BSI warnt vor neuer AngriffsmethodeNeuartige Ransomware birgt höchstes Gefährdungs-Potenzial
30. April 2019
Erneut warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich vor Angriffen, an deren Ende die Ausführung von Verschlüsselungstrojanern steht. Das besonders Erschreckende hierbei: Die Cyber-Kriminellen verwenden mittlerweile Methoden, die laut BSI bis vor kurzem noch nachrichtendienstlichen Akteuren vorbehalten waren. Um zunächst in die jeweiligen Unternehmensnetze zu gelangen, wird hier häufig im ersten Schritt das sogenannte Dynamit-Phishing in Form von breit angelegten Spam-Kampagnen angewandt.
Netzwerk-Kompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden, hat das BSI aufgedeckt. Bei diesen Angriffen verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus.
Dabei kommt es teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.
„Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann“, erklärt BSI-Präsident Arne Schönbohm.
Verschärfte Bedrohungslage
Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. Trickbot) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.
Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungs-Tools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.
Bewertung der Angriffsszenarien
Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen.
- Jede einfache Infektion kann zu einem gezielten Angriff führen: Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primär-Infektion (z.B. mit „Emotet“) später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.
- Es droht ein kompletter Datenverlust: Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.
- Gefahr für deutsche Unternehmen steigt: Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.
Als Maßnahmen gegen diese Bedrohungen empfiehlt das BSI drei Ansätze:
- Schutz vor Primär-Infektionen (siehe bestehende Empfehlungen zu „Emotet“),
- Überprüfung von Verbindungen von Dienstleistern zu Kunden (Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen) und
- Schutz vor Ransomware.
Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Vielmehr sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.
Organisatorische und technische Maßnahmen
„Die Frage, wie Firmen sich vor Angriffen solcher Art schützen können, lässt sich sowohl technisch als auch organisatorisch beantworten“, erklärt Marc Schieder, CIO bei DRACOON. „In Bezug auf die IT-Umgebung von Unternehmen sollten diese bei der Implementierung neuer Lösungen, etwa im Bereich Filesharing, beispielsweise auf einen integrierten Ransomware-Schutz achten. Hier können verschlüsselte Daten im Falle eines Angriffs über den Papierkorb ohne Zeitverlust wiederhergestellt werden, da alle Informationen versioniert gespeichert werden. Dies funktioniert auf folgende Weise: Bei einer Ransomware-Attacke werden die Daten mit den verschlüsselten Informationen überschrieben – die unverschlüsselten Versionen dieser wiederum, liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Die Technologie schützt im Ernstfall vor einem massiven Datenverlust, der unter Umständen geschäftskritisch sein kann.“
Auf organisatorischer Ebene gelte es nach seiner Einschätzung, Mitarbeiter aller Abteilungen ausreichend über aktuelle Gefahren aufzuklären und zu schulen. Insbesondere ist es wichtig die Bedrohung unbedingt ernst zu nehmen und vorbereitet zu sein. „Nur wenn Hersteller von IT-Security-Lösungen ihre Verantwortung wahrnehmen und gleichzeitig Wirtschaftsunternehmen jeglicher Branche die Bedrohungen für die Cyber-Sicherheit ernst nehmen, kann die Gefahr gebannt werden“, ergänzt Schieder. „Sowohl Software als auch Organisationen, die diese nutzen, müssen dringend mit dem steigenden Professionalisierungsgrad der Cyber-Kriminellen mithalten. Auf diese Weise wird der Wirtschaftsstandort Deutschland vor massiven finanziellen Verlusten geschützt und selbst ausgeklügelte Angriffsmethoden laufen schließlich ins Leere.“ (rhh)
