Gezielte Ransomware-Angriffe auf Unternehmen

Das BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Anschließend versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen selektiv bei vielversprechenden Zielen koordiniert Ransomware aus.

Angreifer betreiben immer größeren Aufwand, um Firmen gezielt mit Ransomware zu infizieren.

Durch dieses aufwendige Vorgehen können Angreifer laut BSI [1] deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen.



Angreifer stellen individuelle Forderungen



So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (beispielsweise "Trickbot") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk beziehungsweise die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.



Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (etwa RDP, RescueAssist oder LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.



Auch Geschäftspartner informieren



Neben dem Schutz vor Malware-Infektionen selbst [2] sollten Unternehmen, die eine Infektion erlitten haben, Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen. Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst etwa über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.



Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.