Millionenschaden Kriminelle erpressen Firmen mit neuer Schadsoftware

Die Verschlüsselungssoftware Ryuk hat Deutschland erreicht. Kombiniert mit zwei älteren Trojanern ermöglicht sie Angreifern maßgeschneiderte Erpressungsversuche. Offenbar haben nicht wenige Firmen schon gezahlt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt dringend vor einem noch jungen, aber gefährlichen Schädling - der über einen alten Bekannten kommt. Die Malware wird über einen anderen Trojaner nachgeladen und kann dann in Unternehmensnetzwerken großen Schaden anrichten.

Bereits Anfang Dezember warnte die Behörde   vor E-Mails mit einem bestimmten Trojaner im Gepäck, es klang dramatisch: Der Trojaner Emotet kursiere und könne eine weitere Malware namens TrickBot nachladen, die Angreifern die vollständige Kontrolle über ein System verschaffen könne. "In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten", teilte die Behörde mit. An anderer Stelle  berichtete sie von "Schäden in Millionenhöhe" durch "Ausfälle der kompletten IT-Infrastruktur".

In dieser Woche warnte das BSI auf Twitter  erneut vor Emotet: "Nach einer Weihnachtspause wird seit heute Morgen wieder massenhaft Emotet-Spam verschickt." Dieses Mal fügte das Amt aber hinzu, dass Emotet nicht nur die bereits bekannte Malware namens TrickBot nachlade, sondern "in der Folge immer häufiger auch die Ransomware Ryuk". Und die hat es in sich.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die zu Cisco gehörende IT-Sicherheitsfirma Duo Security spricht von einer "unheiligen Allianz" : Emotet ist der Türöffner, kundschaftet ein Netzwerk aus und lädt TrickBot nach. TrickBot fischt unter anderem Kontozugangsdaten ab. Mit allen so gesammelten Informationen schätzen die Angreifer, wie viel Lösegeld sich ihr Opfer gerade noch leisten könnte. Dann lädt TrickBot seinerseits die Ransomware Ryuk nach. Die verschlüsselt die Dateien, die bei der Auskundschaftung als besonders wichtig erkannt wurden. Und sie erschwert auch noch deren Wiederherstellung, indem sie alle Sicherungskopien löscht, die sie findet.

Das BSI hat nach eigenen Angaben "bisher nur vereinzelt Meldungen zu entsprechenden Infektionen" mit Ryuk bekommen, ist aber, was die Vorgehensweise angeht, ähnlicher Ansicht: "Nach unserer Einschätzung wird Ryuk von den Tätern nur sehr vereinzelt und gezielt eingesetzt, nachdem sie sich ausgiebig in den Netzwerken der Opfer umgesehen haben", teilte die Behörde auf Nachfrage mit.

Tilman Frosch, Geschäftsführer von G Data Advanced Analytics in Bochum, hält Ryuk nicht für besonders ausgefeilt, aber die Löschfunktion hält er für einen Trend in Erpressungssoftware: "Wir erwarten in diesem oder nächsten Jahr mehr solcher automatisierter Kompromittierungen von Back-ups."

Erst wurde Nordkorea verdächtigt, jetzt wird Ryuk in Russland verortet

Grim Spider - grimmige Spinne - nennt die IT-Sicherheitsfirma CrowdStrike in einer aktuellen Analyse  die Hintermänner von Ryuk. Wie auch die anderen US-Firmen FireEye, Kryptos Logic und McAfee geht CrowdStrike mittlerweile davon aus, dass die Gruppe aus russischen Kriminellen besteht, nachdem die Entwicklung von Ryuk zunächst in Nordkorea verortet wurde.

Mindestens 705 Bitcoins Lösegeld haben die Täter seit August 2018 kassiert, als Ryuk zum ersten Mal auftauchte. Nach heutigem Stand entspräche das umgerechnet ungefähr 2,25 Millionen Euro, aufgrund des seit November deutlich gefallenen Bitcoin-Kurses dürfte es tatsächlich aber mehr gewesen sein. Gezahlt wurde von mindestens 22 verschiedenen Bitcoin-Wallets aus, teilweise in mehreren Tranchen. Das könnte bedeuten, dass mindestens 22 Unternehmen kapituliert und gezahlt haben.

"Wir würden immer davon abraten, Lösegeld zu zahlen", sagt Frosch. "Aber wenn die Alternative ist, dass ein Unternehmen den Geschäftsbetrieb einstellen oder mit Konventionalstrafen aufgrund vertraglicher Verpflichtungen rechnen muss, die über der geforderten Lösegeldsumme liegen, dann stellt sich die Frage möglicherweise nicht mehr."

Microsoft Word ist der wichtigste Angriffspunkt

Der Schutz vor der grimmigen Spinne beginnt im Mailpostfach. Anwender sollten erstens keine unverlangt zugesandten Anhänge öffnen oder Links anklicken und von der dadurch geöffneten Website Dateien herunterladen, selbst wenn ihnen der Absender bekannt ist oder zu sein scheint. Administratoren sollten zweitens die Ausführung von Makros in Word verbieten, denn die sind das Einfallstor für Emotet. Alternativ könnten sie statt Word die Open-Source-Alternative LibreOffice im Unternehmen einsetzen. Drittens sollten sie Sicherheitsupdates und Patches für Windows auf dem neuesten Stand halten.

Wer Opfer von Emotet geworden ist, sollte dem BSI zufolge sofort sein Umfeld über die Infektion informieren. Denn E-Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet für die nächste Welle von Phishingversuchen der Täter. "Einmal infizierte Systeme" seien außerdem "grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden".