Ransomware: Schweizer Firmen im Fadenkreuz.

Dass kriminelle Hacker keine Sommerpause machen, mussten in den letzten Wochen verschiedene Schweizer Unternehmen feststellen. Wie die Melde- und Analysestelle Informationssicherung MELANI des Bundes mitteilte, wurden verschiedene Firmen angegriffen, ihre Unternehmensnetzwerke erfolgreich infiltriert und ihre Daten verschlüsselt um sie zu erpressen. Die Angriffsszenarien sind bekannt; Abwehrmassnahmen können getroffen werden.

  #Cloud Security   #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture   #SIEM   #Cyber Defense Center   #Vulnerability Management  
Markus Kaegi
+41 58 510 16 98
markus.kaegi@umb.ch

Gemäss Medienberichten handelt es sich bei den betroffenen Firmen unter anderem um den Bankensoftware-Anbieter Crealogix[i]und den Haustechnikkonzern Meier Tobler[ii]. Bei Crealogix bestätigte man, dass die eingeschleuste Malware interne Windows-Arbeitsplätze lahmgelegt habe. Kunden, RZ-Dienstleistungen oder der Quellcode der hauseigenen Software seien nicht betroffen gewesen, und man habe den Angriff schnell unter Kontrolle gebracht. Scheinbar schwerer getroffen wurde Meier Tobler, wo der Betrieb nach einem Angriff durch einen Kryptotrojaner weitgehend lahmgelegt worden war: das zentrale Warenbewirtschaftungssystem SAP, das Lagerleitsystem, die Festnetztelefonie, die Webseite sowie alle E-Mail-Konten wurden blockiert. Inzwischen läuft der Betrieb wieder; das Unternehmen arbeite gemäss bestehenden Notfallplänen weiter mit Hochdruck daran, die Infrastruktur wieder aufzubauen, heisst es auf der Website des Unternehmens.

 

Spear Phishing in Schweizer Unternehmen

Tatsächlich handelt es sich bei den Cyber-Angriffen auf Schweizer Firmen nicht um ein neues Problem. Wie die Meldestelle des Bundes mitteilt[iii], sind nun aber vermehrt Cyber-Angriffe gemeldet worden, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Folgende Angriffsszenarien seien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen(Spear Phishing)[iv], um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit „Emotet“, „TrickBot“ oder vereinzelt auch „Qbot“ infiziert. Kriminelle Gruppierungen bezahlen für den Zugang zu diesen infizierten Computer, um das Netzwerk der Opferfirma grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern und versuchen mittels Brute-Force-Angriffen Zugriff auf diese zu erhalten.
  • Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge wie zum Beispiel „Cobalt Strike“ oder „Metasploit“, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware auf den Systemen platziert, die dann die Daten vollständig verschlüsselt.

 

Vorbeugen ist besser als heilen

Aufgrund der aktuellen Gefahrenlage warnt MELANI Schweizer Unternehmen nun erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen schnellstmöglich umzusetzen:

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten, zum Beispiel auf einer externen Festplatte. Stellen Sie sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer oder Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und diese verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
  • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Programme müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros. Eine Liste von zu sperrenden Dateianhängen finden Sie hier[v].

 

UMB analysiert Ihre Sicherheitslage

UMB kann Schwachstellen auf Ihren Systemen entdecken und den Datenverkehr sowie Ihr Network mit fortschrittlichsten Log- und Risk-Management-Technologien analysieren und überwachen. Wir können die Profile Ihrer Angreifer enttarnen und versteckte Gefahren finden, bevor diese in Ihrem Unternehmen Schäden anrichten können. Entscheiden Sie sich noch heute für eine Security Analyse durch das UMB Security Intelligence. Kontaktieren Sie mich.

 

[i]inside-it.ch: Crealogix nach Phishing-Angriff

[ii](Luzernerzeitung) Meier Tobler: Offene Fragen nach Cyberangriff

[iii]Melani Ransomware-Update

[iv]Wikipedia: Was ist Spear-Phishing?

[v]Liste: Welche Dateitypen sollten gesperrt werden?