22.11.2017 PCs in den Ruhemodus versetzen

Erste Hilfe nach Ransomware-Attacken

Von: Ina Schlücker

Was sollte man direkt nach einer Ransomware-Attacke tun? Michael Klatte vom Sicherheitsanbieter Eset rät dazu, die betroffenen Rechner in den Ruhemodus zu versetzen.

Michael Klatte, Eset

Michael Klatte, IT-Journalist bei Eset Deutschland GmbH

IT-DIRECTOR: Herr Klatte, aus welchen Gründen konnten die Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
M. Klatte:
Dafür gab es verschiedene Faktoren. Im Fall von Wanna Cry nutzten die Angreifer mit Eternal Blue eine Schwachstelle in Microsoft Windows aus. Die weltweit eher langsamen Update-Zyklen in Unternehmen spielten ihnen dabei ebenfalls in die Karten. Die Attacke hinter Disk Coder.C/Not Petya war ausgefeilt, gut organisiert und sehr fundiert mit dem Ziel, ukrainischen Unternehmen Schaden zuzufügen. Der Angriff geriet außer Kontrolle und verteilte sich über Grenzen hinweg. Die massenhafte Verbreitung erzielten die Angreifer, indem sie sich in Update-Server hackten und eine Backdoor in die sehr oft verwendete Buchhaltungs-Software M.E.Doc einbauten. Die Malware verbreitete sich dann über das interne Netzwerk. Die zerstörende Wirkung basiert auf einer gefährlichen Mischung verschiedener Malware-Familien und deren Vorgehen (z.B. Petya, Wanna Cry, AES-NI).

IT-DIRECTOR: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
M. Klatte:
Angreifer nutzen häufig nicht gepatchte Exploits oder Zero-Day-Exploits aus. In jüngster Vergangenheit haben Hacker angefangen, falsch konfigurierte oder schlecht gesicherte Remote-Desktops (RPD) auszunutzen oder Brute-Force-Angriffe auf Nutzerkonten mit gängigen Namen zu starten. Auch falsch konfigurierte Sicherheitseinstellungen in Windows oder Sicherheitslösungen können eine Tür für Ransomware öffnen.

IT-DIRECTOR: Welche Höhe betragen die Lösegelder in der Regel?
M. Klatte:
Die Höhe variiert, aber am häufigsten sind Beträge um die 300 US-Dollar in Bitcoin. Es scheint, dass diese Summe die besten Profite erzielt und die meisten User in der Lage und willig sind, so viel für die Entschlüsselung ihrer Daten und Geräte zu bezahlen.

IT-DIRECTOR: Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
M. Klatte:
Nach einer erfolgreichen Ransomware-Attacke wird der betroffene Computer am besten erst einmal in den Ruhezustand versetzt – sofern der Ruhemodus zuvor auf dem Rechner aktiviert war. Manchmal ist es möglich, die Entschlüsselungs-Codes aus dem Speicher wieder herzustellen, denn der Ruhezustand enthält einen vollständigen Speicherabzug. Betroffene können Systeme aus funktionierenden Sicherheitskopien wiederherstellen und mit einer verlässlichen Sicherheitslösung, Systemupdates und neuen Backups sicherstellen, dass sich die Infektion nicht erfolgreich wiederholt.

IT-DIRECTOR: Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
M. Klatte:
Hierauf gibt es keine pauschale Antwort. Bei einigen Ransomware-Familien erhalten die Opfer tatsächlich die entsprechende Entschlüsselungs-Software von den Malware-Entwicklern. Jedoch gibt es keine Garantie, dass das immer so ist – aufgrund von Fehlern in der Malware kann es sogar passieren, dass Daten überhaupt nicht mehr entschlüsselt werden können. Opfer können sich zudem nie sicher sein, dass die Angreifer ihre Dateien nicht beschädigen oder dass sie überhaupt vorhatten, ihnen zu helfen. Im schlimmsten Fall liegt es nicht im Interesse der Angreifer, ihren Opfern etwas Gutes zu tun – die Zahlung von Lösegeld ist somit reine Geldverschwendung und hilft nur den Kriminellen.

IT-DIRECTOR: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
M. Klatte:
Dieser „Service“ findet sich üblicherweise in Darknet-Foren und bietet technisch weniger versierten Cyber-Kriminellen eine fertige und sofort einsetzbare Ransomware, die sie modifizieren und verbreiten können. Für die Nutzung zahlen sie einen bestimmten Betrag sowie eine prozentuale Abgabe jeder erhaltenen Lösegeldzahlung an den Autor der Malware. RaaS bietet Cyber-Kriminellen zudem eine Möglichkeit sich auf das zu fokussieren, worin sie am besten sind – wird die Arbeit in kleine Teilbereiche unterteilt, können sie ihre jeweiligen Fähigkeiten effizienter einsetzen.

IT-DIRECTOR: Wo und von wem kann man „Ransomware as a Service“ beziehen? Und ab welchem Preis ist man dabei?
M. Klatte:
RaaS wird am häufigsten von erfahrenen Malware-Autoren entwickelt und angeboten, die ihre Produkte hauptsächlich in Darkweb-Foren anbieten. Dadurch können sie mehr verdienen und das Risiko auf andere Akteure abwälzen. Die tatsächlichen Preise variieren je nach Ransomware und können sogar davon abhängen, wie viele Opfer bezahlt haben oder infiziert wurden. Aus unserer Beobachtung heraus macht das zwischen zehn bis 60 Prozent des Profits aus.

IT-DIRECTOR: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
M. Klatte:
Wir empfehlen Unternehmen, ihre Software und sämtliche Betriebssysteme innerhalb des Firmennetzwerks auf dem neuesten Stand zu halten. Auch die Installation einer verlässlichen Security-Lösung mit einer aktuellen Virus-Datenbank ist ein Muss. Ansonsten raten wir zu regelmäßigen und getesteten Offline-Backups aller kritischen Systeme und Daten.

IT-DIRECTOR: Oder anders gefragt: Wie sieht eine IT-Landschaft aus, die einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen kann?
M. Klatte:
Unternehmen können einiges für ihre Sicherheit tun. Oberstes Gebot: Vorsicht ist besser als Nachsicht, daher steht Prophylaxe an erster Stelle. Alle Computer innerhalb eines Netzwerks müssen gesichert werden, denn Angreifern reicht oft eine einzige Lücke aus, um sich auszubreiten. Die Angriffsfläche sollte also auf ein Minimum reduziert werden. Ein extra Blick auf externe Geräte, das Ausschalten unnötiger Software und Services oder die Nutzung einer VPN-Verbindung hilft ebenfalls.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH