header-placeholder


image header
image
neu

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Mittwoch, den 24. April 2019


Bonn, 24. April 2019. Derzeit registriert das Bundesamt für Sicherheit in der
Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei
Unternehmen, die mit der manuellen und gezielten Ausführung eines
Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die
Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang
zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und
Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Back-ups zu
manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden
Zielen koordiniert Ransomware auf den Computersystemen aus. Dabei kommt es
teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses
aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an
die Unternehmen stellen, als es bei bisherigen ungezielten
Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend
auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann
Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die
Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen
Details und Handlungsempfehlungen ausgesprochen.

„Wir erleben derzeit die massenhafte Verbreitung von raffinierten
Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen
Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen
sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent
begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln
kann. Nur wenn wir Informationssicherheit als Voraussetzung der
Digitalisierung begreifen, werden wir langfristig von ihr profitieren können.
Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für
Cyber-Sicherheit unterstützen. IT-Sicherheit muss zum neuen Made in Germany
in der Digitalisierung werden“, so BSI-Präsident Arne Schönbohm (Foto).


Bedrohungslage

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen
Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten
Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem
maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft
versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen
Infektion wurde häufig weitere Malware (z.B. "Trickbot") nachgeladen, um sich
im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die
Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind
teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind
wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle
Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der
Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die
Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist,
LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im
Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer
ausgespäht und schließlich die Ransomware zur Ausführung gebracht.
Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.


Bewertung und Maßnahmen


Bewertung

Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen
Angriffstechniken verwendet werden, waren derartig gezielte und manuell
ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten.
Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen:

1. Jede einfache Infektion kann zu einem gezielten Angriff führen
Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele
Netzwerke verschaffen, kann jede Primär-Infektion (z.B. mit Emotet) später
weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen
werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen
sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des
Angreifers verhindern.

2. Es droht ein kompletter Datenverlust
Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen,
bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren
Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere
Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese
nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die
Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über
keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups,
selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere
Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der
Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die
betroffenen Unternehmen alle Daten verloren haben.

3. Gefahr für deutsche Unternehmen steigt
Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit
teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche
Gruppen unterschiedliche Ransomware und Tools verwendet. Aufgrund der
aktuellen Zunahme solcher Vorfälle weist das BSI auf die bestehende besondere
Bedrohung hin.


Maßnahmen

1. Schutz vor Primär-Infektionen (siehe bestehende Empfehlungen zu Emotet
[https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html])

2. Überprüfung von Verbindungen von Dienstleistern zu Kunden
Unternehmen, die eine Malware-Infektion erlitten haben, sollten
Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf
mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten
Absenderadressen Ihrer Organisation hinweisen. Um sicherzugehen, dass die
Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister
infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von
externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst
Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über
existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

3. Schutz vor Ransomware
Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der
Täter einzugehen.
Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt
werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die
Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten
diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment
gespeichert werden.