![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenstart eine weitere Sicherheitsmeldung. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat am 24. April 2019 eine Warnung vor verst\u00e4rkten Ransomware-Angriffen auf Unternehmen herausgegeben. <\/p>\nZum Wochenstart eine weitere Sicherheitsmeldung. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat am 24. April 2019 eine Warnung vor verst\u00e4rkten Ransomware-Angriffen auf Unternehmen herausgegeben. <\/p>\n
<\/p>\n
Der Hintergrund: Derzeit registriert das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) verst\u00e4rkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausf\u00fchrung eines Verschl\u00fcsselungstrojaners (Ransomware) enden. <\/p>\n
Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zun\u00e4chst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu l\u00f6schen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. <\/p>\n
Dabei kommt es teilweise zu erheblichen St\u00f6rungen der Betriebsabl\u00e4ufe. Durch dieses aufw\u00e4ndige Vorgehen k\u00f6nnen Angreifer deutlich h\u00f6here L\u00f6segeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. <\/p>\n
Neben einzelnen Unternehmen sind zunehmend auch IT<\/abbr>-Dienstleister betroffen, \u00fcber deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat \u00fcber CERT-Bund und die Allianz f\u00fcr Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen. BSI-Pr\u00e4sident Arne Sch\u00f6nbohm sagt dazu:<\/p>\n Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalit\u00e4t, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorf\u00e4lle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren k\u00f6nnen. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz f\u00fcr Cyber-Sicherheit unterst\u00fctzen. IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden.<\/p>\n<\/blockquote>\n Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten gro\u00dfangelegte Malware-Kampagnen analysieren, bei denen vor allem malizi\u00f6se Anh\u00e4nge oder Links zu gef\u00e4lschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde h\u00e4ufig weitere Malware (z.B. \"Trickbot\") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw.<\/abbr> die Systeme auszuwerten. <\/p>\n Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden. <\/p>\n Insbesondere in Deutschland ist diese Vorgehensweise verst\u00e4rkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten F\u00e4llen haben die Angreifer sich zun\u00e4chst \u00fcber Fernwartungstools (z.B.<\/abbr> RDP<\/abbr>, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgesp\u00e4ht und schlie\u00dflich die Ransomware zur Ausf\u00fchrung gebracht. Entsprechende Warnungen der Landeskriminal\u00e4mter sind bereits erfolgt. <\/p>\n Zur Bewertung: Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgef\u00fchrte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind insbesondere die folgenden drei Aspekte zu ber\u00fccksichtigen.<\/p>\n Aufgrund der aktuellen Zunahme solcher Vorf\u00e4lle weist das BSI<\/abbr> auf die bestehende besondere Bedrohung hin. <\/p>\n Unternehmen sollten folgende zwei Punkte als vorbeugende Ma\u00dfnahmen veranlassen. <\/p>\n 1. Schutz vor Prim\u00e4r-Infektionen (siehe bestehende Empfehlungen zu \"Emotet\")<\/p>\n 2. \u00dcberpr\u00fcfung von Verbindungen von Dienstleistern zu Kunden<\/p>\n Unternehmen, die eine Malware-Infektion erlitten haben, sollten Gesch\u00e4ftspartner oder Kunden zeitnah \u00fcber den Vorfall informieren und auf m\u00f6gliche zuk\u00fcnftige Angriffsversuche per E-Mail mit gef\u00e4lschten Absenderadressen Ihrer Organisation hinweisen.<\/p>\n Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Gesch\u00e4ftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern \u00fcberpr\u00fcft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, k\u00f6nnten die Angreifer sonst z.B. \u00fcber existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen. <\/p>\n 3. Schutz vor Ransomware<\/p>\n Grunds\u00e4tzlich gilt: Das BSI r\u00e4t dringend davon ab, auf etwaige Forderungen der T\u00e4ter einzugehen.Es sollte sichergestellt sein, dass regelm\u00e4\u00dfig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden k\u00f6nnen. Um die Integrit\u00e4t und Verf\u00fcgbarkeit der vorhandenen Backups zu sch\u00fctzen, sollten diese zus\u00e4tzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden. <\/p>\n Ausf\u00fchrlichere Informationen zum grunds\u00e4tzlichen Schutz vor Ransomware-Angriffen k\u00f6nnen den weiteren Publikationen des BSI entnommen werden: <\/p>\n Allianz f\u00fcr Cybersicherheit: \"Schutz vor Ransomware v2.0 Die Meldestelle des Nationalen IT<\/abbr>-Lagezentrums und die Meldestelle der Allianz f\u00fcr Cyber-Sicherheit stehen Unternehmen ebenfalls zur Verf\u00fcgung.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenstart eine weitere Sicherheitsmeldung. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat am 24. April 2019 eine Warnung vor verst\u00e4rkten Ransomware-Angriffen auf Unternehmen herausgegeben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-217424","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217424","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217424"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217424\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Die Bedrohungslage laut BSI<\/h2>\n
Anhang: Bewertung und Ma\u00dfnahmen<\/h2>\n<\/p>\n
\n
Da die Angreifer sich zun\u00e4chst \u00fcber gro\u00df-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Prim\u00e4r-Infektion (z.B.<\/abbr> mit \"Emotet\") sp\u00e4ter weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau gepr\u00fcft werden, welche Zugangsdaten potentiell abgeflossen sein k\u00f6nnten und Ma\u00dfnahmen ergriffen werden, die eine sp\u00e4tere R\u00fcckkehr des Angreifers verhindern. <\/li>\n
Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgef\u00fchrten Angriffe einen deutlich h\u00f6heren Arbeitsaufwand f\u00fcr die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U.<\/abbr> Backups so manipulieren bzw.<\/abbr> l\u00f6schen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verf\u00fcgung stehen, k\u00f6nnen die Angreifer wesentlich h\u00f6here L\u00f6segeldbetr\u00e4ge fordern. Unternehmen, die \u00fcber keine Offline-Backups verf\u00fcgen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI<\/abbr> sind mehrere F\u00e4lle bekannt, bei denen die Verschl\u00fcsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben. <\/li>\n
Das BSI<\/abbr> beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.<\/li>\n<\/ol>\nDas BSI schl\u00e4gt folgende Ma\u00dfnahmen vor<\/h3>\n<\/p>\n
Bundesamt f\u00fcr Sicherheit in der Informationstechnik: \"Ransomware – Bedrohungslage, Pr\u00e4vention & Reaktion\"<\/a>,
Bundesamt f\u00fcr Sicherheit in der Informationstechnik: \"Lagedossier Ransomware\"<\/a> <\/p>\n