Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Neue Welle Ransomware – Chronisch unterschätzte Gefahr

Auch wenn breit angelegte Ransomware-Wellen aktuell nicht mehr regelmäßig die Schlagzeilen bestimmen wie dies im Sommer 2017 im Zuge von WannaCry der Fall war, ist die Gefahr vor Erpressungstrojanern nach wie vor als sehr hoch zu bewerten und in keinem Falle zu unterschätzen. So meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte Januar dieses Jahrs eine erneute, massenhafte Versendung der Schadsoftware Emotet – über dessen Steuermodule verschiedene Arten von Malware nachgeladen werden können. Weitere gravierende Ransom-Fälle sind im noch jungen Jahr 2019 bereits bekannt geworden. Was ist noch zu erwarten, und wie kann man sich schützen?

Aktuell häufen sich Fälle, in welchen Angriffe über Bankingtrojaner wie etwa Trickbot oder die Ransomware Ryuk ausfeführt werden. Letzterer verschlüsselt klassischerweise die Daten auf den betroffenen Geräten und löscht erstellte Sicherungskopien, um die Wiederherstellung zu erschweren. Ziel ist wie auch bei anderen Ransomware-Attacken die Erpressung der Opfer, um Lösegeld einzufordern. Verteilt wird die Schadsoftware oftmals über einen infizierten Word-Anhang, der an eine häufig glaubwürdig gestaltete E-Mail angehängt ist.

Der CERT-Bund (das Computer Emergency Response Team) des BSI warnte kürzlich auch vor einer Ausbruchswelle der Ransomware GrandCrab, sie sich vorzugsweise über gefälschte Bewerbungsunterlagen ihren Weg in Unternehmen bahnt. Laut CERT-Bund befindet sich in den Bewerbungs-E-Mails auch hier ein Word-Dokument, das beim Öffnen versucht, den Nutzer zur Aktivierung von Makros zu überzeugen. Schließlich kann die Malware nur so seinen Schadcode ausführen. Der Trick ist hier, dass das Dokument vorgibt, mit einer älteren Word-Version erstellt worden zu sein, sodass Anwender dazu verleitet werden, durch den Kompatibilitätsmodus aktive Inhalte zu aktivieren. Hat der betroffene Mitarbeiter der Aktivierung von Makros zugestimmt, kann der Trojaner auf das System zugreifen und beginnen, Daten zu verschlüsseln.

Die finanziellen Schäden einer erfolgreichen Ransomware-Attacke können für Betriebe verheerend sein: Beispielsweise rechnete die dänische Reederei Maersk aus Kopenhagen vor zwei Jahren mit Kosten und Umsatzeinbußen von 200 bis 300 Millionen US-Dollar im Zuge eines Angriffs mit Not-Petya. Für Cyberkriminelle bleibt Ransomware also auch weiterhin ein lukratives Geschäftsmodell: Wie die österreichische Tageszeitung „Der Standard“ im Januar berichtete, konnten die Hintermänner von Ryuk in nur fünf Monaten rund 4 Millionen Euro einsammeln.

Alte Richtlinien sind überholt

Früher galt häufig unternehmensintern die Warnung, keine ausführbaren Dateien (Programme) unbekannter Absender zu öffnen, da diese Viren enthalten könnten. Dieselbe Warnung gilt auch heute noch, allerdings bezieht sie sich heute auch auf Dokumente, die sich weitaus schwieriger erkennen und blockieren lassen. Unter Umständen erhalten Mitarbeiter ein völlig legitim aussehendes Dokument, welches mit Ransomware verseucht wurde. Auch bei ihrer Vorgehensweise gehen die Cyber-Kriminellen mit der Zeit: Sie verlassen sich zunehmend darauf, dass Mitarbeiter bei der Arbeit private E-Mails lesen, die möglicherweise nicht unter den E-Mailschutz des Unternehmens fallen. Daher zielen ihre Angriffe nicht unbedingt auf berufliche E-Mail-Adressen ab, sondern vermehrt auf private Adressen, die ihnen in sozialen Netzwerken begegnet sind. Die von GrandCrab verfolgte Strategie der mit Malware verseuchten Bewerbungsunterlagen ist eine sehr gängige Methode. In manchen Fällen sind Dokumente dieser Art gar nicht an die ursprüngliche E-Mail angehängt, sondern nur verknüpft – und der Link verweist auf eine „seriöse“ Seite wie Microsoft OneDrive oder eine Google App. Die Angreifer nutzen hier die Tatsache aus, dass viele User denken, Dokumente auf solchen Plattformen seien generell vertrauenswürdig – dies ist leider nicht der Fall.

Dem Problem kann Einhalt geboten werden

Der erste Fakt, den es als Unternehmen anzuerkennen gilt, ist, dass sowohl Firmen-E-Mails als auch webbasierter Datenverkehr geschützt werden müssen. Schließlich erfolgt der Zugriff auf private E-Mails über das Internet, beziehungsweise den Web-Browser. Somit sollte eine Lösung sowohl E-Mailschutz als auch Websicherheit bieten.

Grundsätzlich gibt es zwei Möglichkeiten, Attacken durch Verschlüsselungstrojaner zu verhindern. Die erste basiert auf dem Entfernen von aktiven Inhalten. Das bedeutet, dass diese – und somit auch eingebettete Malware – aus dem Dokument entfernt werden. Der Rest bleibt hierbei unangetastet. Auf diese Weise wird gewährleistet, dass der Empfänger die Informationen sofort erhält – nicht aber die Malware. Diese Technik wird auch als ‚Structural Sanitization‘ bezeichnet.

Bei der zweiten Methode kommt die so genannte Sandbox-Technologie zum Einsatz. Dabei wird das Dokument in einer sicheren, isolierten Umgebung geöffnet, die auch „Sandbox“ genannt wird. Anschließend wird das Verhalten des Dokuments analysiert. Wenn nach Ablauf einer bestimmten Zeit, zum Beispiel nach 15 Minuten, nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Diese Zeitverzögerung ist jedoch sowohl unpraktisch als auch ineffektiv, da die eingebettete Malware diese Verzögerung umgehen kann. Je mehr der Professionalisierungsgrad der Angreifer steigt, desto eher gelingt es ihnen, Schadsoftware zu entwickeln, die etwa für eine Stunde „still liegt“ – eine Zeit, in der die meisten Sandboxes diese freigeben hätten. Danach kann sie sich ohne Probleme auf dem Zielrechner ausbreiten. Im Gegensatz dazu wird bei der Structural Sanitization die Bedrohung komplett eliminiert, wenn auch zusammen mit unter Umständen nützlichen, ungefährlichen aktiven Inhalten. In puncto Sicherheit erweist sich diese Methode zur Abwehr von Angriffen meist als effektiver.

Der Kampf gegen Ransomware stellt für Unternehmen eine wachsende Herausforderung dar und hat das Potenzial, fatale finanzielle Schäden als auch verheerende Imageprobleme zu verursachen. Allerdings handelt es sich um eine Gefahr, die sich mithilfe moderner, effektiver Technologien gut in den Griff bekommen lässt. Wichtig ist, dass der Betrieb von mehreren Sicherheitsebenen umgeben ist: Sowohl der E-Mail- als auch Webverkehr sollte ausreichend vor Attacken geschützt werden. In jedem Falle sollten Firmen die Gefahr realistisch einschätzen und keineswegs verharmlosen – schließlich ist das Erkennen des weiterhin sehr hohen Bedrohungspotenzials der erste Schritt, um der Gefahr Herr zu werden.

Michael-KretschmerRQPv90W3kbUfD Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security