Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anstieg der Ransomware-Angriffe bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten.
Dabei werden wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt. Warnungen der Landeskriminalämter sind erfolgt. Die Angreifer verschaffen sich zunächst mittels breit angelegter Spam-Kampagnen wie Emotet Zugang zu Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer Back-ups zu manipulieren oder zu löschen und bringen dann Ransomware auf den Computersystemen aus. Dies führt teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das beschriebene Vorgehen kann derzeit mit mehreren Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer Infektion wurde häufig weitere Malware (z.B. „Trickbot“) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware „Gand Crab“ beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, Rescue Assist, Log MeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potenzielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht.
Das BSI verzeichnet 2018 deutlich mehr IT-Sicherheitsvorfälle als 2017. Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Solche Angriffe seien bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten gewesen. Da die Angreifer sich zunächst über groß angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primärinfektion (z.B. mit Emotet) später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potenziell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern. Das BSI rät deshalb, dass Unternehmen auch kleine IT-Sicherheitsvorfälle ernst nehmen, da es sich dabei um vorbereitende Angriffe handeln kann. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden.
(Mitglieder von cci Wissensportal lesen weiter auf Seite 2.)
Artikelnummer: cci70129
Jede Art der Vervielfältigung, Verbreitung, öffentlichen Zugänglichmachung oder Bearbeitung, auch auszugsweise, ist nur mit gesonderter Genehmigung der cci Dialog GmbH gestattet.