Derzeit sind zahlreiche täuschend echt aussehende Microsoft-Betrugsmails im Umlauf, die behaupten, dass das eigene Passwort demnächst abläuft. Betroffene sollten auf keinen Fall ihr Passwort unter dem angegebenen Link eingeben.Gemäss der Melde- und Analysestelle Informationssicherung MELANI häufen sich seit Januar 2019 die Meldungen über Ransomware-Angriffe auf Unternehmen. Seit anfangs Juli handelt es sich um eine neue Art von Angriffen, die auch diverse namhafte Schweizer Unternehmen betrifft.
Das Wichtigste in Kürze
- Ransomware sind Schadprogramme, die Dateien verschlüsseln.
- Mit einer neuen Art von Angriffen werden Daten von Schweizer Unternehmen grossflächig verschlüsselt.
- Ein Verschlüsselungstrojaner kann auch auf andere Geräte übergehen, die damit verbunden sind.
- Mit einigen Vorsichtsmassnahmen lässt sich das Risiko eines Angriffs schmälern.
- Bei einem Angriff sollte sofort gehandelt werden, um weitere Schäden zu verhindern.
Definition
Als Ransomware (auch «Verschlüsselungstrojaner» oder «Erpressungstrojaner») werden Schadprogramme bezeichnet, durch die die Dateien auf einem Computer und allen damit verbundenen Netzlaufwerken verschlüsselt und somit unbrauchbar gemacht werden. Im Anschluss daran erscheint ein gesperrter Bildschirm, der den Nutzer auffordert, Lösegeld zu bezahlen, um die Dateien wieder zu entschlüsseln.
Neue Vorgehensweise
Seit anfangs Juli bedienen sich die Angreifer einer neuen Vorgehensweise. Gemäss der Melde- und Analysestelle Informationssicherung MELANI sind bisher die folgenden Angriffsszenarien bekannt:
- Die Angreifer versenden gezielt E-Mails an Schweizer Unternehmen, die entweder einen schädlichen Dateianhang oder einen Link zu einer bösartigen Webseite beinhalten.
- Die Zugänge zu infizierten Computern werden online zum Kauf angeboten. Die Käufer, in der Regel kriminelle Organisationen, infiltrieren daraufhin das Netzwerk des Unternehmens grossflächig.
- Die Angreifer suchen das Internet gezielt nach offenen VPN- und Terminal-Servern ab und versuchen darauf Zugriff zu erhalten.
All diesen Vorgehensweisen ist gemeinsam, dass jeweils zusätzliche Werkzeuge benutzt werden, um die nötigen Zugriffsrechte zu erlangen, woraufhin eine Ransomware auf dem System installiert wird.
Auswirkungen und Gefahren
Durch die Verschlüsselung der Dateien werden diese für den Nutzer unbrauchbar. Dabei sind jedoch nicht nur die Dateien betroffen, die sich auf dem jeweiligen Computer befinden, sondern die Ransomware kann auch Dateien verschlüsseln, die sich auf einer angeschlossenen Festplatte, einem verbundenen Server oder in einer verknüpften Cloud befinden. Über diesen Weg ist es ausserdem möglich, dass der Verschlüsselungstrojaner weitere Computer desselben Netzwerks befällt.
Obwohl die Versuchung gross ist, das Lösegeld zu bezahlen, sollten Sie dies vermeiden. Dadurch entstünde Ihnen nicht nur ein hoher finanzieller Schaden, sondern es gibt leider auch keine Garantie dafür, dass Sie den Schlüssel für die Entschlüsselung daraufhin auch wirklich erhalten. Zudem würden dadurch die Kriminellen unterstützt, sodass sie ihre Infrastruktur ausbauen und weitere Angriffe durchführen könnten.
Vorbeugung
Ein Ransomware-Angriff kann jeden treffen. Dennoch lässt sich das Risiko mit einigen Vorsichtsmassnahmen minimieren:
- Führen Sie regelmässig Datensicherungen durch. Falls Sie dazu eine Festplatte nutzen, trennen Sie diese auf jeden Fall nach dem Backup vom Computer. Ansonsten kann der Trojaner auch die Datensicherung verschlüsseln. Bei Cloud-Backups sollten Sie darauf achten, dass sie für eine Ransomware nicht zugreifbar sind, beispielsweise durch eine Zweifaktor-Authentifizierung.
- Prüfen Sie bei einem Backup, ob die Daten zuverlässig gesichert werden und testen Sie deren Wiederherstellung, sodass Sie im Bedarfsfall rasch reagieren können.
- Achten Sie darauf, dass sowohl Ihre Programme als auch Ihr Betriebssystem stets auf dem aktuellen Stand sind. Nutzen Sie hierzu auch die Funktion der automatischen Updates.
- Nutzen Sie die Zweifaktor-Authentifizierung auch für alle vom Internet erreichbaren Ressourcen, insbesondere für Terminal-Server, RAS- und VPN-Zugänge und stellen Sie Terminal-Server hinter ein VPN-Portal.
- Prüfen Sie das Ereignisprotokoll Ihres Antivirus-Programms auf Unregelmässigkeiten.
- Blockieren Sie den Empfang von gefährlichen Mail-Anhängen auf Ihrem E-Mail Gateway. Dazu gehören beispielsweise Dateien mit den Endungen .js oder .exe, aber auch Office-Dokumente mit Makros. Eine Liste der Dateiendungen von potenziell gefährlichen Anhängen finden Sie beim Swiss Government Computer Emergency Response Team GovCERT unter https://www.govcert.ch/downloads/blocked-filetypes.txt
Massnahmen im Falle eines Angriffs
Im Falle eines Angriffs ist rasches Handeln notwendig.
- Trennen Sie betroffene Geräte umgehend von allen Netzwerken und schalten Sie sie aus.
- Eine anschliessende Neuinstallation des Systems ist unumgänglich.
- Ändern Sie ausserdem alle Passwörter.
- Falls Sie eine Datensicherung besitzen, können Sie nach der Neuinstallation Ihre Daten wiederherstellen. Ansonsten sollten die verschlüsselten Daten aufbewahrt werden. So können Sie sie möglicherweise später wieder entschlüsseln, falls hierzu eine Lösung gefunden wird.
- Melden Sie den Vorfall der Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK und erstatten Sie Anzeige bei der Polizei.
Empfohlene Links zu diesem Thema
- Offizielle Medienmitteilung der Melde- und Analysestelle MELANI
- Blogpost des Swiss Government Computer Emergency Response Team GovCERT mit detaillierten Informationen zur neuen Vorgehensweise der Angreifer (englisch)
- Meldeformular der Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK für Betroffene eines Angriffs oder Missbrauchs
- Medienmitteilung der Kantonspolizei Zürich über vermehrte Ramsomware-Fälle im Kanton Zürich