Meldung

Gezielte Ransomware-Angriffe auf Unternehmen

Das BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Anschließend versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen selektiv bei vielversprechenden Zielen koordiniert Ransomware aus.
Angreifer betreiben immer größeren Aufwand, um Firmen gezielt mit Ransomware zu infizieren.
Durch dieses aufwendige Vorgehen können Angreifer laut BSI [1] deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen.

Angreifer stellen individuelle Forderungen

So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (beispielsweise "Trickbot") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk beziehungsweise die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (etwa RDP, RescueAssist oder LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.

Auch Geschäftspartner informieren

Neben dem Schutz vor Malware-Infektionen selbst [2] sollten Unternehmen, die eine Infektion erlitten haben, Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen. Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst etwa über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.
25.04.2019/dr

Tipps & Tools

Tracking unterbinden [8.11.2019]

Unternehmen verwenden zunehmend Fremdbibliotheken, um Inhalte auf ihren Webseiten darzustellen. Das Blockieren von Ads auf diesen Seiten ist in der Regel kein Problem, aber bei Trackern wird es schon schwieriger. "Decentraleyes" ist ein Firefox-Add-on, dass Schutz vor Tracking bietet. Das Tool vermeidet Anfragen an Dritte, indem es Bibliotheken lokal bereitstellt. [mehr]

Registry-Backup anlegen [7.11.2019]

Vor Windows 10 Version 1803 wurden Sicherungen der Registry-Zweige automatisch im RegBack-Verzeichnis angelegt. Microsoft arbeitet derzeit mit Recovery-Punkten für das Wiederherstellen eines Systems mitsamt der Registry. Viele ITler wünschen sich in diesem Bereich jedoch mehr Freiheit. Mit ein paar Eingriffen im System ist ein gesondertes Backup weiterhin möglich. [mehr]

Fachartikel

Endpunktesicherheit beim Flachdach-Anbieter [23.10.2019]

Ein hoher Administrationsaufwand und nicht zu ignorierende Performance-Einbußen waren der Grund, warum sich die FDT Flachdach Technologie dazu entschlossen hat, ihre bestehende Endpunktschutzsoftware zu ersetzen. In der neuen Endpoint-Protection-Plattform fanden die IT-Verantwortlichen eine Alternative, die ihnen diverse Vorteile bietet: eine bedienfreundliche Konsole, unkomplizierte Rollbacks und ein automatischer Shutdown befallener Systeme. Der Anwenderbericht beschäftigt sich mit den Details. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen