BSI - Gebäudeeingang

Gandcrab: Aktuelle Ransomware-Welle ist im Umlauf

Eine aktuelle Ransomware-Welle führt derzeit vielfach zu erfolgreichen Infektionen von Arbeitsplatzrechnern und Netzwerken. Das übliche Ergebnis: Dateiordner und Dateien werden auch hier in großem Umfang verschlüsselt – Das Ziel: Erpressung von Lösegeld. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine massive Häufung dieser Vorfälle in Behörden, Unternehmen und Institutionen festgestellt. Die Ransomware “GandCrab” versteckt sich dabei meist in den gewohnt gefälschten Bewerbungsanschreiben, denen eine verschlüsselte Archivdatei (etwa .rar) und eine als angebliche .pdf-Datei getarnte ausführbare .exe-Datei beigefügt ist.

Den Empfängern wird dann das zum Öffnen der Archivdatei nötige Passwort im Text der E-Mail oder einer ebenfalls beigefügten Textdatei mitgeteilt. Die Erkennungsrate bei kommerziellen Schutzprodukten liegt durch dieses Vorgehen derzeit in einem besonders niedrigen Bereich, da die Schutzprogramme die verschlüsselten Archive nicht entpacken können. Die deutschem Regierungsnetze wiederum sind durch zusätzliche individuelle Maßnahmen des BSI in besonderem Maße geschützt. Das hier beschriebene Vorgehen lässt sich in gleicher Form auch auf andere Schadsoftware-Varianten übertragen.

Arne Schönbohm, BSIDazu erklärt BSI-Präsident Arne Schönbohm: “Ransomware ist und bleibt eine ernstzunehmende Bedrohung. Das Vorgehen der Cyber-Kriminellen im aktuellen Fall zeigt zudem, dass technische Gegenmaßnahmen konsequent und durchdacht umgesetzt werden müssen. Sensibilisierungsmaßnahmen für Mitarbeiterinnen und Mitarbeiter sollten außerdem zum Standardfortbildungsprogramm in Unternehmen gehören: Insbesondere dort, wo auch E-Mails von unbekannten Absendern mit unbekannten Dateianhängen geöffnet werden müssen, wie es in Personalabteilungen der Fall ist. Viele Unternehmen leiden unter dem Fachkräftemangel und freuen sich über jede Bewerbung, die sie erhalten. Dies sollte jedoch nicht zu Nachlässigkeiten bei der Cyber-Sicherheit führen

IT-Sicherheitsverantwortliche sollten zum Schutz vor oben beschriebener Angriffsvariante folgende Maßnahmen beachten: Auf der einen Seite steht natürlich das Sensibilisieren Sie die Anwenderinnen und Anwender. Dann sollte zeitnah eine Prüfung erfolgen, ob das eingesetzte Sicherheitsprodukt in der Lage ist, Passwörter aus dem Mailtext und/oder aus Anhängen zu identifizieren und für verschlüsselte Archive anzuwenden. Schlußendlich sollte intern geprüft werden, ob verschlüsselte Archive in der Organisation oder dem Unternehmen legitim und üblich sind und gegebenenfalls entsprechende Empfehlungen an die Mitarbeiterinnen und Mitarbeiter ausgesprochen werden. Auch und besonders sollten geeignete technische Maßnahmen zur Blockierung verschlüsselter Archive in E-Mails vorgenommen werden.

Im Übrigen sollten Installationen von schädlichen Inhalten durch geeignete Sicherheitsmaßnahmen blockiert werden. Administrator-Rechte sollten nur eingeschränkt vergeben werden und Nutzer sollten auch nicht mit lokalen Administrator-Rechten arbeiten können. Zudem soll über geeignete Software-Produkte das Starten von ausführbaren Programmen in Dokumenten- und Temporär-Ordnern mittels Blacklisting verboten werden. Das alles sind an sich logische Richtlinien für die IT-Sicherheit, aber leider noch längst kein Standard in vielen heutigen IT-Umgebungen.

Für einige frühere Versionen der derzeit verwendeten Schadsoftware GandCrab stellt indes die NomoreRansom-Initiative Entschlüsselungsprogramme bereit. Hilfestellung und Empfehlungen zur Erhöhung des IT-Sicherheitsniveaus und zur Abwehr derartiger Cyber-Gefahren erhalten kleine und große Unternehmen als Teilnehmer der Allianz für Cyber-Sicherheit oder des UP KRITIS.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*