Die von Ihnen angegebenen Daten werden ausschließlich zum Personalisieren unseres Newsletters verwendet und nicht an Dritte weitergegeben. Die Angaben sind freiwillig. Zu statistischen Zwecken führen wir anonymisiertes Link-Tracking durch. Nähere Informationen finden Sie in der Datenschutzerklärung.

Damit dieser Newsletter nicht ungewollt in Ihren Spamordner verschoben wird, tragen Sie bitte unsere Absenderadresse in Ihr persönliches Adressbuch ein.