Die Schweizer Melde- und Analysestelle für Informationssicherheit Melani macht darauf aufmerksam, dass in den vergangenen Wochen Schweizer Unternehmen vermehrt Ziel einer neuen Art von Angriffen wurden, mit der unbekannte Angreifer Unternehmensnetzwerke erfolgreich infiltrieren und deren Daten mittels einem Verschlüsselungstrojaner grossflächig verschlüsseln. Auch diverse namhafte Schweizer Unternehmen seien von den Angriffen betroffen, teilt Melani mit.
Melani warnte bereits am 9. Mai eindringlich vor Ransomware-Angriffen (Verschlüsselungstrojaner) und hat in ihrem Newsletter konkrete Massnahmen empfohlen. Die empfohlenen Massnahmen seien immer noch aktuell und sollten von den Unternehmen umgesetzt werden, betont die Melde- und Analysestelle. Seit Anfang Juli seien vermehrt Cyber-Angriffe vermeldet worden, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei würden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes „Spear-Phishing“).
Bislang sind gemäss Melani folgende Angriffsszenarien bekannt: • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang. • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit „Emotet“, „Trickbot“ oder vereinzelt auch „Qbot“ infiziert. Kriminelle Gruppierungen „kaufen“ die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren. • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.
Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge wie zum Beispiel „Cobalt Strike“ oder „Metasploit“, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware (wie z.B. „Ryuk“, „LockerGoga“, „MegaCortex“, etc) auf den Systemen platziert welche die Daten vollständig verschlüsselt.
Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt Melani Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:
• Regelmässiges Erstellen von Sicherungskopien (Backups) der Daten zum Beispiel auf einer externen Festplatte. Dabei sollte man das Generationenprinzip befolgen (täglich, wöchentlich, monatlich / mindestens 2 Generationen). Dabei sollte man sicherstellen, dass das Medium, auf welchem die Sicherungskopie erstellt wird, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch getrennt wird. Ansonsten bestehe die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können. • Bei Cloud-basierten Backup-Lösungen sollte man sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Generationen verfügt und dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt. • Die Qualität der Backups prüfen und das Einspielen von Backups üben, damit man im Notfall keine unnötige Zeit verliert. • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen (z. B. Adobe Acrobat Reader, Adobe Flash, Java usw.) müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion. • Auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor schüten. Terminal-Server hinter ein VPN-Portal stellen. • Den Empfang von gefährlichen E-Mail-Anhängen auf dem E-Mail-Gateway blockieren. Dazu zählen auch Office-Dokumente mit Makros. Eine Liste von zu sperrenden Dateianhängen finden man hier: https://www.govcert.ch/downloads/blocked-filetypes.txt • Die Logfiles der Antivirus-Lösung auf Unregelmässigkeiten prüfen.
Kein Lösegeld bezahlen
Generell rät Melani davon ab, Lösegeld zu bezahlen, da man damit die Kriminellen unterstützt und es ihnen ermöglicht, ihre Infrastruktur auszubauen und damit weitere Opfer zu erpressen. Ausserdem gebe es keine Garantie, die Schlüssel für die Wiederherstellung der Daten zu bekommen.
