Ransomware gehört aktuell zu den am weitesten verbreiteten Angriffsmethoden auf Unternehmen
Ransomware: viele Varianten, wenig Handhabe
Welch katastrophale Folgen ein erfolgreicher Ransomware-Angriff haben kann, zeigt unter anderem das Beispiel Maersk. Als die Server der Reederei mit der Schadsoftware NotPetya infiziert wurden, musste das Unternehmen Verluste von mehreren Hundert Millionen US-Dollar verzeichnen. Dies lag daran, dass die globalen Geschäftsprozesse vollständig unterbrochen wurden. Nach Schätzungen der amerikanischen Regierung kostete die Behebung der weltweiten Kosten des Angriffs neun Milliarden Euro. Dabei ist NotPetya längst nicht die einzige Ransomware-Variante dieses Typs. SamSam ist ein weiteres Beispiel. Dabei handelt es sich um eine Malware-Familie, die speziell dafür konzipiert wurde, Systeme für den Endpunktschutz zu unterlaufen. Dabei soll sie zielgenau die kritischen Server von Unternehmen und Institutionen infizieren. Die Malware ist nur schwer zu detektieren, da sie nicht mit einem Command-and-Control-Server kommuniziert. Deshalb wird sie seit 2015 gerne für gezielte Attacken gegen Behörden und medizinische Organisationen eingesetzt. Im Jahr 2018 wurde SamSam gegen die Kommunalverwaltung von Atlanta in Stellung gebracht. Dadurch entstanden Schäden in Millionenhöhe und wichtige städtische Dienste waren zeitweise nicht verfügbar. Noch ein wenig hinterhältiger operiert Powerware. Dies ist eine vergleichsweise neue Art von Ransomware, die keine neuen Dateien auf infizierten Systemen installiert. Sie nutzt die Microsoft-Powershell, um sich von den Endpunkten auf die Server auszudehnen und diese Aktivitäten als legitime Vorgänge zu verschleiern.
Einmal feucht durchwischen
Das neueste Tool aus dem Werkzeugkasten des Schreckens nennt sich GermanWiper. Dabei handelt es sich um ein an ein vermeintliches Bewerbungsschreiben beigefügtes Zip-Archiv. Wie man sich denken kann, ist aber nicht der Lebenslauf als Word-Dokument angefügt, sondern eine Windows-Link-Datei. Durch Aktivierung startet die Powershell in Windows und diese wiederum lädt die eigentliche Schadsoftware von einem Server. GermanWiper vernichtet Daten dauerhaft. Denn anstatt sie mit viel Aufwand zu verschlüsseln, überschreibt die Malware Dateien mit Nullen und ändert die Dateiendung. Das tut sie, bevor sie eine Lösegeldforderung stellt, auf die der Betroffene auf gar keinen Fall eingehen sollte. Leider ist der einzige Weg zur Wiederherstellung der Dateien ein vorher angefertigtes Backup. Dieses wird aufgespielt nachdem der PC gesäubert wurde.
Patches und Updates schaffen Abhilfe
Der effektivste Schlüssel zum Schutz vor Ransomware ist die Anpassung des eigenen Verhaltens im Umgang mit E-Mails. Mehr Informationen dazu finden Sie in unserem Beitrag zum Thema E-Mail-Sicherheit [Verlinkung zum Blogbeitrag E-Mail-Sicherheit]. Regelmäßige Patches und Updates sind darüber hinaus die effektivsten und einfachsten Maßnahmen für Unternehmen, um die Sicherheit vor solchen Gefahren zu verbessern. Das Stichwort lautet Automatisierung. Mithilfe automatischer Aktualisierungen nutzen beispielsweise 75 bis 80 Prozent der Verwender von Google Chrome immer die aktuellste Version oder zumindest die Vorversion. Wenn keine automatisierten Prozesse Verwendung finden, dann zeigt sich ein anderes Bild. Viele Nutzer laden Patches oder Updates nicht herunter, obwohl sie Benachrichtigungen von der IT-Administration bekommen. So kommt es, dass in Unternehmen Software-Versionen eingesetzt werden, die vom Hersteller keinen Support mehr bekommen und zahlreiche, seit Jahren bekannte, Schwachstellen aufweisen. Ebenso häufig gefordert und leider dennoch zu oft ignoriert wird die Empfehlung für komplexe Passwörter.