tx_animation_image_small_placeholder

Nachrichten

25.04.2019

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Politik & Recht, Technik / IT

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus.

Dabei kommt es teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war.

 

Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.

"Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für Cyber-Sicherheit unterstützen. IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden", so BSI-Präsident Arne Schönbohm.

Bedrohungslage

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. "Trickbot") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrabbeobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.

 

 

 


© 2019 BvDP. Nutzungsbedingungen Alle Rechte vorbehalten.