Millionenschaden Kriminelle erpressen Firmen mit neuer Schadsoftware

Die Verschlüsselungssoftware Ryuk hat Deutschland erreicht. Kombiniert mit zwei älteren Trojanern ermöglicht sie Angreifern maßgeschneiderte Erpressungsversuche. Offenbar haben nicht wenige Firmen schon gezahlt.

Ransomware (Symbolbild)
picture alliance/ Hans Ringhofe

Ransomware (Symbolbild)

Von


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt dringend vor einem noch jungen, aber gefährlichen Schädling - der über einen alten Bekannten kommt. Die Malware wird über einen anderen Trojaner nachgeladen und kann dann in Unternehmensnetzwerken großen Schaden anrichten.

Bereits Anfang Dezember warnte die Behörde vor E-Mails mit einem bestimmten Trojaner im Gepäck, es klang dramatisch: Der Trojaner Emotet kursiere und könne eine weitere Malware namens TrickBot nachladen, die Angreifern die vollständige Kontrolle über ein System verschaffen könne. "In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten", teilte die Behörde mit. An anderer Stelle berichtete sie von "Schäden in Millionenhöhe" durch "Ausfälle der kompletten IT-Infrastruktur".

In dieser Woche warnte das BSI auf Twitter erneut vor Emotet: "Nach einer Weihnachtspause wird seit heute Morgen wieder massenhaft Emotet-Spam verschickt." Dieses Mal fügte das Amt aber hinzu, dass Emotet nicht nur die bereits bekannte Malware namens TrickBot nachlade, sondern "in der Folge immer häufiger auch die Ransomware Ryuk". Und die hat es in sich.

Die zu Cisco gehörende IT-Sicherheitsfirma Duo Security spricht von einer "unheiligen Allianz": Emotet ist der Türöffner, kundschaftet ein Netzwerk aus und lädt TrickBot nach. TrickBot fischt unter anderem Kontozugangsdaten ab. Mit allen so gesammelten Informationen schätzen die Angreifer, wie viel Lösegeld sich ihr Opfer gerade noch leisten könnte. Dann lädt TrickBot seinerseits die Ransomware Ryuk nach. Die verschlüsselt die Dateien, die bei der Auskundschaftung als besonders wichtig erkannt wurden. Und sie erschwert auch noch deren Wiederherstellung, indem sie alle Sicherungskopien löscht, die sie findet.

Das BSI hat nach eigenen Angaben "bisher nur vereinzelt Meldungen zu entsprechenden Infektionen" mit Ryuk bekommen, ist aber, was die Vorgehensweise angeht, ähnlicher Ansicht: "Nach unserer Einschätzung wird Ryuk von den Tätern nur sehr vereinzelt und gezielt eingesetzt, nachdem sie sich ausgiebig in den Netzwerken der Opfer umgesehen haben", teilte die Behörde auf Nachfrage mit.

Tilman Frosch, Geschäftsführer von G Data Advanced Analytics in Bochum, hält Ryuk nicht für besonders ausgefeilt, aber die Löschfunktion hält er für einen Trend in Erpressungssoftware: "Wir erwarten in diesem oder nächsten Jahr mehr solcher automatisierter Kompromittierungen von Back-ups."

Erst wurde Nordkorea verdächtigt, jetzt wird Ryuk in Russland verortet

Grim Spider - grimmige Spinne - nennt die IT-Sicherheitsfirma CrowdStrike in einer aktuellen Analyse die Hintermänner von Ryuk. Wie auch die anderen US-Firmen FireEye, Kryptos Logic und McAfee geht CrowdStrike mittlerweile davon aus, dass die Gruppe aus russischen Kriminellen besteht, nachdem die Entwicklung von Ryuk zunächst in Nordkorea verortet wurde.

Mindestens 705 Bitcoins Lösegeld haben die Täter seit August 2018 kassiert, als Ryuk zum ersten Mal auftauchte. Nach heutigem Stand entspräche das umgerechnet ungefähr 2,25 Millionen Euro, aufgrund des seit November deutlich gefallenen Bitcoin-Kurses dürfte es tatsächlich aber mehr gewesen sein. Gezahlt wurde von mindestens 22 verschiedenen Bitcoin-Wallets aus, teilweise in mehreren Tranchen. Das könnte bedeuten, dass mindestens 22 Unternehmen kapituliert und gezahlt haben.

"Wir würden immer davon abraten, Lösegeld zu zahlen", sagt Frosch. "Aber wenn die Alternative ist, dass ein Unternehmen den Geschäftsbetrieb einstellen oder mit Konventionalstrafen aufgrund vertraglicher Verpflichtungen rechnen muss, die über der geforderten Lösegeldsumme liegen, dann stellt sich die Frage möglicherweise nicht mehr."

Microsoft Word ist der wichtigste Angriffspunkt

Der Schutz vor der grimmigen Spinne beginnt im Mailpostfach. Anwender sollten erstens keine unverlangt zugesandten Anhänge öffnen oder Links anklicken und von der dadurch geöffneten Website Dateien herunterladen, selbst wenn ihnen der Absender bekannt ist oder zu sein scheint. Administratoren sollten zweitens die Ausführung von Makros in Word verbieten, denn die sind das Einfallstor für Emotet. Alternativ könnten sie statt Word die Open-Source-Alternative LibreOffice im Unternehmen einsetzen. Drittens sollten sie Sicherheitsupdates und Patches für Windows auf dem neuesten Stand halten.

Wer Opfer von Emotet geworden ist, sollte dem BSI zufolge sofort sein Umfeld über die Infektion informieren. Denn E-Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet für die nächste Welle von Phishingversuchen der Täter. "Einmal infizierte Systeme" seien außerdem "grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden".



insgesamt 32 Beiträge
Alle Kommentare öffnen
Seite 1
Interzoni 16.01.2019
1. Unglaublich,
dass in Unternehmen noch mit Word gearbeitet wird. Oder kann jemand begründen, was gegen LibreOffice spricht? Was genau kann Word besser? Und wenn es da etwas gibt - ist das für die meisten Unternehmen überhaupt wichtig, wird es gebraucht?
bessernachgedacht 16.01.2019
2. immer das gleiche
Das Ganze beginnt also im der Praxis mit einer Mail mit Dateianhang. Wer, bitte, empfängt Rechnungen also Word-Datei? Wer, bitte, öffnet diese Datei? Und wer bitte bestätigt dann auch noch diverse Sicherheitsabfragen? Und nun das allerschlimmste: Welcher Administrator gibt den Standardbenutzern das Recht, überhaupt Änderungen am System zuzulassen? Wie immer sitzt das Problem, nein, sitzen die Probleme, vor dem Bildschirm und nicht im Computer und auch nicht im Windows. Mal davon ab: dem Mailserver einfach verbieten, Dateianhänge zu transportieren, fertig. Wer eine Ausnahme davon haben will, bekommt eine spezielle Sicherheitsschulung. Leute.....!
Spiegelleserin57 16.01.2019
3. keine Sicherheit im Netz!
der Artikel zeigt mal wieder dass es eben KEINE Sicherheit im Netz gibt.Eigentlich sollte er als Hauptartikel auf der Seite erscheinen da er viel wichtiger ist als der Brexit! Was nutzen uns die Ergebnisse in England wenn die Rechner und IT der deutschen Firmen nicht mehr funktionieren, GAR NICHTS! Der Bürger muss immer wieder daran erinnert werden seinen Rechner abzusichern da er auch andere infizieren kann. Die Vermutungen wer diese Schäden anrichtet sind sinnlos und mit Vorurteilen behaftet. Der Artikel sagt ja selbst erst der Verursacher dann jener... Die Hauptaussage des Artikels ist genau genommen der Hinweis auf die Gefahren aus dem Internet und das ist eine sehr wichtige Info!
reifenexperte 16.01.2019
4. Der Staat hat immer noch nicht begriffen, dass er hier Verantwortung
trägt. Polizei und Justiz müssen massiv aufgerüstet werden. Das Internet sind die neuen Verkehrswege. Schienen und Strassen und Luftwege schützt der Staat auch. Hier kann er sich nicht lediglich auf Warnungen beschränken. Außerdem sollten Behörden keine Produkte von Microsoft mehr verwenden. Und auch auf Auftritte bei Facebook, Twitter und Co verzichten, bis diese Unternehmen sich nach den deutschen Gesetzen richten. Wie die Regierungen in Deutschland momentan auf diesem Gebiet agieren ist nicht nur fahrlässig, sondern strafwürdig.
sven2016 16.01.2019
5. @Interzoni
Nicht Word ist das Problem, sondern der Umgang mit Mails und Mailanhängen im Firmennetz. Das lässt sich mit etwas Aufwand Alles so regeln, dass Benutzer sich nur eingeschränkt falsch verhalten können. Wir hatten auf OpenOffice, dann LibreOffice umgestellt, sind aber zu MS Office zurückgewechselt. Alle Kunden benutzen es; für Verwaltungszwecke steht gute VBA-Kenntnis zur Verfügung. Schadsoftware muss natürlich prinzipiell vom Servermanagenent behandelt werden. Da stimme ich zu.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.