News

Gezielte Ransomware-Angriffe auf Unternehmen

Das BSI warnt: Jede einfache Infektion kann zu gezieltem Angriff führen

25.04.2019 - Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik verstärkt Kompromittierungen der Netzwerke bei Unternehmen, die mit der manuellen Ausführung eines Versc...

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik verstärkt Kompromittierungen der Netzwerke bei Unternehmen, die mit der manuellen Ausführung eines Verschlüsselungstrojaners enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen.

Die Angreifer versuchen dabei etwaige Back-ups zu manipulieren oder zu löschen und bringen dann bei vielversprechenden Zielen koordiniert Ransomware, also Verschlüsselungstrojaner, auf den Computersystemen aus.

Als Folge kann es zu erheblichen Störungen der Betriebsabläufe kommen. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen, ungezielten Ransomware-Kampagnen der Fall war.

Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.

„Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für Cyber-Sicherheit unterstützen. IT-Sicherheit muss zum neuen ‚Made in Germany‘ in der Digitalisierung werden“, so BSI-Präsident Arne Schönbohm.

Bedrohungslage
Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem Anhänge oder Links zu gefälschten Webseiten in Spam-Mails als Einfallsvektor dienten.

Nach einer erfolgreichen Infektion wurde häufig weitere Malware nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk sowie die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools wie RDP, RescueAssist oder LogMeIn Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.


Bewertung der Lage
Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten.
Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen:

1. Jede einfache Infektion kann zu einem gezielten Angriff führen. Da die Angreifer sich zunächst über groß angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primär-Infektion später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.

2. Es droht ein kompletter Datenverlust. Im Gegensatz zu automatisierten und breit angelegten Ransomware-Kampagnen bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und etwa Backups so manipulieren oder löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich höhere Lösegeldbeträge fordern.
Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, was zum kompletten Datenverlust der betroffenen Unternehmen führte.

3. Die Gefahr für deutsche Unternehmen steigt: Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen verschiedene Ransomware und Tools verwendet. Aufgrund der aktuellen Zunahme solcher Vorfälle weist das BSI auf die bestehende und besondere Bedrohung hin.


Maßnahmen zum Schutz

1. Schutz vor Primär-Infektionen
Hierzu gibt es bereits Empfehlungen zum Schutz vor Emotet.

2. Überprüfung von Verbindungen von Dienstleistern zu Kunden
Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen. Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

3. Schutz vor Ransomware
Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.

Kontakt

BSI - Bundesamt für Sicherheit in der Informationstechnik - Archiv

Godesberger Allee 185 -189
53175 Bonn