Stellen Sie sich vor, Ihr Unternehmen wird wochenlang erpresst

Kriminelle wissen: Ransomware ist ein lohnendes Modell und die Attacken halten an. Diese Woche wurde Locky das erste Mal entdeckt und infizierte in nur ein paar Tagen weltweit mehr als eine halbe Millionen PCs.

Verfasser: F-Secure Business Security Insider
Datum: 8. März 2016
Lesedauer: 3 Minuten

Das Hollywood Presbyterian Medical Center gab auf.

Letzte Woche entschied das Krankenhaus in Kalifornien, dass es 40 bitcoins zahlen müsse – circa 17.000 US-Dollar -, um sich aus der Ransomware-Attacke zu befreien, welche das eigene Netzwerk seit dem 5. Februar gesperrt hatte.

Zum ersten Mal begannen nun amerikanische Medien ihre Aufmerksamkeit auf Ransomware zu richten – einem Phänomen, über das F-Secure Labs schon seit mehr als einer halben Dekade berichtet.

Gesundheitsfürsorger und Unternehmen, die sensible Kundendaten speichern, seien durch diese Art von Attacken besonders gefährdet, erklärte F-Secure Security Advisor Sean Sullivan der IBTimes UK:

„Krankenhäuser gelten als kritische Infrastruktur, haben aber nicht die gleichen Reportingauflagen wie beispielsweise Kraftwerke. Da nun einige Kliniken für Schlagzeilen sorgten, sind andere mittlerweile transparenter, um zukünftige Schwierigkeiten bezüglich der Anzeigenversäumnisse zu vermeiden. Abgesehen davon sind viele Krankenhäuser einfache Ziele. Ich arbeitete für eine Universitätsklinik mit mehr als 20.000 Knotenpunkten in ihrem Netzwerk. Es gab dort eine gewinnorientierte Seite und eine akademische Seite. Aus Steuergründen mussten die Backend-Systeme getrennt werden. Aus Ärzte- und Patientensicht mussten alle Daten kundenseitig verfügbar sein, unabhängig vom Backend der Klinik. Das Krankenhaus hatte über Jahre hinweg viele andere medizinische Gruppen gekauft oder aufgenommen. Kurz gesagt, es war ein extrem komplexes Netzwerk. Und obwohl es so gut gewartet wurde, gab es deshalb viele Lücken.“

Ransomware ist ein Modell, bei dem Kriminelle wissen, dass es funktioniert und die Attacken halten weiter an.

Diese Woche wurde Locky das erste Mal entdeckt und infizierte in nur ein paar Tagen mehr als eine halbe Million PCs weltweit.

Andy Patel von F-Secure Labs beschrieb die Gefahr im News from the Labs Blog:

“Bis jetzt war Lockys gängigster Infektionsweg über E-Mail. Es wird ein Word-Dokument im Anhang geschickt, das als Rechnung getarnt ist. Wenn man es öffnet, erscheint das Dokument verschlüsselt und fordert den Empfänger auf, Macros zu aktivieren, um es korrekt darzustellen. Wenn der Empfänger dem nachkommen, wird eine Programmdartei abgeworfen, welche beginnt, Datenordner mit einem 128-Bit AES-Schlüssel zu verschlüsseln.“

Der Albtraum, alle Microsoft Office-Dateien zu verlieren, ist so überwältigend, dass viele Firmen den gleichen Weg gegangen sind wie das Hollywood Presbyterian Medical Center.

“Die Entwicklung von Locky war ein kriminelles Meisterstück – die Infrastruktur ist hochentwickelt, es wurde in kleinem Rahmen schon am Montag getestet (eine Art Ransomware Betatest) und die Erpressungssoftware wurde in viele Sprachen übersetzt.“, schrieb Kevin Beaumont dazu: „Kurz gesagt: Das war gut durchgeplant.“

Der Trend von Malware-as-a-Servive, mit kriminellen Entwicklern, die sich mit dem Geschäftssinn von professionellen Software-Unternehmen benehmen, ist nicht neu.

F-Secure Chief Research Officer Mikko Hyppönen sagte:

“Schon vor einer ganzen Weile haben sich Online-Kriminelle den Dienstleistungs-Modellen zugewandt. Wir haben das beispielsweise bei DDoS-Attacken, Bankentrojanern als Dienstleistung und Erpressungstrojanern als Dienstleistung gesehen.“

Makro-Attacken waren trotzdem eine der größten Überraschungen der Internetsicherheit im letzten Jahr. Seit den 1990ern waren sie eigentlich verschwunden und ihr Wiedererstarken macht viele Unternehmen anfällig.

Sogar Netzwerke mit vollständig aktualisierter Software und aktuellen Sicherheitssystemen sahen sich verletzt, weil ihre Nutzer Makros aktivieren dürfen und ihre Anwendungswhitelisten nicht optimal konfiguriert sind.

F-Secure Nutzer aber profitieren von einer zusätzlichen Schutzschicht, wie Andy Patel schrieb:

„Wenn Sie unsere Software, DeepGuard, nutzen, wird unsere verhaltensbezogene Erkennungs-Engine sowohl die von Locky genutzten Angriffsüberträger und das Verhalten der Malware selbst unterbunden haben. Diese Erkennungen sind schon seit einiger Zeit im Umlauf. Gemäß unserer tried-and-tested Präventionsstrategie erkennt DeepGuard bösartiges Verhalten wie beispielsweise Office-Dokumente, die Inhalte herunterladen, Dateien abwerfen oder Code ausführen. DeepGuard stoppt die Mechanismen, die es solchen Bedrohungen erlauben, Ihren Computer zu infizieren, bereits an der Quelle.“


One thought on “Stellen Sie sich vor, Ihr Unternehmen wird wochenlang erpresst


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s