Warnung vor Verschlüsselungs-Trojanern

Transkript

1 LeoSandelStr RottweilGöllsdorf Internet: Warnung vor VerschlüsselungsTrojanern Leiten Sie dieses Dokument umgehend an alle Mitarbeiter und Kollegen weiter und sorgen Sie dafür, dass die Informationen beachtet werden! LeoSandelStr Rottweil Internet: ITDienstleistungen Netzwerktechnik intelligente Systemlösungen Hard und Software Seite 1 von 5

2 LeoSandelStr RottweilGöllsdorf Internet: Seit einigen Tagen verbreitet sich der ErpressungsTrojaner Locky rasend schnell, vor allem in Deutschland. Der Schädling verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht und macht auch vor CloudSpeichern nicht halt. Gegenwärtig gibt es offenbar keine Möglichkeit, die durch den Trojaner verschlüsselten Daten zu retten, ohne dass man das geforderte Lösegeld an die Entwickler zahlt. Deswegen heißt es, Vorsorge betreiben, damit ein Angriff durch Locky & Co. keine allzu schlimmen Folgen hat. Woher kommt die aktuelle Infektionswelle mit Verschlüsselungs Trojanern? Obwohl in den meisten Unternehmen umfangreiche Sicherheitsmechanismen wie Virenscanner, Firewalls, IPS Systeme, AntiSPAM/Antiviren Gateways und Webfilter im Einsatz sind, registrieren wir aktuell weltweit eine große Anzahl von Infektionen von Unternehmensrechnern mit Verschlüsselungstrojanern wie Cryptowall, TeslaCrypt oder Locky. Im Zuge dieser Infektionen werden Dateien auf Rechnern und Netzlaufwerken verschlüsselt, um die Nutzer dieser Rechner zu erpressen, für das Entschlüsselungswerkzeug einen Geldbetrag von typischerweise USD zu zahlen. Laut dem Bundesamt für Sicherheit in der Informationstechnik BSI werden in Deutschland bis zu neue Infektionen in einer Stunde gemessen. Eine typische Infektion läuft dabei wie folgt ab: Ein Benutzer bekommt eine , die angeblich von einem plausiblen Absender stammt, z.b. einem internen Scanner/Kopierer mit angehängtem gescannten Dokument, einem Paketdienst mit angehängten Zustellinformationen oder einem externen Unternehmen mit einer angehängten Rechnung Der Anhang der enthält ein MS Word oder ExcelDokument mit einem eingebetteten Makro. Wenn der Empfänger das Dokument öffnet, startet automatisch ein Makro, das folgende Aktionen ausführt: Es versucht, von einer Reihe nur für kurze Zeit existierenden Webadressen, den eigentlichen VerschlüsselungsTrojaner herunterzuladen. Wenn eine Webadresse nicht erreichbar ist, wird die nächste angesprochen, so lange, bis der Trojaner erfolgreich heruntergeladen wurde. Das Makro führt den Trojaner aus Der Trojaner kontaktiert den Command & ControlServer des Herstellers, sendet Informationen über den infizierten Rechner und lädt einen für diesen Rechner individuellen Schlüssel herunter Mit diesem Schlüssel werden dann Dateien auf dem lokalen Rechner sowie auf allen erreichbaren Netzlaufwerken verschlüsselt. Die Daten sind dann für die Benutzer nicht mehr nutzbar. Anschließend wird auf dem Desktop dem Benutzer eine Nachricht dargestellt, wie ein Lösegeld innerhalb eines Zeitfensters von z.b. 72 Stunden gezahlt werden kann, um ein passendes Entschlüsselungstool mit dem nur auf dem System des Angreifers zu findenden Schlüssel zu erhalten Dies ist nur ein Beispiel, wie eine solche Infektion ablaufen kann. Andere Schädlinge nutzen teilweise andere/weitere Infektionswege, Verschlüsselungsverfahren und Kommunikationsmechanismen. LeoSandelStr Rottweil Internet: ITDienstleistungen Netzwerktechnik intelligente Systemlösungen Hard und Software Seite 2 von 5

3 LeoSandelStr RottweilGöllsdorf Internet: Warum sind diese Angriffe so erfolgreich? Die Gründe für den Erfolg dieser Infektionen sind vor allem: 1. Art der Angriffe a. Hochprofessionell agierende Produzenten der VerschlüsselungTrojaner. Dazu gehört unter anderem auch, dass nach Zahlung der Erpressungssumme in der Regel tatsächlich ein Werkzeug zur Entschlüsselung bereitgestellt wird. b. Geschicktes Social Engineering, um den Benutzer zum Ausführen der Installationsroutine des Trojaners zu bewegen (In der steht etwas in der Art: Wenn die Codierung des angehängten Word Dokuments fehlerhaft erscheint, aktivieren Sie bitte die Ausführung von Makros. Das geht wie folgt.. ) c. Nutzung von Technologien zur Infektion, die in vielen Unternehmen zugelassen sind und in denen bösartiger Code leicht verschleiert werden kann (Microsoft Office Makros, JavaScript, VBScript, CHM, Flash, Java) d. Technologisch fortgeschrittene Schädlinge, die u.a. durch Verschleierungsmechanismen auf dem infizierten System schwer zu identifizieren sind 2. Situation in den betroffenen Unternehmen a. Fehlendes Sicherheitsbewusstsein bei den Benutzern ( Welche Dokumente von wem darf ich öffnen?, Wie ist die Prozedur, wenn ein vom Typ eigentlich gesperrtes Dokument empfangen werden muss?, Wie erkenne ich eine Phishing ? ) b. Falsche Prioritäten ( Wir wissen, dass diese Vorgehensweise nicht sicher ist, aber unsere Leute müssen doch arbeiten.. ) 3. Derzeit existiert noch kein verlässlicher Schutz durch Antivirensoftware a. Antivirensoftware erkennt die aktuellen Viren /Trojaner nicht immer. Laut Tests sollen mittlerweile mehrere AntiViren Programme Locky erkennen und abwehren können. Welche Programme das wirklich schaffen, ist momentan jedoch noch recht unklar. b. Aktuell muss daher auf das Verhalten der Benutzer geachtet werden. Es ist immens wichtig ALLE Benutzer über die Risiken zu informieren und das unbedachte Öffnen von Anhängen von unbekannten oder zweifelhaften Absendern zu unterbinden. LeoSandelStr Rottweil Internet: ITDienstleistungen Netzwerktechnik intelligente Systemlösungen Hard und Software Seite 3 von 5

4 LeoSandelStr RottweilGöllsdorf Internet: Prioritäten setzen Insbesondere der zuletzt beschriebene Punkt bezüglich der Prioritäten muss hinterfragt werden. Häufig werden mit dem Argument Sicherheit stört die Benutzer nur, die müssen doch arbeiten viele sicherheitstechnisch sinnvolle Maßnahmen nicht umgesetzt. In vielen Fällen trifft das Argument zudem nicht zu, wenn die sicherheitstechnischen Maßnahmen sorgfältig geplant und angepasst an die Situation der Mitarbeiter und des Unternehmens umgesetzt werden. In manchen Fällen wie dem Empfang per und der internen Nutzung von OfficeDokumenten mit Makros muss man sich bewusstmachen, was für das Unternehmen wichtiger ist. Im Zweifelsfall löschen Sie z.b. besser eine Mail mit einer fiktiven Rechnung und frage telefonisch nach falls Ihnen der Absender bekannt vorkommt. Was sollte ich sofort machen? Informieren Sie Ihre Mitarbeiter und Kollegen Alle technischen Maßnahmen bringen wenig, wenn die Mitarbeiter sich nicht der potentiellen Gefahren bewusst sind und nicht wissen, wie sie sich in bestimmten Situationen zu verhalten haben. Als Sofortmaßnahme müssen die Mitarbeiter geschult werden, die bei ihrer täglichen Arbeit mit solchen Sicherheitsgefahren und maßnahmen konfrontiert sind ( Wie erkenne ich eine Phishing ?, Wie kann ich, obwohl OfficeDokumente in s gesperrt sind, trotzdem mit meinen Geschäftspartnern Daten austauschen? ). DAS WICHTIGSTE: Öffnen Sie KEINE Anhänge von s mit unbekannter oder zweifelhafter Herkunft Die Infizierung geschieht in der Regel über SpamMails, in denen ein Word oder ExcelDokument enthalten ist. Es können aber auch andere Dokumentenarten vorkommen. Öffnen Sie das Dokument versehentlich doch (was Sie auf keinen Fall tun sollten!), finden Sie manchmal nur einen kryptischen Text mit einem einzigen leserlichen Hinweis: "Können Sie den Text nicht lesen, sollen Sie die Makros in Word oder Excel aktivieren." Viren und Trojaner werden ständig verändert und verbessert um deren Erkennung zu erschweren. Die Infektionsmechanismen und die Ursachen können daher unvorhersehbar variieren. Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor RechnungsMails in Acht, die Sie nicht zuordnen können. Konfigurieren Sie Microsoft Office so, dass MakroCode gar nicht oder erst nach einer Rückfrage ausgeführt wird. Die Vorgehensweise hängt von der verwendeten OfficeVersion ab. Anleitungen hierfür sind im Internet zu finden oder von uns erhältlich. Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln. LeoSandelStr Rottweil Internet: ITDienstleistungen Netzwerktechnik intelligente Systemlösungen Hard und Software Seite 4 von 5

5 LeoSandelStr RottweilGöllsdorf Internet: Was sollte ich zusätzlich langfristig machen? Bewusstsein/Schulung der Mitarbeiter Zusätzlich zu den oben beschriebenen Sofortmaßnahmen für Mitarbeiter, die bei ihrer täglichen Arbeit mit solchen Sicherheitsgefahren und maßnahmen konfrontiert sind, müssen alle Mitarbeiter regelmäßig ITSicherheits Schulungen erhalten. Der Erfolg dieser Maßnahmen sollte auch regelmäßig überprüft werden. SWN bietet IT Sicherheitsschulungen an. Sprechen Sie uns an. Infektionsquellen unterbinden Kommunizieren Sie mit allen Beteiligten Mitarbeitern, Kunden, Lieferanten usw. in Zukunft nur noch PDFDateien zu akzeptieren. Diese enthalten (wenn es keine getarnten anderen Dateiarten sind!) in der Regel keine ausführbare Schadsoftware. Fremde Geräte im Firmennetzwerk Alle Sicherheitsmaßnahmen helfen nichts, wenn ein unbefugt ins Netzwerk eingebrachter Rechner (privates Notebook, Rechner eines Dienstleisters, FirmenNotebook mit veraltetem Virenschutz) diese Maßnahmen unterwandern kann. Konzeption des ITSystems Auch wenn sich die Infektion mit Viren und Trojanern nicht immer zu 100% verhindern lässt, kann man doch durch intelligente und durchdachte ITKonzepte potentiellen Schaden verhindern oder zumindest minimieren. Sprechen Sie uns an. Wir analysieren mit Ihnen Ihre Sicherheitsinfrastruktur und zeigen Ihnen Wege und Risiken auf. Bitte beachten Sie diese Hinweise zu Ihrem eigenen Schutz. Falls Sie Fragen haben stehen wir Ihnen gerne zur Verfügung. Dipl.Ing. (TU) Armin M. Albrecht LeoSandelStr Rottweil Internet: ITDienstleistungen Netzwerktechnik intelligente Systemlösungen Hard und Software Seite 5 von 5