- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Mamba & PetrWrap mit eigener Handschrift


Gezielte Ransomware-Attacken gegen Unternehmen
Kaspersky Lab identifiziert acht auf Cybererpressung spezialisierte Gruppen

- Anzeigen -





Nach Einschätzung der Experten von Kaspersky Lab gibt es im Bereich Ransomware (Erpressungssoftware) einen alarmierenden Trend. Immer mehr Cyberkriminelle richten ihre Erpresser-Angriffe nicht mehr gegen Heimanwender, sondern bedrohen gezielt einzelne Unternehmen. Kaspersky Lab konnte acht verschiedene Gruppen ausmachen, die weltweit vor allem Finanzinstitutionen mit Krypto-Ransomware (Verschlüsselungssoftware) angreifen. Dabei kommt es in Einzelfällen zu Lösegeldforderungen in Höhe von mehr als einer halben Million US-Dollar.

Zu den acht identifizierten Gruppen gehören die Autoren der PetrWrap-Malware, die sich weltweit gegen Finanzinstitute richtet, die berüchtigte Mamba-Gruppe sowie sechs weitere namenlose Gruppen. Die auf Ransomware spezialisierten Akteure haben es verstärkt auf Unternehmen abgesehen, nachdem sie zuvor Heimanwender attackiert und dabei auch Affiliate-Programme genutzt hatten. Der Grund für die Neuausrichtung: die zu erwartende Schadenshöhe für den laufenden Geschäftsbetrieb nach einem Ransomware-Angriff erhöht die Bereitschaft von Unternehmen, das geforderte Lösegeld zu bezahlen. Für Cyberkriminelle sind derartige Angriffe lukrativer als Massenangriffe auf Heimanwender.

Bei ihren Attacken gehen alle Gruppen ähnlich vor. Über Server-Schwachstellen oder Spear-Phishing-E-Mails wird die Malware in die Unternehmensnetzwerke eingeschleust. Sie versucht sich dort dauerhaft festzusetzen und sucht nach geschäftsrelevanten Datenressourcen, die dann verschlüsselt werden. Für die Entschlüsselung wird Lösegeld verlangt.

Manche Gruppen zeichnen sich auch durch eigene Vorgehensweisen aus. So nutzt etwa die Mamba-Gruppe eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor; die Entschlüsselungssoftware wird mit Hilfe eines legitimen Programms für Windows Remote Control installiert. Dieses Vorgehen ist für die Sicherheitsfachleute der Unternehmen nur schwer zu erkennen. In manchen Fällen beträgt die Lösegeld-Forderung pro Endgerät ein Bitcoin, was etwa der Summe von knapp 1.000 Euro entspricht (Stand Ende März 2017).

Auch PetrWrap nutzt eigene Tools und setzt sich bis zu sechs Monate lang im Netzwerk fest. Diese Ramsomware-Angriffe richten sich vorwiegend gegen Großunternehmen mit vielen Netzknoten.

"Wir müssen darauf gefasst sein, dass gezielte Ransomware-Attacken auf Unternehmen weiter zunehmen und zu nennenswerten Schäden führen werden", prognostiziert Anton Ivanov, Senior Security Researcher, Anti-Ransom, bei Kaspersky Lab. "Dieser Trend ist alarmierend, weil die Akteure ihren Kreuzzug gegen neue und finanzkräftige Opfer gerade erst begonnen haben. Es gibt da draußen noch sehr viel mehr potenzielle Opfer, für die
Angriffe mit Ransomware noch verheerendere Folgen haben könnten."

Organisationen sollten daher die folgenden Empfehlungen berücksichtigen:
• >> Daten mit regelmäßigen Backups sichern, so dass sich Dateien im Notfall wiederherstellen lassen.

• >> Eine Sicherheitslösung einsetzen, die mit verhaltensbasierter Erkennung arbeitet. Malware, inklusive Ransomware, kann dann rechtzeitig durch ihr Verhalten als solche erkannt werden. So lassen sich auch noch unbekannte Samples identifizieren.

• >> Die Website NoMoreRansom.org hilft Opfern von Ransomware, Daten auch ohne Lösegeldzahlung zurück zu bekommen.

• >> Jede installierte Software auf Endpoints, aber auch auf Netzknoten und Servern, sollte geprüft werden und immer auf dem neuesten Stand sein.

• >> Security-Assessments (zum Beispiel Sicherheits-Audits, Penetrationstests oder Gap-Analysen) können Schwachstellen identifizieren und schließen. Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sollten deren Sicherheitsrichtlinien ebenfalls überprüft werden.

• >> Das Fachwissen beziehungsweise die Intelligence externer Sicherheitsanbieter unterstützten Organisationen bei der Prognose zukünftiger Angriffe.

• >> Speziell die Mitarbeiter im operativen Bereich und alle Ingenieure im Unternehmen sollten sensibilisiert werden und über aktuelle Ransomware-Gefahren Bescheid wissen.

• >> Und nicht zuletzt muss eine wirksame Sicherheitsstrategie Angriffe abwehren können, bevor Malware kritische Firmenressourcen überhaupt erreichen kann.
(Kaspersky Lab: ra)

eingetragen: 21.04.17
Home & Newsletterlauf: 16.05.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • Jagdrevier für Kryptominer

    Das bevorstehende Fußball-Turnier in Russland diesen Sommer zählt zu den größten Sportereignissen der Welt und Deutschland hat seit 1994 erstmals wieder die Chance, den Titel zu verteidigen. Das größte Fußball-Ereignis der Welt verbindet Menschen aller Nationen, die globale Aufmerksamkeit bei solchen Großevents ist jedoch auch prädestiniert für Cyber-Attacken aller Art, die zum einen Profitmaximierung, aber zum anderen auch geopolitische Destabilisierung als Ziel haben können. Helge Husemann, Sicherheitsexperte von Malwarebytes, dem führenden Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, nennt sieben mögliche Gefahren vor und während des Fußball-Turniers in Russland.

  • Erkennung von Bedrohungen

    Es hat sich erwiesen, dass Unternehmen, die im Rahmen ihrer Omnichannel-Initiativen die Einbeziehung digitaler Identitäten fokussieren, für ein nachhaltiges Wachstum besser positioniert sind als solche, die allein auf die Intelligenz der Endgeräte setzen. Aktuellen Studien zufolge können erstgenannte Unternehmen durch eine verbesserte Neukundengewinnung und eine höhere Kundenbindung ein Umsatzplus von bis zu acht Prozentpunkten gegenüber dem Branchendurchschnitt realisieren. Allerdings herrscht häufig der Irrglaube vor, dass sich "Digitale Identität" und "Geräteintelligenz" als Synonyme gebrauchen lassen. Armen Najarian, Chief Marketing Officer bei ThreatMetrix, hat sich bereits in einem Blog-Beitrag zum Unterschied zwischen Geräteintelligenz und digitaler Identität geäußert.

  • Hybride Bedrohungen

    Die AfD-Fraktion will mehr wissen über so genannte hybride Bedrohungen. Dabei handele es sich nach Angaben der Deutschen Bundesregierung um "unterschiedliche Formen und Methoden des Konfliktaustrags", darunter Desinformation, Cyberattacken und Cybersabotage. Die Abgeordneten erkundigen sich in einer Kleinen Anfrage (19/1002) nun danach, welche Fälle von hybriden Bedrohungen gegen Deutschland seit 2010 bekannt geworden sind.

  • Verschlüsselte Telekommunikation

    Die FDP-Fraktion interessiert sich für die Möglichkeiten der Überwachung von Telekommunikationsmitteln zur Strafverfolgung und die Nutzung einschlägiger Software. Offenbar habe das Bundeskriminalamt (BKA) damit begonnen, auch verschlüsselte Botschaften im Internet zu lesen. Neben der selbst konzeptionierten Software RCIS stehe dem BKA dazu ein Programm namens FinSpy zur Verfügung, heißt es in einer Kleinen Anfrage (19/1020) der Fraktion. Die Abgeordneten wollen von der Bundesregierung nun wissen, wie oft, in welchen Fällen und auf welche Weise Software zur Überwachung informationstechnischer Systeme eingesetzt worden ist oder noch eingesetzt wird.

  • Schutz industrieller Informationssysteme

    Das Thema Cybersicherheit war 2017 für viele Industrieunternehmen auf der Tagesordnung. Hackerangriffe auf Informationssysteme machten Schlagzeilen. Sie zeigten vielen, dass man selbst eventuell auch angreifbar ist. Um die Sicherheit der Industriesysteme zu gewährleisten, sind geeignete Maßnahmen erforderlich, sowohl in Bezug auf die IT-Infrastruktur als auch auf die OT-Integrität. Die Zuverlässigkeit ist dabei von zentraler Bedeutung und hat oftmals größeren Einfluss als die IT, weil sie sich auf die Integrität des Eigentums und natürlicher Personen auswirken kann. Informationssysteme von produzierenden Unternehmen unterscheiden sich von denen anderer Wirtschaftszweige. Dadurch werden Sicherheits- und Schutzmaßnahmen erforderlich, die eine geschäftsspezifische Logik integrieren. So bieten herkömmliche, funktionsübergreifende Sicherheitslösungen kein entsprechendes Sicherheitsniveau für diesen Bereich.