NEUES AUS DER TECHNIK

Ein unheimlich starkes Trio

Nach kurzer Winterpause sind sie zurück – und haben Verstärkung mitgebracht: Während das in Malspam E-Mails verpackte Trojaner-Duo Emotet und TrickBot bereits diversen Unternehmen Schaden in Millionenhöhe bescherte, gesellt sich jetzt die Ransomware Ryuk dazu und katapultiert diese Art der Cyber-Attacke auf ein ganz neues Niveau.

Bisher hat das BSI nur vereinzelt Meldungen zu Infektionen mit Ryuk erhalten, aber diese hatten es in sich. Ryuk wird nicht massenhaft auf den Mittelstand losgelassen wie ähnliche Schadsoftwares im Jahre 2018. Vielmehr wird er von den Tätern sehr vereinzelt und gezielt auf bereits infizierte Systeme nachgeladen, die zu großen und  – aus Tätersicht – eher zahlungskräftigen Unternehmen gehören. Diese gezielte Vorgehensweise und das geduldige Abwarten der Täter stellt eine Besonderheit von Ryuk und der dahinter agierenden organisierten Kriminalität dar.

So infizieren sich Unternehmensnetzwerke

Ein Artikel auf it-service.networks beschreibt es ganz plakativ: „Der Trojaner Emotet ist quasi der Dietrich, der seinen Mitstreitern die Tür zu Arbeitsplatz und Server öffnet.“ Er installiert sich bei Öffnen des E-Mail-Anhangs selbst und beginnt dann, das gesamte Netzwerk nach Schlupflöcher und Sicherheitslücken auszuspähen. Nun kommt TrickBot zum Einsatz: Er sucht – und findet – Kontozugangsdaten, bevorzugt natürlich jene für Bankkonten. Zu guter Letzt hat dann die Ryuk-Ransomware ihren großen Auftritt. Um an weiteres Geld der Opfer zu gelangen, verschlüsselt Ryuk sämtliche Daten und fordert zur Lösegeld-Zahlung auf, die oftmals erst Monate nach der (noch unbemerkten) Erstinfektion eingeht. Ein cleverer Schachzug, ist doch bei einigen Unternehmen nach einer solchen Zeitspanne keine Wiederherstellung dieser Daten mehr möglich, weil die Aufbewahrungsdauer von Backups überschritten wurde oder Backup-Archive ebenfalls beschädigt sind. Der Worst-Case für alle Unternehmen, die ihre Geschäftsprozesse ohne digitale Ablage nicht mehr aufrechterhalten können. Oftmals löscht die Ransomware identifizierte Backups, sprich lebenswichtige Datensicherungen der Unternehmen, auch komplett.

Ist schnelles Handeln gefragt?

Zunächst einmal besteht kein Grund zur Panik. Weltweit wurden zwar einige Millionen Dollar Lösegeld durch etwa zwanzig betroffene Unternehmen bezahlt. Aufgrund der nicht schätzbaren Dunkelziffer, die sich gegen eine Zahlung entschieden haben, ist der Gesamtumfang jedoch – zumindest global betrachtet – eher gering. Das kann sich allerdings schnell ändern, sobald weitere, heute noch nichts Böses ahnende Unternehmen im Laufe des Jahres entdecken, dass sie ebenfalls betroffen sind und auf kein unbeschädigtes Backup mehr zugreifen können.

Tatsächlich können sich viele Unternehmen vor den Gefahren schützen. Davon abgesehen ist generell ein besserer Schutz zu erwarten, da die bekannt gewordenen Attacken der letzten Jahre zu höherem Problembewusstsein in den IT-Abteilungen geführt haben. Insbesondere ausgeklügelte Datensicherungskonzepte und das Training von Wiederherstellungsvorgängen senken das Risiko enorm.  Allerdings hat die gezielte und geduldige Vorgehensweise der Täter eine neue Qualität, die in Einzelfällen hohe Lösegeldforderungen bewirken könnte, während Vorgänger wie der berühmt-berüchtigte WannaCry eher ein “Massengeschäft” waren, die viele Folgeprobleme außerhalb des eigentlichen Erpressungsvorgangs verursachten.

Was können Unternehmen im Ernstfall tun?

Im Falle einer Infektion sollten Betroffene umgehend ihre Kontakte sowie die IT-Abteilungen von Geschäftspartnern informieren, denn: die üblichen Mailempfänger sind die nächsten potentiellen Opfer. Mit anderen Worten: Zögern ist extrem riskant! Zudem gilt es, sämtliche Passwörter auf allen potentiell betroffenen Systemen zu ändern, Backups sofort zu überprüfen und alte Backups nicht zu überschreiben. Auch sollte ein schreibender Zugriff auf vorhandene Backups unterbunden werden. Nur dann ist eine Wiederherstellung von Daten gegeben. Davon abgesehen gilt: Einen klaren Kopf bewahren. Das betrifft neben diesen ersten Notfallmaßnahmen auch die anschließenden Neuinstallationen von Betriebssystem und Anwendungen. Übereilte Restores aus noch nicht überprüften Sicherungen hingegen sind extrem kontraproduktiv. Hektik führt zu Fehlern, die den Schaden deutlich – und das vollkommen unnötig – vergrößern können.

Sollen wir zahlen?

Kopflosigkeit schadet auf unterschiedlichen Ebenen. Auch von schnellen Lösegeldzahlungen ist grundsätzlich abzuraten, das zumindest bestätigt die Erfahrung mit vergleichbaren Fällen. Oftmals passierte nach den Lösegeldzahlungen nichts, beziehungsweise gab es keine brauchbare Hilfe der Täter. Zudem werden die verursachten Schäden nicht allein von verschlüsselten Daten verursacht, sondern sind oft nur mittelbare Folgen der Systemstörungen. Diese Störungen lösen sich daher auch nicht mit Zahlung der geforderten Lösegelder in Luft auf.

Bevor bei einem Erpressungsfall also eine Entscheidung pro oder contra einer Lösegeldzahlung getroffen werden kann, sollten immer entsprechende Experten zu Rate gezogen werden. So kann es nach einer gründlichen Analyse in Ausnahmefällen tatsächlich sinnvoll sein, auf die Erpressung einzugehen, beispielsweise im Falle eines ruinösen Datenverlustes. In der Regel jedoch ist eine Zahlung nicht zielführend.

Wer steckt hinter Ryus?

Auch wenn in den Medien einige Vermutungen zitiert werden, kann nicht gesichert bestätigt werden, von wo aus die Täter operieren. Meist werden die Angreifer nach Russland verortet, da es in der Vorgehensweise und der Architektur der Schadsoftware einige Parallelen zu Malware russischen Ursprungs gibt. Genauso gut könnte es sich jedoch um Straftäter handeln, die sich entsprechende Ideen bei russischen Cyberkriminellen abgeschaut haben. Geistiger Diebstahl ist schließlich auch unter Verbrechern nicht ungewöhnlich.

Unsere Webseite verwendet Cookies. Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen