DER RANSOMWARE- LEITFADEN FÜR UNTERNEHMEN

Transkript

1 EBOOK DER RANSOMWARE- LEITFADEN FÜR UNTERNEHMEN Alles, was Sie wissen müssen, um ihr Unternehmen betriebsfähig zu halten. 1

2 ! Ransomware erweist sich zunehmend als starke Bedrohung für Einzelpersonen und Unternehmen gleichermaßen: Bei Ransomware handelt es sich um eine Schadsoftware, die Daten auf infizierten Systemen verschlüsselt, und eine lukrative Einnahmequelle für Cyber-Erpresser. Beim Ausführen sperrt die Malware die Dateien ihrer Opfer und erlaubt den Kriminellen, für die Freigabe Geld zu erpressen. Auch deshalb ist Ransomware dieser Tage ein heißes Thema. Es waren bereits Organisationen jeder Art und Größe davon betroffen, kleinere Unternehmen sind jedoch besonders gefährdet. Und! YOUR FILES WILL DELETE IN: Days Hours Minutes! Ransomware ist weiterhin im Kommen. In einer kürzlich von dem Sicherheitssoftwareanbieter McAfee Labs durchgeführten Studie wurden über 4 Millionen Beispiele von Ransomware im zweiten Quartal 2015, einschließlich 1,2 Millionen neuer Exemplare, identifiziert. Zum Vergleich: Im dritten Quartal 2013 waren es noch weniger als 1,5 Millionen insgesamt und neue Exemplare. Ransomware wird auf verschiedene Weisen verbreitet und es ist schwer, sich davor zu schützen, da sie sich wie das Grippevirus laufend weiter entwickelt. Es gibt jedoch Methoden, wie Sie sich und Ihr Unternehmen vor Ransomware-Attacken schützen können. In diesem E-Book erfahren Sie, wie Malware verbreitet wird, welche verschiedenen Typen von Ransomware derzeit kursieren und was Sie tun können, um einen Angriff zu verhindern bzw. überwinden. Es bringt nichts, den Kopf in den Sand zu stecken, da die modernen Banditen keine Gnade kennen. Sorgen Sie dafür, dass Ihr Unternehmen gut vorbereitet ist!

3 RANSOMWARE HEUTE Es gibt derzeit einige dominante Typen oder Familien von Ransomware, jeweils mit eigenen Varianten. Weitere neue Familien sind im Laufe der Zeit zu erwarten. In der Vergangenheit zielte Ransomware auf Microsoft Office, Adobe PDF und Bilddateien ab, McAfee prognostiziert jedoch, dass zunehmend auch weitere Dateitypen gefährdet sind. Die meisten Ransomware-Programme verschlüsseln die Dateien mit dem AES-Algorithmus, manche verwenden jedoch auch andere Algorithmen. Zur Entschlüsselung der Dateien fordern die Cyber-Erpresser gewöhnlich eine Zahlung in Form von Bitcoins oder den Kauf von Gutscheinen wie Ukash or Paysafecard. Die Standardgebühr liegt bei rund 400 Euro, durchaus aber auch wesentlich höher. Auch deshalb konzentrieren sich die Cyberkriminellen hinter den Ransomware- Das Angler Exploit-Kit nutzt HTML und JavaScript, um den Browser und die installierten Plug-ins des Opfers zu identifizieren und dem Hacker zu erlauben, den vielversprechendsten Angriffspfad zu wählen. Mithilfe einer Reihe von Verschleierungstechniken entwickelt sich Angler laufend weiter, um sich der Erkennung durch Sicherheitssoftware zu entziehen. Kampagnen gewöhnlich auf wohlhabende Länder und Städte, deren Bewohner und Unternehmen das Lösegeld zahlen können. In den letzten Monaten waren allerdings wiederholte Attacken in spezifischen Sektoren zu verzeichnen, insbesondere im Gesundheitswesen. SO WIRD RANSOMWARE VERBREITET Ransomware wird am häufigsten durch Spam verbreitet. Dabei wird gewöhnlich eine Form von Social Engineering angewendet: Die Opfer werden zum Download eines -Anhangs oder Klicken eines Links verleitet. Die -Nachrichten werden beispielsweise als Bitte von einem Freund oder Kollegen getarnt, sich die beigefügte Datei anzusehen. Die -Nachricht kann allerdings auch vermeintlich von einer vertrauten Institution stammen (beispielsweise einer Bank), mit der Aufforderung, einen Routinevorgang auszuführen. Manchmal verwendet 3

4 Ransomware auch Einschüchterungstaktiken wie die Beschuldigung, der Computer sei für gesetzeswidrige Handlungen genutzt worden. Wenn der Nutzer der Aufforderung folgt, installiert sich die Malware auf dem System und beginnt mit dem Verschlüsseln der Dateien. Der Vorgang startet in Sekundenschnelle nach einem einzigen Klick. Eine weitere beliebte Methode zur Verbreitung von Ransomware sind sogenannte Exploit-Kits. Diese Softwarepakete sollen Sicherheitslücken ermitteln, um sie zur Installation der Ransomware auszunutzen. Bei einer derartigen Attacke installieren Hacker Codes auf einer legitimen Website, um den Nutzer dann zu einer Schadsoftware-Site weiterzuleiten. Im Unterschied zur Spam-Methode erfordert dieser Ansatz keine weitere Handlung vonseiten des Opfers. Deshalb bezeichnet man dies auch als Drive-by-Download - Attacke. Das derzeit jedoch meist genutzte Exploit-Kit heißt Angler. Eine im Mai 2015 vom Sicherheitssoftware-Anbieter Sophos durchgeführte Studie zeigte, dass tagtäglich Tausende neuer Webseiten mit Angler infiziert werden. Das Angler Exploit-Kit nutzt HTML und JavaScript, um den Browser und die installierten Plug-ins des Opfers zu identifizieren und dem Hacker zu erlauben, den vielversprechendsten Angriffspfad zu wählen. Mithilfe einer Reihe von Verschleierungstechniken entwickelt sich Angler laufend weiter, um sich der Erkennung durch Sicherheitssoftware zu entziehen. Und Angler ist nur ein Exploit-Kit unter vielen! Spam-Botnets und Exploit-Kits sind relativ leicht zu nutzen, erfordern jedoch ein gewisses Maß technischer Kenntnisse. Doch selbst Hackern mit minimalen Computerkenntnissen stehen verschiedene Möglichkeiten offen. McAfee berichtet, dass im Tor-Network zahlreiche Ransomware-as-a-Service-Angebote zu finden sind, sodass eigentlich jeder eine derartige Attacke durchführen kann. 5

5 DIE HÄUFIGSTEN ARTEN VON RANSOMWARE Selbst Hackern mit minimalen Computerkenntnissen stehen viele Möglichkeiten offen. McAfee berichtet, dass im Tor-Network zahlreiche Ransomware-as-a- Service Angebote zu finden sind, sodass eigentlich jeder eine derartige böswillige Attacke unternehmen kann. Ransomware entwickelt sich stetig weiter, neue Varianten entstehen laufend. Es wäre daher schwierig, wenn nicht sogar unmöglich, ein Verzeichnis sämtlicher derzeit existierender Ransomware-Typen zu erstellen. Die nachfolgenden Informationen sind daher nicht erschöpfend, sollten Ihnen jedoch einen guten Überblick über die Hauptakteure und verschiedenen Ransomware-Arten geben. CryptoLocker Ransomware existiert in verschiedener Form bereits seit etwa zwei Jahrzehnten, rückte jedoch 2013 mit CryptoLocker ins Schlaglicht. Das ursprüngliche CryptoLocker-Botnet wurde im Mai 2014 stillgelegt, jedoch nicht, bevor es den sich dahinter verbergenden Hackern gelungen war, weit über 2 Millionen Euro von ihren Opfern zu erpressen. Seither wurde der CryptoLocker-Ansatz vielfach kopiert, obgleich die derzeit genutzten Varianten nicht direkt mit dem Original verwandt sind. Der Begriff CryptoLocker ist mittlerweile ein Synonym für Ransomware, fast wie Xerox und Kleenex in ihren jeweiligen Sektoren. CryptoLocker wird mittels Exploit-Kits und Spam verbreitet. Beim Ausführen installiert sich die Malware im Windows-Benutzerprofilordner und verschlüsselt Dateien auf den lokalen Festplattenlaufwerken sowie den verknüpften Netzwerklaufwerken. Dabei werden nur Dateien mit bestimmten Dateinamenerweiterungen verschlüsselt, einschließlich Microsoft Office, OpenDocument, Bild- und AutoCAD-Dateien. Nach verrichteter schadensträchtiger Arbeit informiert die Schadsoftware den Nutzer mit einer Bildschirmmeldung über die Verschlüsselung der Dateien und fordert Bitcoin-Lösegeld. 5

6 Die Spam-Kampagnen zur Verbreitung der Malware Locky haben enorme Reichweite. Diese Schadsoftware wird gewöhnlich in einer -Nachricht versendet und als Rechnung getarnt. Nach dem Öffnen wird die Rechnung verschlüsselt und das Opfer angewiesen, Makros zum Lesen des Dokuments zu aktivieren. CryptoWall Nach dem Niedergang des ursprünglichen CryptoLocker machte CryptoWall von sich reden. Es trat erstmals Anfang 2014 auf den Plan und hat seither u. a. unter den Namen Cryptorbit, CryptoDefense, CryptoWall 2.0, CryptoWall 3.0 vielen Computernutzern Probleme bereitet. Wie CryptoLocker wird auch CryptoWall über Spam oder Exploit-Kits verbreitet. Die ursprüngliche Version von CryptoWall nutzte einen öffentlichen RSA- Chiffrierschlüssel, spätere Versionen (einschließlich das neueste CryptoWall 3.0) verwenden einen privaten AES-Schlüssel, der zudem mit einem öffentlichen AES-Schlüssel maskiert wird. Beim Öffnen des Malware-Anhangs kopiert sich der binäre CryptoWall-Code in den Microsoft Temp-Ordner und beginnt mit dem Verschlüsseln der Dateien. CryptoWall kann eine größere Vielfalt an Dateitypen als CryptoLocker verschlüsseln und zeigt nach erfolgter Verschlüsselung ebenfalls eine Lösegeldforderung auf dem Bildschirm an. CTB-Locker Die hinter CTB-Locker stehenden Kriminellen verfolgen einen anderen Ansatz der Virusverbreitung. Diese Hacker delegieren das Verbreiten der Infektion im Schneeballverfahren gegen eine Gewinnbeteiligung an andere Cyber-Kriminelle, um Malware-Infektionen rascher zu verbreiten. Beim Ausführen kopiert sich CTB-Locker in das Microsoft Temp-Verzeichnis. Im Unterschied zu den meisten derzeitigen Ransomware-Programmen verschlüsselt CTB-Locker die Zieldateien mit Elliptic Curve Cryptography (ECC). CTB-Locker ist in der Lage, mehr Dateitypen anzugreifen als CryptoLocker. Nach der Verschlüsselung der Dateien zeigt CTB-Locker eine Lösegeldforderung in Bitcoins an. 7

7 Locky Locky ist eine relativ neue Art von Ransomware, die jedoch ebenfalls ähnlich funktioniert. Diese Schadsoftware wird gewöhnlich in einer -Nachricht versendet und als Rechnung getarnt. Nach dem Öffnen wird die Rechnung verschlüsselt und das Opfer angewiesen, Makros zum Lesen des Dokuments zu aktivieren. Nach dem Aktivieren der Makros beginnt Locky, eine große Anzahl an Dateitypen mittels AES zu verschlüsseln. Auch hier wird nach beendeter Verschlüsselung Lösegeld in Bitcoins gefordert. Sehen Sie, wie sich hier ein Muster abzeichnet? Die Spam-Kampagnen zur Vorbereitung der Malware Locky verfügen über eine enorme Reichweite. Ein Unternehmen meldete, dass es ihm gelang, innerhalb von zwei Tagen fünf Millionen mit Locky-Kampagnen verbundene s zu blockieren. TeslaCrypt TeslaCrypt ist ein weiterer neuer Ransomware-Typ. Wie die meisten anderen Beispiele hier verschlüsselt das Malware-Programm Dateien mit einem AES- Algorithmus. Es wird über ein Angler Exploit-Kit verbreitet, das spezifisch auf Adobe- Schwachstellen abzielt. Nachdem es eine derartigeschwachstelle gefunden hat, installiert sich TeslaCrypt im Microsoft Temp-Ordner. Nach Ablauf der Lösegeldfrist bietet TeslaCrypt verschiedene Zahlungsmöglichkeiten: Bitcoin, PaySafeCard und Ukash werden angeboten. Man muss selbst widerwilligen Kunden schließlich eine Wahl bieten! TorrentLocker Die Verbreitung von TorrentLocker erfolgt mittels gezielter Spam-Mail-Kampagnen in bestimmten geografischen Regionen. TorrentLocker wird ebenfalls häufig CryptoLocker genannt und verschlüsselt Dateien mit einem AES-Algorithmus. 7

8 TorrentLocker unterscheidet sich allerdings von anderen Malware-Programmen dadurch, dass es zusätzlich zum Verschlüsseln der Dateien auch -Adressen aus dem Adressbuch des Opfers sammelt, um die Malware über den ursprünglich infizierten Computer bzw. das Netzwerk hinaus zu verbreiten. TorrentLocker nutzt die sogenannte Prozess-Aushöhlung. Dabei wird ein Windows- Systemprozess in einem suspendierten Zustand aufgerufen, der schädliche Programmcode installiert und der Prozess danach fortgesetzt. Dazu nutzt die Schadsoftware die Programmdatei explorer.exe. Diese Malware löscht dann Microsoft Volume Shadow Copies, um eine Wiederherstellung mithilfe der Windows Recovery Tools zu verhindern. Wie zuvor erwähnt, ist Bitcoin die bevorzugte Währung zur Zahlung von Lösegeld. Sicherheitssoftware ist offensichtlich unerlässlich, reicht alleine jedoch nicht aus. Eine umfassende Strategie zum Schutz vor Ransomware erfordert einen dreigleisigen Ansatz aus Aufklärung, Sicherheit und Datensicherung. KeRanger ArsTechnica meldete kürzlich die Entdeckung von KeRanger Ransomware auf einem beliebten BitTorrent-Client. KeRanger ist derzeit nicht weit verbreitet, jedoch erwähnenswert, da es die erste komplett funktionsfähige Ransomware für Mac OS X-Anwendungen ist. SCHÜTZEN SIE SICH VOR RANSOMWARE Mit Ransomware bewaffnete Cyber-Kriminelle sind ernst zu nehmende Gegner. Obgleich die meisten Ransomware-Kampagnen nicht speziell auf kleine und mittelständische Unternehmen abzielen, sind diese dennoch besonders gefährdet. Die IT-Teams in kleineren Unternehmen sind häufig überlastet und können aufgrund enger Budgets manchmal nur veraltete Technologie einsetzen. Somit sind sie das ideale Ziel für Ransomware. Es gibt jedoch glücklicherweise erprobte und verlässliche Methoden, um Ihr Unternehmen vor Ransomware-Attacken zu 9

9 schützen! Sicherheitssoftware ist offensichtlich unerlässlich, reicht alleine jedoch nicht aus. Eine umfassende Strategie zum Schutz vor Ransomware erfordert einen Da Ransomware laufend weiterentwickelt wird, kann selbst die beste Sicherheitssoftware überlistet werden. Deshalb ist eine zweite Sicherheitsmaßnahme nötig, um im Fall eines geglückten Angriffs die Wiederherstellung der Daten zu ermöglichen: Datensicherung. dreigleisigen Ansatz aus Aufklärung, Sicherheit und Datensicherung. Aufklärung: Zum Schutz vor Ransomware-Attacken ist Aufklärung absolut unerlässlich. Ihre Mitarbeiter müssen genau wissen, was und wie gefährlich Ransomware ist. Versorgen Sie Ihr Team mit spezifischen Beispielen verdächtiger s und klaren Anweisungen, was im Falle eines potenziellen Ransomware- Angriffs zu tun ist (d. h. -Anhänge nicht öffnen, sämtliche verdächtigen Nachrichten melden usw.). Führen Sie mindestens zweimal jährlich offizielle Schulungsmaßnahmen durch, um Ihre Mitarbeiter über die Gefahren von Ransomware und anderer Cyberbedrohungen aufzuklären. Nach dem Beitritt sollten Sie auch neue Mitarbeiter unbedingt über beste Schutzpraktiken informieren. Sie müssen sicherstellen, dass jeder im Unternehmen umfassend informiert wird. Verlassen Sie sich nicht auf Mundpropaganda und vergessen Sie nicht, Ihre Mitarbeiter über neue Ransomware Bedrohungen auf dem Laufenden zu halten. Sicherheit: Jedes Unternehmen sollte über Virenschutzsoftware verfügen, um sich vor Ransomware und anderen Bedrohungen zu schützen. Vergewissern Sie sich, dass Ihre Sicherheitssoftware auf dem neuesten Stand und in der Lage ist, Sie vor neu identifizierten Bedrohungen zu schützen. Achten Sie darauf, Patches und Updates für Ihre Anwendungsprogramme zeitnah zu installieren, um eventuelle Schwachstellen zu minimieren. Manche Virenschutzprogramme bieten speziellen Ransomware- Schutz. Sophos ermöglicht beispielsweise die Überwachung der Systeme und Erkennung böswilliger Aktivitäten wie verdächtige Dateinamenerweiterungen oder Veränderungen der Registratureinträge. Wird Ransomware festgestellt, so wird sie 9

10 von der Software blockiert und der Benutzer verständigt. Da Ransomware jedoch laufend weiterentwickelt wird, kann selbst die beste Sicherheitssoftware überlistet werden. Deshalb ist eine zweite Sicherheitsmaßnahme nötig, um im Fall eines geglückten Angriffs die Wiederherstellung der Daten zu ermöglichen: Datensicherung. Datensicherung: Moderne Datenschutzlösungen wie Datto können Image-basierte, inkrementelle Backups sogar in fünfminütigen Abständen erstellen, um eine Serie von Wiederherstellungspunkten zu erzeugen. Falls Ihr Unternehmen einer Ransomware-Attacke zum Opfer fällt, ermöglicht Ihnen diese Technologie die Wiederherstellung Ihrer Daten zu einem Zeitpunkt vor der Infektion. In Hinsicht auf Ransomware hat dies zwei Vorteile: Erstens brauchen Sie kein Lösegeld zu zahlen, um Ihre Daten zurückzubekommen. Da Sie zweitens den Systemzustand vor dem Ransomware-Befall wiederherstellen, können Sie sicher sein, dass Ihre Dateien unbedenklich sind und die Schadsoftware nicht erneut ausgelöst werden kann. Außerdem ermöglichen mittlerweile einige Datenschutzprodukte den Nutzern, Anwendungen über Image-basierte Backups virtueller Maschinen auszuführen. Dies wird gewöhnlich als recovery-inplace oder instant recovery bezeichnet. Diese Technologie erleichtert die Erholung nach einer Ransomware-Attacke und ermöglicht Ihnen, mit nur minimaler Ausfallzeiten weiterzuarbeiten, während Ihre primären Systeme wiederhergestellt werden. Die Datto-Version dieser rettenden Technologie heißt Instant Virtualisation. Sie virtualisiert Systeme sekundenschnell entweder lokal oder in einer sicheren Cloud. Mithilfe dieser Lösung bleiben Unternehmen selbst im Katastrophenfall betriebsfähig. 11

11 FAZIT Mit ihrer Ransomware bedrohen Cyber-Erpresser Unternehmen jeder Art und Größe,! vom lokalen Pizza Service bis zu den 500 umsatzstärksten Unternehmen weltweit. Etwas Aufklärung und die richtigen Lösungen können jedoch viel bewirken. Sie können sich viele Probleme ersparen, wenn Ihre Mitarbeiter wissen, worauf sie achten müssen. Man darf die Entschlossenheit und Fähigkeiten der heutigen Hacker jedoch nicht unterschätzen. Sie entwickeln ihre Waffen laufend weiter. Deshalb benötigen Sie erstklassige Sicherheits- und Datensicherungssoftware. Schützen Sie Ihr Unternehmen und damit auch Ihre Nerven! Kurz gesagt: Aufklärung und Sicherheitssoftware helfen Ihnen, Cyber-Attacken zu vermeiden. Auch Patch-Management ist wichtig. Achten Sie darauf, dass Ihre Software stets geschützt und auf dem neuesten Stand ist. Und letztendlich hilft Ihnen ein Backup, im Notfall rasch wieder einsatzfähig zu sein. Mit den richtigen Datensicherungslösungen können Sie Downtime komplett eliminieren. 11

12 ! Für weitere Informationen wenden Sie sich bitte an EBERTLANG, unseren exklusiven Distributor in Deutschland, Österreich und der Schweiz