BSI warnt vor gezielten Ransomware-Angriffen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verstärkt Netzwerkkompromittierungen bei Unternehmen registriert, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden.
Mit ihrem Vorgehen verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus, wie das BSI in seinem Schreiben betont. Dabei käme es teilweise zu erheblichen Störungen der Betriebsabläufe. Laut BSI können Angreifer durch dieses aufwändige Vorgehen deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen seien zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.
Auch kleine IT-Sicherheitsvorfälle ernst nehmen
„Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für Cyber-Sicherheit unterstützen“, so BSI-Präsident Arne Schönbohm.
Bedrohungslage
Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten grossangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. „Trickbot“) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion seien teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei seien wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden, so das BSI.
Über Fernwartungstools Zugriff verschafft
Insbesondere in Deutschland seien diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen hätten die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potenzielle weitere Opfer ausgespäht und schliesslich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter seien bereits erfolgt.
Allfällige Vorkommnisse in der Schweiz können der Melde- und Analysestelle Informationssicherung MELANI mitgeteilt werden.
