Das Magazin > Ransomware: Der Geiselnehmer Ihrer Daten

Jede Woche erscheint eine neue Ransomware, die den Betrieb eines Unternehmens in weniger als einem Tag lahmlegen kann. Ähnlich wie Viren in ihrer Funktionsweise, macht der Zweck, Geld zu erpressen, Ransomware noch schädlicher. Um sich davor zu schützen, sollten einige Regeln beachtet werden.

Die Mechanik ist klassisch. Eine Anwaltskanzlei, ein Morgen, ein Anhang, die Person öffnet ihn. Es passiert nichts. Am Ende des Vormittags beschwert sich ein Nutzer beim Support, dass er keinen Zugriff auf seine Dateien hat. Der Support identifiziert die Quelle der Fehlfunktion, einen Cryptolocker mit dem Namen Locky. Das Unternehmen wird aufgrund eines IT-Fehlers eingefroren. Die IT-Abteilung versucht, die völlig lahmgelegten Server durch Verschlüsselung jeder einzelnen Datei zu entsperren und den Betrieb wieder aufzunehmen. Es bleibt nur noch, das CERT anzurufen, um zu versuchen, den Ursprung der Infektion herauszufinden.

Bitcoin als Vermittler 

Diese Geschichte, die von Luc Roudé von Intrinsec erzählt wird, ist real und findet fast jede Woche in einem Unternehmen oder bei einer Privatperson ihren Widerhall. Der Grund dafür ist die mittlerweile berühmte Ransomware, eine Art Pseudovirus, der die Informationen des Unternehmens oder der Privatperson verschlüsseln soll. Die Verschlüsselung wird gegen ein "Lösegeld" aufgehoben, das in Bitcoins an eine temporäre Adresse gezahlt wird. "Die Angriffe nehmen zu und werden durch das Aufkommen von Bitcoin erleichtert", erklärt Luc Roudé. Die einfache Verwendung und die fehlende Rückverfolgbarkeit dieser virtuellen Währung haben die Entwicklung dieser neuen Art von Angriffen beschleunigt. Auch wenn die geforderten Beträge meist "gering" sind und das Zahlungsverfahren eingespielt ist, sind die Angriffe zu anderen Zeiten gefährlicher, wie der Angriff auf ein Krankenhaus in Los Angeles im Februar dieses Jahres, das gezwungen war, 17.000 Dollar zu zahlen, um seine Computer zu entsperren".

Eine rasante Entwicklung von Ransomware

Aus technischer Sicht ähnelt sich alle Ransomware, aber keine ist gleich. Sie entwickeln sich sehr schnell und kennen zahlreiche Variationen, um durch die Maschen von Antivirenprogrammen zu schlüpfen. Mit 30 neuen Familien im Jahr 2015 und bereits 15 seit Anfang 2016 vervielfachen sich die Angriffe und Programme ebenso wie die Ansteckungspunkte. Der klassischste ist ein Anhang, oft ein Lebenslauf oder eine Rechnung, die von einem auf den ersten Blick vertrauenswürdigen Sender stammen und über eine funktionale E-Mail des Typs contact@entreprise.fr oder rh@entreprise.fr verschickt werden. Sobald das Dokument geöffnet wird, aktiviert die Bearbeitung des Dokuments ein "Makro", das das Verschlüsselungsprogramm ausführt. Neben Anhängen können diese Cryptolocker auch über eine institutionelle oder als vertrauenswürdig geltende Website übertragen werden. "Ein weiterer wichtiger Vektor ist das sogenannte "Drive-by-Download". Ein Nutzer geht auf eine Nachrichtenseite, die angegriffen wurde - entweder direkt oder über ihre Werbeagentur. Dort wird der Virus von der Website selbst verbreitet", erläutert Luc Roudé. Vor kurzem wurde die Website Pathé.fr Opfer eines solchen Virus.

Capture einer Lösegeldforderung
Bei einer Lösegeldforderung wird der Zahlungsvorgang Schritt für Schritt erklärt.

Patient Null identifizieren

Nach der Aktivierung dauert es im Durchschnitt zwischen einem und drei Tagen, um die Seuche auszurotten. Das Ziel ist es, Patient Null zu finden. Sehen Sie, wo die Ransomware hingegangen ist, um sich aus logischer Sicht auszuführen. Meistens ist es eine E-Mail, die am Ursprung der Ansteckung steht. Dann muss man nachschauen, wer sie verursacht hat, wer betroffen ist, d. h. ob der Anhang geöffnet wurde oder nicht und von wem. In einem Standardfall dauert es einige Stunden, um die Quelle zu identifizieren. Die Arbeit besteht darin, das schädliche Programm zu analysieren, kontaminierte IP-Adressen aufzuspüren und vor allem mit dem Systemüberwachungsteam zu kommunizieren, um zu überprüfen, dass keine Weiterleitung von E-Mails stattgefunden hat, um eine allgemeine Superinfektion der Struktur und Dritter zu verhindern.

Vorbeugung: Offline-Backups und Sensibilisierung der Organisation

Die Abwehr dieser Art von Angriffen beginnt natürlich mit einer Infrastruktur für Datensicherungen mit entsprechenden Prozessen. Die Backups müssen unbedingt offline sein und regelmäßig getestet werden. Eine Selbstverständlichkeit, die aber immer wieder in Erinnerung gerufen werden muss. Fälle, in denen die Aktivierung des Backups einen Teil des IS erfordert, der selbst blockiert ist, sind nicht selten. Auf der anderen Seite der Antwort ähnelt das Szenario einem Plan zur Aufrechterhaltung der Geschäftstätigkeit, bei dem das IS über die Backups wieder in Gang gesetzt wird.

Um Viren zu bekämpfen, müssen Sie, abgesehen vom Verbot der Aktivierung von Makros, Ihren Sicherheitsplan nicht revolutionieren. Ransomware versucht nicht, Schwachstellen auszunutzen oder sich zu replizieren, und die Verschlüsselung von Ordnern auf Datenträgern ist an sich schon wirksam. Die Verschlüsselung an sich kann jedoch ein echtes Problem darstellen, wie Luc Roudé erklärt: "Von allen Ransomware-Familien sind einige schlecht konzipiert. Dadurch können die Dateien auch ohne Zahlung des Lösegelds wiederhergestellt werden. Dabei handelt es sich jedoch um Randfälle, denn in den meisten Fällen ist es unmöglich, ihnen zu begegnen. Sie verwenden AES, um die Dateien zu verschlüsseln, und einen RSA-Schlüssel, um die Verschlüsselung zu schützen. Im Durchschnitt sind weniger als 10 % der Ransomware-Volumes entschlüsselbar".

Eine vorherrschende organisatorische Seite

Je schneller die Reaktion, desto größer die Schadensbegrenzung", sagt Jean-Raphaël Frydman, Sicherheitsberater bei Intrinsec. Die Rückkopplung von Informationen ist ein wichtiger Punkt. Der Nutzer ist die beste Sonde des Unternehmens. Andererseits muss man den Mitarbeitern die richtigen Reflexe vermitteln und Sensibilisierungskampagnen durchführen. Wenn wir Phishing-Übungen durchführen, bei denen den Nutzern gefälschte E-Mails z. B. von der IT-Abteilung oder der Personalabteilung geschickt werden, stellen wir eine echte Veränderung im Verhalten der Nutzer fest, die nach und nach in der Lage sind, immer gezieltere bösartige Nachrichten zu erkennen.

Dieses Bewusstsein bietet auch einen Hebel, der die Durchführung von Veränderungen erleichtert. Denn das Blockieren von Anhängen kann organisatorische Auswirkungen haben und schlecht aufgenommen werden, wenn die Einführung einer solchen verbindlichen Maßnahme nicht auf ein von allen verstandenes Risiko reagiert. Schließlich erfordert das Vorfallsmanagement die Benachrichtigung des Supports und eventuell die Beauftragung eines externen Dienstleisters, der den Umgang mit dieser Art von Angriff von Anfang bis Ende beherrscht. "Ein Unternehmen, das Opfer von Malware wird, kann sich in einer Krisensituation wiederfinden. Die Betriebsverluste können sich auf mehrere hunderttausend Euro belaufen und das Unternehmen in Gefahr bringen. Parallel zum Krisenmanagement ist es nicht abwegig, eine Klage einzureichen, um das Problem zu dokumentieren, auch wenn die Verfahren heute praktisch keine Aussicht auf Erfolg haben."

Quelle und Informationen

Der Fall des Krankenhauses von Los Angeles

Das Merkblatt zur Sensibilisierung und zu bewährten Praktiken die vom Intrinsec Incident Response Center angeboten werden

Das Wachstum von Ransomware gemessen von Symantec 

Katégorien
Cybersicherheit & Compliance
Das Magazin
Cookie-Richtlinie

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Seite zu bieten, erheben aber keine personenbezogenen Daten.

Die Dienste zur Messung des Publikums, die für den Betrieb und die Verbesserung unserer Website erforderlich sind, ermöglichen es nicht, Sie persönlich zu identifizieren. Sie haben jedoch die Möglichkeit, sich ihrer Nutzung zu widersetzen.

Weitere Informationen finden Sie in unserem Datenschutzrichtlinie.

Zulassen Ablehnen