Die erpresserischen Angriffe mit Schadprogrammen nehmen derzeit verstärkt zu!
Ransomware ist allerdings kein neues Phänomen in der IT-Welt, schon seit über 20 Jahren versuchen kriminelle Hacker immer wieder mit der Unbrauchbarmachung von PCs Lösegeldsummen von den Nutzern zu erpressen. Die jüngsten Attacken haben allerdings eine neue Qualität in puncto Aggressivität erreicht, die gerade im Unternehmensbereich drastische Auswirkungen haben können, sofern im Vorfeld seitens der IT-Sicherheit keine geeigneten Maßnahmen getroffen wurden.
Lösegeldforderungen durch die Hintertür
Aktuell melden viele unserer Kunden Angriffe durch die Ransomware Chimera. Der Angriff erfolgt dabei meistens über Anhänge in vermeintlichen Bewerbungsschreiben oder Vertragsangeboten. Der Nutzer soll eine Datei via Dropbox runterladen und installiert dabei die schädliche Software. Die hat es in sich: sämtliche lokalen Dateien als auch Dateien im Netzlaufwerk werden umgehend verschlüsselt und damit unbrauchbar gemacht.
Nach einem Neustart des Rechners erhält der Nutzer in der Regel einen Warnbildschirm, der ihn auffordert innerhalb einer bestimmten Zeit einen Geldbetrag in Form von Bitcoins zu überweisen, andernfalls bleiben die Daten dauerhaft verschlüsselt. Zusätzlich wird damit gedroht, dass sensible Daten veröffentlicht werden. Ist ein System Ihres Kunden erst einmal an diesen Punkt gekommen, sind die Daten nicht mehr zu retten. Auch wenn ein Mitarbeiter des FBI jüngst das Gegenteil empfohlen hat: es ist dringend davor abzuraten den Lösegeldforderungen nachzukommen.
Zum einen wären Zahlungen ein weiterer Anreiz für andere Hacker ebenfalls Ransomware einzusetzen. Je mehr Nutzer sich auf diese Erpressungen einlassen, desto attraktiver wird dieses Modell für Nachahmungstäter (Spezielle Seiten im Netz bieten bereits jetzt Ransomware-as-a-Service für jedermann an). Zum anderen gibt es keine Garantie, dass die betroffenen Daten nach der Zahlung auch tatsächlich wieder entschlüsselt werden. Uns ist kein Fall bekannt, der auf die Forderungen eingegangen ist und anschließend wieder Zugriff auf die Daten bekommen hat.
Im Ernstfall hilft nur das tägliche Backup
Chimera ist ein Hybrid zwischen Screen-Locker und Crypto-Malware. Während sich Crypto-Malware zum Beispiel durch den in allen G DATA-Lösungen enthaltenen Behaviour-Blocker identifizieren lässt, stellt der Hersteller auch eine nachträgliche Cleaning-Lösung gegen Screen-Locker zur Verfügung. Bedingt durch den hohen Verschlüsselungsgrad von Chimera ist eine Entschlüsselung der Dateien derzeit aber nicht möglich.
Sollte das System eines Kunden betroffen sein, dann hilft nur noch ein Neuaufsetzen der Maschine und eine Wiederherstellung durch ein dezentrales Backup. Hierbei ist zu beachten, dass bereits Mutationen der Ransomware im Umlauf sind, die dauerhaft angeschlossene Backups gleich mitverschlüsseln. Somit sind auch diese Datensicherungen im schlimmsten Fall verloren.
Setzen Sie auf einen mehrschichtigen Security-Ansatz
Aktuell ist es wichtiger denn je für die Sicherheit der Unternehmens-IT, so viele Schutzschichten wie möglich einzusetzen. Nur so lässt sich die Gefahr eines Angriffs eindämmen und das Risiko für Ihre Kunden minimieren. G DATA empfiehlt die Verwendung einer Layered-Defense-Taktik mit den passenden Bausteinen, die Sie auch allesamt in unserem Portfolio finden:
- Endpoint-Security-Lösungen: Zum Beispiel von G DATA oder ESET
- Effektiver und laufend aktualisierter Spam-Schutz wie SecureTide von AppRiver
- Firewall-System WinGate von Qbik
- Unterdrückung der Kommunikation von Schadsoftware durch SecureSurf von AppRiver
- Regelmäßige und dezentrale Backups mit BackupAssist oder Carbonite
Das wichtigste Mittel im Kampf gegen Schadsoftware bleibt aber auch im Falle der Chimera Ransomware der wachsame Menschenverstand. Weisen Sie Ihre Mitarbeiter auf die aktuelle Bedrohung hin und warnen Sie vor verdächtigen Bewerbungsschreiben und Vertragsangeboten, die einen Download-Link beinhalten. Auch wenn Chimera Ransomware auf neue Techniken setzt um Schaden anzurichten, die Art der Verbreitung ist altbekannt und kann mit den richtigen Vorbereitungen weitestgehend unterbunden werden.
Für weitere Informationen zu unseren Sicherheits- und Backup-Lösungen stehen wir Ihnen gerne jederzeit persönlich unter 07331 9461249 zur Verfügung.
Weitere Hinweise zu diesem Thema finden Sie auf diesen Seiten:
- Regelmäßige Updates zur Chimera Ransomware auf den Seiten unseres Partners intraService.at
- Deutscher Blog unseres Lieferanten ESET
- Blog unseres Lieferanten AppRiver