Die Cleverness von datenzerstörenden Viren (Ransomware) nimmt extrem zu!
In den letzten Wochen und Monaten haben weltweite Angriffe mit Ransomware (Erpressungssoftware) markant zugenommen. Zwar gibt es solche Schadsoftware schon seit einigen Jahren, die neusten Versionen haben allerdings bedenkliche Dimensionen angenommen. Besonders die technische Ausgereiftheit bereitet Sorgen.
Der Anfang war bescheiden
Die ersten Ransomware-Programme gab es Ende der 80er Jahre, damals noch von der Post auf Disketten zugestellt. Zur Freischaltung der verschlüsselten Daten mussten Checks per Post versendet werden. Mit dem Aufkommen des Internets wurde dann die Verbreitung per E-Mail oder über infizierte Webseiten im Zusammenspiel mit Browsersicherheitslücken beliebt. Ransomware-Programme waren simpel programmiert und setzten meistens grobe Fahrlässigkeit des Benutzers voraus. Sie besassen nur eine Angriffsart. Falls diese blockiert war, konnten sie nicht aktiv werden.
Herkömmliche Ransomware
Da die Schadsoftware einfach aufgebaut war, waren nur Daten betroffen, zu denen der Rechner des Opfers direkt Zugang hatte. Meist waren dies lediglich die lokalen Daten. Über ein Backup, das man auf einem anderen Computer im Netz gespeichert hatte, konnten die verschlüsselten Daten relativ einfach wiederhergestellt werden.
Seit März 2017 explodiert die Gefahr einer Infizierung
Seit den WannaCry und den Petya resp. NotPetya Viren im Jahre 2017, sieht alles anders aus. Die technische Entwicklung der Systeme hat auch bei Schadsoftware dazu geführt, dass diese nicht mehr viel mit den simplen Programmen der vergangenen Jahre gemein hat. Heutige Schadsoftware enthält meistens mehrere Komponenten um schädlich aktiv zu werden. Folgende neue Angriffstechnologien werden nun benutzt:
- Neue Funktionen um in ein System einzudringen:
- Es werden Updateserver von Softwareherstellern infiziert!
- Die Firma bekommt einen Anruf mit der Aufforderung z.B. eine Webseite zu besuchen um z.B. einen Polizeirapport einzusehen.
- Funktionen um die lokalen Sicherheitsvorkehrungen auszuschalten (z.B. Antivirus-Software).
- Funktionen um Administratorrechte zu erlangen.
- Funktionen um Passwörter zu hacken.
- Die neuen Schadsoftwares versuchen zusätzlich, sich auf andere Systeme zu kopieren, um das gesamte Netzwerk zu zerstören.
Neuartige Viren
Besitzt eine Schadsoftware Zugriff auf die Server oder Arbeitsstationen, kann sie sich im gesamten Netzwerk ausbreiten und es zerstören. Im schlimmsten Fall werden die Sicherungen ebenfalls zerstört. Die Firma würde einen totalen Datenverlust erleiden.
Ob eine Ransomware Administratorenrechte erlangen kann, hing früher stark davon ab, welche Sicherheitsvorrichtungen in einem System getroffen wurden:
- Rechte der einzelnen Nutzer
- Anzahl möglicher Anmeldeversuche
- Installierte Protokolle
- Aktuelle Antivirussoftware
- Zeitnahe Windows Updates
Mit diesen und weiteren technischen Massnahmen konnte das Risiko eines GAUs stark minimiert werden.
Auch wenn Ihre Systeme immer aktualisiert sind und ihr Standort in der Schweiz ist, können Ihre Daten und Systeme in Gefahr sein!
Es liegt uns fern, Panik zu verbreiten. Jedoch als ausgewiesene IT System- und Sicherheits-Firma müssen wir unsere Kunden ehrlich informieren. Im Internet findet man Berichte, in denen beschrieben wird, dass über 100'000 Firmen dieses Jahr zu Schaden gekommen sind.
Vor aktuellen Gefahren wird nun «endlich» auch über Radio und Fernsehen berichtet. Uns selbst sind drei Fälle in der Schweiz bekannt, wo der letzte Virus über 80% der Daten zerstört hat. Eine Firma mit über 500 Mitarbeitenden musste gar für zwei Wochen schliessen. Von zwei dieser Fälle wissen wir, dass alle Systeme aktuell waren.
Einige Berichte in den Medien:
- Schweizer Unternehmen betroffen von NotPetya
http://www.itmagazine.ch/Artikel/65008/Petya__NotPetya_Auch_Schweizer_Unternehmen_sind_betroffen.html - Cyber-Attacke: Immer mehr Schweizer Firmen betroffen
http://www.watson.ch/Digital/International/791809288-Cyber-Attacke--Immer-mehr-Schweizer-Firmen-betroffen - Auch die schweizer Firma Admeira ist Opfer der weltweiten Cyber-Attacken geworden
http://www.werbewoche.ch/digital/2017-06-27/auch-admeira-ist-opfer-der-weltweiten-cyber-attacken-geworden - Milka-Fabrik steht seit einer Woche still
http://m.tagesspiegel.de/wirtschaft/wegen-erpressersoftware-petya-milka-fabrik-steht-seit-einer-woche-still/20013388.html - Metabo wird Opfer von Hacker-Angriff
https://www.teckbote.de/nachrichten/lokalnachrichten-zwischen-neckar-und-alb_artikel,-metabo-wird-opfer-von-hackerangriff-_arid,202930.html - Der Hamburger Beiersdorf-Konzern hat es ebenso getroffen
http://www.ndr.de/nachrichten/hamburg/Bei-Beiersdorf-sind-die-Telefone-noch-tot,beiersdorf226.html - Rückkehr von Petya – Kryptotrojaner legt weltweit Firmen und Behörden lahm
https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html - Es wird stark vermutet, dass NotPetya schon länger auf den Systemen schlummerte!
https://www.heise.de/security/meldung/BSI-Warnung-Nach-wie-vor-hohe-Gefahr-durch-NotPetya-Backdoor-in-MeDoc-3767247.html?wt_mc=rss.security.beitrag.atom
Restrisiko
Das Restrisiko ist heutzutage schwer einzuschätzen, es ist jedoch klar, dass die Gefahr einer Infizierung immer grösser wird. Drei Faktoren spielen dabei eine Rolle:
- Technischer Fortschritt: Wie anfänglich erwähnt, wird Schadsoftware genau so weiterentwickelt wie herkömmliche Software. Es hat sich eine ganze Industrie rund um Schadsoftware entwickelt, die technische Finesse von Ransomware wird also noch schneller zunehmen als bisher.
- Der Faktor Mensch: Sollte aus irgendeinem Grund ein Benutzer solche Ransomware starten, könnte das ganze Netzwerk betroffen sein.
- Zero-Day-Lücken: Zero-Day-Lücken sind Sicherheitslücken in einer Software, die dem Hersteller nicht bekannt sind und deswegen noch nicht behoben sind. Selbst das beste Sicherheitskonzept kann nichts gegen Schadsoftware ausrichten, welche Zero-Day-Lücken ausnutzt. Sollten Kriminelle eine Sicherheitslücke vor dem Hersteller entdecken, dann können sie diese ohne Gegenwehr ausnutzen.
Sicherungen auf externe Festplatten sind keine echten Alternativen
Einige «Fachleute» raten, die Sicherungen auf externe Festplatten oder auf NAS (Netzwerkdatenspeicher) zu speichern. Dass Netzwerkdatenspeicher nicht vor einem Angriff sicher sind, haben wir vorgängig bereits erläutert und dürfte logisch erscheinen. Externe Festplatten haben zwar den Vorteil, dass diese im Normalfall offline (nicht im Betrieb) aufgehoben werden. Folgende Gegebenheiten veranlassen uns jedoch, externe Festplatten als «unsicheres Backup-Medium» zu bewerten:
- Ein Virus könnte sich während des Erstellens der Sicherung unbemerkt auf die Festplatte kopieren, um später die Sicherungsdaten zu zerstören.
- Falls der Virus sich noch im Netzwerk befindet (z.B. auf einem nicht bekannten Gerät), kann dieser die Sicherungsdaten zerstören bevor eine Datenwiederherstellung erfolgen konnte.
Selbst wenn man mehrere Festplatten zur Datensicherung nutzt, können diese Backups vor, während oder nach der Datenwiederherstellung zerstört werden. Es gibt dann keine Möglichkeit mehr, auf ältere Datensicherungen zuzugreifen.
Mehrfach absichern
Ein Sicherheitssystem, dass auf interne Backups setzt, ist seit diesen neuartigen Viren einem zu grossen Restrisiko ausgesetzt. Wir können nicht abschätzen, was morgen für Angriffsmöglichkeiten entwickelt werden. Wir empfehlen deshalb allen Firmen, zusätzlich ein Backup in einem externen Netzwerk anzulegen. Sollte es zu einem GAU kommen, kann das System danach mindestens wiederaufgebaut und die Daten gerettet werden. In unseren Augen ist ein externes und geschütztes Backup eine Sicherheitsinvestition, die jedes Unternehmen tätigen sollte. Die Alternative kann ein potentieller Totalausfall der Systeme und Verlust sämtlicher Daten sein, ohne Aussicht auf Rettung.