Cyber Attacken: Wenn ihr Rechner „o’zapft is“
Es klingt perfid, doch Cyber-Kriminelle und Hacker zielen vermehrt auf mitteleuropäische Spitäler, Detailhändler und andere bestimmte KMU-Sektoren wie eine Case Study von proofpoint.com unterstreicht. Die Hacker legen nicht nur an bestimmten Zeiten Spitäler lahm, sie scheinen zu bestimmten gesellschaftlichen Events relevante Rechner anzuzapfen.
Checkliste
Unabhängig von ihrer geografischen Lage können Firmen und Einzelpersonen verschiedene Massnahmen ergreifen, um Infektionen und finanziellen Verlusten vorzubeugen:
1. Seien Sie wachsam, wenn Sie E-Mail-Nachrichten lesen, die Links oder Anhänge enthalten.
Die meisten der hier beschriebenen Kampagnen stützten sich auf Social Engineering, um die Anwender dazu zu verleiten, sich mit Malware zu infizieren, obwohl ihre Systeme wahrscheinlich Sicherheitswarnungen angezeigt haben dürften, während oder bevor sie die schädlichen Dateien öffnen.
2. Aktivieren Sie niemals Makros in Dokumenten, die per E-Mail eingegangen sind.
Führen Sie niemals ausführbare Dateien aus, die mit einer E-Mail-Nachricht verlinkt sind, wenn Sie nicht absolut sicher sind, dass die Nachricht authentisch ist. Führen Sie regelmässige, häufige Backups durch, die wiederhergestellt werden können, statt ein Lösegeld zu zahlen, um verschlüsselte Daten wieder zu entsperren.
3. Firmen sollten auch in entsprechende Sicherheitstechnologien investieren, um ihre Mitarbeiter zu schützen.
KMU sind besonders gefährdet, da deren Bankdaten oft in privaten E-Mail Konten angegeben werden und daher ein Ziel mit höherer Priorität für Angreifer darstellen. KMU haben bei einem Ransomware-Angriff auch mehr zu verlieren. Grössere Mitarbeiterzahlen erhöhen jedoch die Chancen für eine erfolgreiche Infektion.
Ransomware ist inzwischen zu einer illegalen, aber millionenschweren Branche angewachsen. Seit Kurzem ist Mitteleuropa Ziel für eine der stärksten Ransomware-Varianten sowie für eine ungewöhnliche Variante geworden. Früher in diesem Jahr wurden zum Beispiel mehrere Krankenhäuser in Deutschland gezwungen, Operationen zu verschieben und eine Vielzahl angeschlossener Geräte abzuschalten, als sie von Ransomware getroffen wurden.
Wie bei Banking-Trojanern liegen die Verluste weit über den direkten Kosten einer Lösegeldzahlung oder der Säuberung von Computer-Viren. Eine aktuelle Übersicht.
Ransomware Petya
Obwohl sie nicht so bekannt ist wie ihre berühmten Ransomware-Vettern – seien es Locky, Cerber, CryptXXX oder Cryptowall -, hat die Ransomwarefamilie Petya in letzter Zeit mit dem Zielgebiet Mittel- und Osteuropa auf sich aufmerksam gemacht. In Deutschland wurde die Ransomware Petya seltsamerweise nur in halbherzigen Nachahmerattacken beobachtet.
Die Ransomware Petya verschlüsselt die Dateien nicht einzeln wie viele andere Ransomware Varianten. Stattdessen verwendet sie einen speziellen Bootloader und einen sehr kleinen Kernel (Betriebssystem), um die Master-Dateitabelle auf der Festplatte einzuschleusen und zu verschlüsseln. Petyas Schreibroutine überschreibt tatsächlich den Master Boot Record mit dem eigenen Kernel.
Infizierte Systeme werden dann neu gestartet und die Benutzer bekommen Bildschirmseiten wie in der Abbildung zu sehen.
Ransomware Locky
Locky kursiert seit Februar 2016 meistens als fingierte, grossvolumige E-Mail-Kampagnen. Darin wird die Locky Ransomware portiert, die mit den Bedrohungsakteuren von Dridex in Zusammenhang gebracht werden. Im dritten Quartal 2016 machten die verteilten E-Mail-Nachrichten mehr als 95% der von Proofpoint überwachten weltweiten bösartigen E-Mail-Volumen aus.
So wurde beispielsweise mit einer solchen Ransonware folgende neutrale E-mail verschickt: Service@kids-party-world.de mit dem Betreff „Ihre Bestellung ist auf dem Weg zu ihnen! – „OrderID 654321“ und der Anhang „invoice_12345.zip“ (beides mit zufälligen Ziffern) lagen dem E-Mail bei.
Ebenso taucht ein „John.doe123@[Zufallsdomain]“(Zufallsname, 1-3-stellig) mit dem Betreff „Emailing: _12345_123456“ (Zufallszahlen) und passendem Anhang „_12345_123456.zip“ immer wieder auf! – Die verseuchten Anlagen waren .zip-Archive mit JavaScript (in WSF oder HTA-Dateien), die, wenn sie ausgeführt werden, die Ransomware Locky herunterladen.
Zusammenfassung
Auch wenn Europa derzeit mit anhaltendem finanziellen Druck kämpft, erklären der relative Wohlstand und das gute Geschäftsklima der deutschsprachigen Regionen die jüngsten Steigerungen der Malware-Volumen und -Vielfalt insbesondere in Deutschland und in der Schweiz. proofpoint.com beobachtete hier E-Mail-Attacken mit der Verteilung von deutschen Nachrichten und Lockdokumenten zu mehreren Familien von Ransomware und Banking-Trojanern, einschliesslich Varianten wie Petya (sowie personalisierte Kampagnen für Banking-Trojaner wie Ursnif und Dridex), die anderswo selten sind.
