Neue Qualität von Angriffen – das macht Angst!

Derzeit sind wieder viele Angriffe auf Netzwerke und einzelne Computer im Umlauf. Doch die Qualität von Angriffen und gefälschten E-Mail ist erschreckend! Wir geben einige Informationen hierzu und erklären, wie man sich und die Mitarbeiter in Unternehmen schützen kann.

 

Ausgangslage

Seit dem Jahr 2016 nimmt der Einsatz von Erpressungstrojanern zu. Diese Ransomeware verschlüsselt alle Daten von Systemen, damit diese nicht mehr zu gebrauchen sind. Die Auswirkung ist natürlich, dass die IT-Systeme der User beeinträchtigt werden und der Zugriff auf die wichtigen Daten schwindet. Somit werden die Besitzer erpresst. Hierbei nutzen die Angreifer eine Fehlbedienung der User, falsche Konfigurationen von Systemen und alte Software-Patch-Stände aus. Um die Daten entsperren zu lassen, werden oft Lösegeld-Forderungen über elektronische Währung verlangt, wie beispielsweise Bitcoin.

 

Qualität von Angriffen steigt

In letzter Zeit werden bei Cyber-Crime Angriffen mit stark verbesserten Methoden gearbeitet. Das führt natürlich dazu, dass die Bedrohungslage sehr stark ansteigt. Hierbei werden nicht nur Privatpersonen angegriffen, sondern ein großes Augenmerk liegt bei Firmen und Unternehmen, egal wie groß. Schlimm wird es bei Krankenhäusern, aber auch generell bei KRITIS-Unternehmen wie Stadtwerke, beziehungsweise generell Versorgungsunternehmen.

 

Social Engineering wird perfektioniert

Vor allem die Schadsoftware EMOTET wird verbreitet, welche die Daten der Nutzer unwiderruflich verschlüsselt. Hierbei werden so genannte „Social Engineering“-Techniken verwendet. In erster Linie werden Absender-Adressen bei Mails verändert, meistens von Absendern die die Nutzer kennen. Aber es werden auch Mail abgefangen, und auf diese Mail von einem anderen Absender geantwortet. Hier werden in den Antworten oft Inhalte vorangegangener Mails zitiert, oder direkt darauf geantwortet. So werden die E-Mails natürlich für die Leser vertrauenswürdig. Dies führt natürlich dazu, dass infizierte Dokumente oft geöffnet werden und so der Schädlich auf den Computer geladen wird.

 

Angriffstechniken werden immer besser

Die Schadsoftware ist oftmals nicht sofort zu erkennen, denn EMOTET lädt im Nachhinein einen TRICKBOT aus dem Internet nach. Dieser Schädling ist sehr fortschrittlich und befällt das ganze Netzwerk des Benutzers. Je nach Rechte des betroffenen Users kann sogar das komplette Active Directory befallen werden. Somit kann das simple öffnen einer Word-Datei das komplette Unternehmen lahm legen. Oft werden dann Administrator-Benutzer angelegt, welche alle mögliche Daten und Dokumente des Unternehmens auslesen.vSo wird Wirtschafts-Spionage betrieben.

 

Informationen werden gesammelt

Die Schadsoftware späht Informationen über Benutzer-Accounts, Systeme, Software und viele weitere Daten aus. Diese werden dann über das Internet an die Angreifer übermittelt. Anhand dieser Daten wird dann oft entschieden, ob es sich lohnt den Angriff fortführen zu lassen, oder ob man vom Opfer ablässt. Da die Schadsoftware auch einen Fernzugriff für die Angreifer mit installiert, ist es für diese ein Kinderspiel. Hierdurch können weitere und gezieltere Informationen abgerufen werden. Da ein solcher Zugriff erst nach zwei bis drei Wochen nach Infektion gemacht wird, wird eine Infektion erst sehr spät bemerkt.

 

Verschlüsselung von Systemen

Natürlich wollen Angreifer immer Geld verdienen. Die Vorgehensweise ist hierbei recht simpel. Stellen die Angreifer fest, dass es sich um ein wirtschaftlich starkes Unternehmen handelt und sie viele Daten verschlüsseln können, so wird das gemacht. Denn sind die Daten verschlüsselt, kommt eine Aufforderung zum Zahlen von Lösegeld. Wenn dieses bezahlt wurde, wird oft (nicht immer) der Entschlüsselungscode heraus gegeben. In der Regel sind diese Forderungen an die Unternehmen oft 6-stellige Euro-Beträge, welche als Bitcoins bezahlt werden sollen.

 

Schadenswirkung

Infizierung einzelner Clients

Wird die Infektion von einzelnen Rechnern festgestellt, kann mit einer schnellen und geeigneten Maßnahme schlimmeres verhindert werden. Solch ein Computer sollte sofort vom Netzwerk entfernt werden, am Besten durch das ziehen von Netzwerkkabeln. Da EMOTET über sehr geeignete Maßnehmen gegen Viren-Scannern verfügt ist es zu empfehlen den Client sofort zu formatieren.

 

Bei vollständiger Übernahme des Netzwerks

Ist das komplette Netzwerk durch die Täter befallen worden, ist es empfehlenswert die komplette Infrastruktur parallel neu aufzubauen. Auch vermutlich nicht befallene Server und Clients sind nicht mehr vertrauenswürdig.

 

Backups vorhanden

Hat man eine Offline-Datensicherung kann man sich glücklich schätzen. Denn wenn das Netzwerk bereinigt wurde, oder wieder neu installiert wurde, so können die Backups zurück gespielt werden. Wiederum ist empfehlenswert alle Backups einzuspielen.

 

Backups sind nicht vorhanden / verschlüsselt

Wenn es keine Backups gibt, da diese nicht erstellt wurden, oder ebenfalls verschlüsselt wurden, so hilft nur eins: Arbeit, Arbeit, Arbeit. Das kann natürlich von Wochen bis zu Monaten dauern das Netzwerk aufbauen zu können.

 

Vorsorgemaßnahmen, auch wenn die Qualität von Angriffen sehr hoch ist

Um sich zu schützen, oder Vorbereiten zu können, sind folgende Maßnahmen empfehlenswert:

  • Notfall-Handbücher und Sicherheitskonzepte erstellen
  • Eingrenzung von Rechten für spezielle Benutzer
  • Verschiedene Netzwerk-Segmente einrichten
  • Backup-Strategie und Offline-Backups in Tresore
  • Software immer auf den aktuellen Stand patchen
  • Schulung von Mitarbeitern, wie gefälschte Mail erkannt werden können

 

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments