Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete Mitte Januar dieses Jahrs eine erneute, massenhafte Versendung der Schadsoftware Emotet – über dessen Steuermodule verschiedene Arten von Malware nachgeladen werden können. Häufig sind dies Bankingtrojaner wie etwa Trickbot oder die Ransomware Ryuk. Dieser verschlüsselt klassischerweise die Daten auf den betroffenen Geräten und löscht erstellte Sicherungskopien, um die Wiederherstellung zu erschweren. Ziel ist auch hier selbstverständlich die Erpressung der Opfer, um Lösegeld einzufordern. Verteilt wird die Schadsoftware oftmals über einen infizierten Word-Anhang, der an eine häufig glaubwürdig gestaltete E-Mail angehängt ist. Auch warnte der CERT-Bund (das Computer Emergency Response Team) des BSI Mitte letzten Monats vor einer Ausbruchswelle der Ransomware GrandCrab, sie sich vorzugsweise über gefälschte Bewerbungsunterlagen ihren Weg in Unternehmen bahnt. Laut CERT-Bund befindet sich in den Bewerbungs-E-Mails auch hier ein Word-Dokument, das beim Öffnen versucht, den Nutzer zur Aktivierung von Makros zu überzeugen. Schließlich kann die Malware nur so seinen Schadcode ausführen. Der Trick ist hier, dass das Dokument vorgibt, mit einer älteren Word-Version erstellt worden zu sein, sodass Anwender dazu verleitet werden, durch den Kompatibilitätsmodus aktive Inhalte zu aktivieren. Hat der betroffene Mitarbeiter der Aktivierung von Makros zugestimmt, kann der Trojaner auf das System zugreifen und beginnen, Daten zu verschlüsseln.
Die finanziellen Schäden einer erfolgreichen Ransomware-Attacke können für Betriebe verheerend sein: Beispielsweise rechnete die dänische Reederei Maersk aus Kopenhagen vor zwei Jahren mit Kosten und Umsatzeinbußen von 200 bis 300 Millionen US-Dollar im Zuge eines Angriffs mit Not-Petya. Für Cyberkriminelle bleibt Ransomware auch weiterhin ein lukratives Geschäftsmodell: Wie die österreichische Tageszeitung „Der Standard“ im Januar berichtete, konnten die Hintermänner von Ryuk in nur fünf Monaten rund 4 Millionen Euro einsammeln.
Alte Richtlinien sind überholt
Früher galt häufig unternehmensintern die Warnung, keine ausführbaren Dateien (Programme) unbekannter Absender zu öffnen, da diese Viren enthalten könnten. Dieselbe Warnung gilt auch heute noch, allerdings bezieht sie sich heute auf Dokumente, die sich weitaus schwieriger erkennen und blockieren lassen. Unter Umständen erhalten Mitarbeiter ein völlig legitim aussehendes Dokument, welches mit Ransomware verseucht wurde. Auch bei ihrer Vorgehensweise gehen die Cyber-Kriminellen mit der Zeit: Sie verlassen sich zunehmend darauf, dass Mitarbeiter bei der Arbeit private E-Mails lesen, die möglicherweise nicht unter den E-Mailschutz des Unternehmens fallen. Daher zielen ihre Angriffe nicht unbedingt auf berufliche E-Mail-Adressen ab, sondern vermehrt auf private Adressen, die ihnen in sozialen Netzwerken begegnet sind. Die von GrandCrab verfolgte Strategie der mit Malware verseuchten Bewerbungsunterlagen ist eine sehr gängige Methode. In manchen Fällen sind Dokumente dieser Art gar nicht an die ursprüngliche E-Mail angehängt, sondern nur verknüpft – und der Link verweist auf eine „seriöse“ Seite wie Microsoft OneDrive oder eine Google App. Die Angreifer nutzen hier die Tatsache aus, dass viele User denken, Dokumente auf solchen Plattformen seien generell vertrauenswürdig – dies ist leider nicht der Fall.
Dem Problem kann Einhalt geboten werden
Der erste Fakt, den es als Unternehmen anzuerkennen gilt, ist, dass sowohl Firmen-E-Mails als auch webbasierter Datenverkehr geschützt werden müssen. Schließlich erfolgt der Zugriff auf private E-Mails über das Internet, beziehungsweise den Web-Browser. Somit sollten Sie eine Lösung finden, die sowohl E-Mailschutz als auch Websicherheit bietet.
Grundsätzlich gibt es zwei Möglichkeiten, Attacken durch Verschlüsselungstrojaner zu verhindern. Die erste basiert auf dem Entfernen von aktiven Inhalten. Das bedeutet, dass diese – und somit auch eingebettete Malware – aus dem Dokument entfernt werden. Der Rest bleibt hierbei unangetastet. Auf diese Weise wird gewährleistet, dass der Empfänger die Informationen sofort erhält – nicht aber die Malware. Diese Technik wird auch als ‚Structural Sanitization‘ bezeichnet.
Bei der zweiten Methode kommt die so genannte Sandbox-Technologie zum Einsatz. Dabei wird das Dokument in einer sicheren Umgebung geöffnet, die auch „Sandbox“ genannt wird. Anschließend wird das Verhalten des Dokuments analysiert. Wenn nach Ablauf einer bestimmten Zeit, zum Beispiel nach 15 Minuten, nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Diese Zeitverzögerung ist jedoch sowohl unpraktisch als auch ineffektiv, da die eingebettete Malware diese Verzögerung umgehen kann. Je mehr der Professionalisierungsgrad der Angreifer steigt, desto eher gelingt es ihnen, Schadsoftware zu entwickeln, die etwa für eine Stunde „still liegt“ – eine Zeit, in der die meisten Sandboxes diese freigeben hätten und sie sich danach ohne Probleme auf dem Rechner ausbreiten kann. Im Gegensatz dazu wird bei der Structural Sanitization die Bedrohung komplett eliminiert und stellt daher die effektivere Methode zur Abwehr von Angriffen dar.
Der Kampf gegen Ransomware stellt für Unternehmen eine wachsende Herausforderung dar und hat das Potenzial, fatale finanzielle Schäden als auch verheerende Imageprobleme zu verursachen. Allerdings handelt es sich um eine Gefahr, die sich mithilfe moderner, effektiver Technologien gut in den Griff bekommen lässt. Wichtig ist, dass der Betrieb von mehreren Sicherheitsebenen umgeben ist: Sowohl der E-Mail- als auch Webverkehr sollte ausreichend vor Attacken geschützt werden. In jedem Falle sollten Firmen die Gefahr realistisch einschätzen und keineswegs verharmlosen – Schließlich ist das Erkennen des weiterhin sehr hohen Bedrohungspotenzials der erste Schritt, um der Gefahr Herr zu werden.