Friday, August 2, 2019

Kriminelle Hacker und Erpresser machen keine Sommerpause...

... das mussten letzte Woche auch verschiedene Schweizer Unternehmen feststellen. Wie die Melde- und Analysestelle Informationssicherung MELANI des Bundes dieser Tage mitteilte, wurden verschiedene Firmen Ziel von Angriffen, mit denen unbekannte Angreifer Unternehmensnetzwerke erfolgreich infiltrierten und deren Daten verschlüsselten um sie zu erpressen.

Vorbeugen ist besser als heilen - das gilt auch für Hackerangriffe und Ransom-
ware.                                                                                            Bild Max Pixel
Eine der betroffenen Firmen ist der Bankensoftware-Anbieter Crealogix, der letzten Freitag Opfer einer Phishing-Attacke geworden ist. Die damit eingeschleuste Malware habe "gewisse interne Windows-Arbeitsplätze" lahmgelegt, wie Mediensprecherin Jasmin Epp gegenüber inside-it.ch bestätigte. Kunden von Crealogix, RZ-Dienstleistungen oder der Quellcode der hauseigenen Software seien nicht betroffen gewesen, und man habe den Angriff schnell unter Kontrolle gebracht.
(Wir haben an dieser Stelle kürzlich unter dem Titel  Geld aus der Firmenkasse für kriminelle Erpresser“ zu diesem Thema und zur Frage berichtet, ob auf solche Erpressungsversuche eingegangen werden soll.) 
MELANI hat seit 2016 regelmässig vor der Gefahr von Verschlüsselungstrojanern oder Ransomware gewarnt.  Seit Anfang Juli seien nun aber vermehrt Cyber-Angriffe vermeldet worden, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen. Laut MELANI sind folgende Angriffszenarien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit „Emotet“, „TrickBot“ oder vereinzelt auch „Qbot“ infiziert. Kriminelle Gruppierungen „kaufen“ die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.
  • Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge wie zum Beispiel „Cobalt Strike“ oder „Metasploit“, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware  auf den Systemen platziert, die dann die Daten vollständig verschlüsselt.

Aufgrund der aktuellen Gefahrenlage warnt MELANI Schweizer Unternehmen nun erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen schnellstmöglich umzusetzen: 

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten zum Beispiel auf einer externen Festplatte. Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer oder Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
  • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros. Eine Liste von zu sperrenden Dateianhängen finden Sie hier.

No comments:

Post a Comment