Derzeit registriert das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) verstĂ€rkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten AusfĂŒhrung eines VerschlĂŒsselungstrojaners (Ransomware) enden.
Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunĂ€chst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. Dabei kommt es teilweise zu erheblichen Störungen der BetriebsablĂ€ufe. Durch dieses aufwĂ€ndige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, ĂŒber deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat ĂŒber CERT-Bund und die Allianz fĂŒr Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.
„Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte KriminalitĂ€t, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-SicherheitsvorfĂ€lle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz fĂŒr Cyber-Sicherheit unterstĂŒtzen. IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden“, so BSI-PrĂ€sident Arne Schönbohm.
Bedrohungslage
Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten groĂangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse AnhĂ€nge oder Links zu gefĂ€lschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde hĂ€ufig weitere Malware (z.B. „Trickbot“) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.
Insbesondere in Deutschland ist diese Vorgehensweise verstĂ€rkt mit der Ransomware GandCrabbeobachtet worden. Bei den bekannten FĂ€llen haben die Angreifer sich zunĂ€chst ĂŒber Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespĂ€ht und schlieĂlich die Ransomware zur AusfĂŒhrung gebracht. Entsprechende Warnungen der LandeskriminalĂ€mter sind bereits erfolgt.
Anhang: Bewertung und MaĂnahmen
Bewertung
Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgefĂŒhrte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind insbesondere die folgenden drei Aspekte zu berĂŒcksichtigen.
- Jede einfache Infektion kann zu einem gezielten Angriff fĂŒhren
Da die Angreifer sich zunĂ€chst ĂŒber groĂ-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede PrimĂ€r-Infektion (z.B. mit „Emotet“) spĂ€ter weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprĂŒft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und MaĂnahmen ergriffen werden, die eine spĂ€tere RĂŒckkehr des Angreifers verhindern. - Es droht ein kompletter Datenverlust
Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgefĂŒhrten Angriffe einen deutlich höheren Arbeitsaufwand fĂŒr die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur VerfĂŒgung stehen, können die Angreifer wesentlich höhere LösegeldbetrĂ€ge fordern. Unternehmen, die ĂŒber keine Offline-Backups verfĂŒgen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere FĂ€lle bekannt, bei denen die VerschlĂŒsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben. - Gefahr fĂŒr deutsche Unternehmen steigt
Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.
Aufgrund der aktuellen Zunahme solcher VorfÀlle weist das BSI auf die bestehende besondere Bedrohung hin.
MaĂnahmen
1. Schutz vor PrimĂ€r-Infektionen (siehe bestehende Empfehlungen zu „Emotet“)
2. ĂberprĂŒfung von Verbindungen von Dienstleistern zu Kunden
Unternehmen, die eine Malware-Infektion erlitten haben, sollten GeschĂ€ftspartner oder Kunden zeitnah ĂŒber den Vorfall informieren und auf mögliche zukĂŒnftige Angriffsversuche per E-Mail mit gefĂ€lschten Absenderadressen Ihrer Organisation hinweisen.
Um sicherzugehen, dass die Unternehmen nicht selbst durch einen GeschĂ€ftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern ĂŒberprĂŒft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. ĂŒber existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.
3. Schutz vor Ransomware
GrundsÀtzlich gilt: Das BSI rÀt dringend davon ab, auf etwaige Forderungen der TÀter einzugehen.
Es sollte sichergestellt sein, dass regelmĂ€Ăig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die IntegritĂ€t und VerfĂŒgbarkeit der vorhandenen Backups zu schĂŒtzen, sollten diese zusĂ€tzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.
AusfĂŒhrlichere Informationen zum grundsĂ€tzlichen Schutz vor Ransomware-Angriffen können den weiteren Publikationen des BSI entnommen werden (Allianz fĂŒr Cybersicherheit: „Schutz vorRansomware v2.0“, Bundesamt fĂŒr Sicherheit in der Informationstechnik: „Ransomware – Bedrohungslage, PrĂ€vention & Reaktion“, Bundesamt fĂŒr Sicherheit in der Informationstechnik: „Lagedossier Ransomware“).
Die Meldestelle des Nationalen IT-Lagezentrums und die Meldestelle der Allianz fĂŒr Cyber-Sicherheit stehen Unternehmen ebenfalls zur VerfĂŒgung.
Quelle: BSI
