09.05.19
Verschlüsselungs-Trojaner greifen Schweizer KMU's an
Die Angreifer greifen vermehrt Schweizer KMU's an. Dabei suchen sie gezielt nach schwach geschützten Servern (Benutzername und Passwort). Haben sie erst einmal Zugang, werden die Daten verschlüsselt. Zeitgleich trifft eine Lösegeldforderung der Erpresser ein, um die Daten wieder zu entschlüsseln.
Die Angriffsmethoden
- Angriff über das Internet auf schwach geschützte Serverinfrastrukturen
- Gezielter Versand von Phishing E-Mails an Mitarbeiter
- Ausnutzen von Schwachstellen von nicht gepatchten Betriebssystemen
- Kauf von Zugangsdaten zu Servern im Darknet
E-Mail Screenshot
Massgeschneidertes Email an ausgespähten KMU-Vertreter
Vorgehensweise
Nachdem der Angreifer Zugang zum Netzwerk des Opfers erhalten hat, wird die Struktur analysiert. Ist diese den Angreifern bekannt, wird je nach eingesetztem Verschlüsselungs-Trojaner entweder versucht, das ganze Netzwerk zu infiltrieren (z.B. LockerGoga) oder weitere Zugangsdaten zu finden. Hat der Angreifer Administratorrechte erlangt, wird aktuelle Verschlüsselungs-Software eingesetzt und die Daten werden verschlüsselt.
Bekannte Malware
- Emotet: auch bekannt als Heodo, wird als initialer Dropper genutzt, um später andere Malware nachzuladen
- Trickbot: Nutzt die bekannte Lücke "Eternal Blue" von nicht gepatchten Systemen
- Ryuk: Wird für massgeschneiderte Angriffe auf ein spezifisches Unternehmen genutzt
- LockerGoga: Die Täterschaft versucht zuerst einen Fuss in die Netzwerkarchitektur des Unternehmens zu bekommen. Anschliessend wird die Malware auf möglichst vielen Teilen der Infrastruktur verteilt.
Hackerangriff beim Aluminium-Riesen Norsk Hydro
Der norwegische Aluminiumhersteller Norsk Hydro wurde von einem Cyberangriff getroffen. Die IT-Systeme wurden von einem Lösegeld-Trojaner teilweise lahmgelegt.
Gegenmassnahmen
- Backups der Systeme müssen offline aufbewahrt werden. Ist dies nicht der Fall, kann auch das Backup verschlüsselt werden.
- Backups müssen separat regelmässig auf ihre Unverseuchtheit getestet werden.
- Verschiedene Generationen von Backups offline aufbewahren
- Kritische Daten nur auf WORM Geräten im Netzwerk zur Verfügung stellen (Write Only Read Many)
- Sicherstellen, dass ein unverseuchtes Backup in vernünftiger Zeit wieder eingespielt werden kann