Der Security-Anbieter Kaspersky hat im Bereich Ransomware einen alarmierenden Trend ausgemacht: Laut den Sicherheitsexperten setzen immer mehr Cyberkriminelle auf gezielte Angriffe, um Unternehmen mit Verschlüsselungs-Malware zu identifizieren. Zuvor richteten sich die Attacke nach dem Gießkannenprinzip gegen Heimanwender und Firmen gleichermaßen. Insgesamt identifizierte Kaspersky nach eigenen Angaben acht verschiedene Gruppierungen, die weltweit vor allem Finanzinstitutionen mit Verschlüsselungssoftware angreifen. Grund für das gezielte Vorgehen dürfte die höhere Bereitschaft von Unternehmen sein, das geforderte Lösegeld zu bezahlen. Dadurch seien diese Angriffe lukrativer als auf Heimanwender. In Einzelfällen belaufen sich die Lösegeldforderungen an betroffene Unternehmen laut Kaspersky auf mehr als eine halbe Million Dollar.

Unter den acht identifizierten Gruppen gehören die Autoren der Petrwrap-Malware, die sich weltweit gegen Finanzinstitute richtet, sowie die Mamba-Gruppe und sechs weitere namenlose Gruppen, so die Sicherheitsexperten. Sie alle sollen verstärkt auf gezielte Angriffe gegen Unternehmen statt auf Massenangriffe auf Heimanwender setzen.

Die Angriffsmuster unterscheiden sich laut Kaspersky bei allen acht Gruppierungen kaum. Über Server-Schwachstellen oder Spear-Phishing-E-Mails schleusen sie die Malware in die Unternehmensnetzwerke ein. Diese versucht sich dort festzusetzen und sucht dort nach geschäftsrelevanten Datenressourcen, die die Krypto-Malware dann verschlüsselt. Anschließend wird für die Entschlüsselung das Lösegeld verlangt.

Jedoch hat der Security-Anbieter bei manchen Gruppen eigene Vorgehensweisen festgestellt. Die Mamba-Gruppe nutze beispielsweise eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software Diskcryptor. Die Verschlüsselungssoftware wird mit Hilfe eines legitimen Programms für Windows Remote Control installiert. Für die Sicherheitsfachleute in den Unternehmen sei dieses Vorgehen nur schwer zu erkennen. In manchen Fällen verlangten die Kriminellen pro verschlüsseltes Endgerät einen Bitcoin (etwa 1.000 Euro, Stand Ende März 2017). Eigene Tools verwendet auch Petrwrap. Die Ransomware setzt sich laut Kaspersky bis zu sechs Monate im Netzwerk fest und richtet sich hauptsächlich gegen Großunternehmen mit vielen Netzknoten.

Um die Gefahr eines Ransomware-Angriffs zu reduzieren, geben die Sicherheitsexperten den Unternehmen unter anderem die Empfehlung, mit regelmäßigen Backups ihre Daten zu sichern, um diese im Notfall wiederherstellen zu können. Zudem raten sie zu einer Sicherheitslösung, die mit verhaltensbasierter Erkennung arbeitet. Jegliche Art von Malware könne man damit durch ihr Verhalten rechtzeitig als solche erkennen, darunter noch unbekannte Samples. Es sei ebenfalls ratsam, jede installierte Software auf Endpoints, Netzknoten und Servern zu prüfen und regelmäßig zu aktualisieren. Security-Assessments, etwa Sicherheits-Audits, Penetrationstests oder Gap-Analysen, helfen dabei, Schwachstellen zu identifizieren und zu schließen. Die Expertise von externen Organisationen könne zusätzlich bei der Prognose zukünftiger Angriffe helfen.

Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sind deren Sicherheitsrichtlinien ebenfalls zu überprüfen, so Kaspersky. Unternehmen sollten außerdem dafür sorgen, dass ihre Mitarbeiter, vor allem im operativen Bereich und alle Ingenieure, für das Thema sensibilisiert und über aktuelle Ransomware-Gefahren informiert sind. Auch sei es für Unternehmen wichtig, über eine wirksame Sicherheitsstrategie zu verfügen, um Angriffe abzuwehren, bevor Malware kritische Firmenressourcen erreichen kann.

Darüber hinaus hilft die Website www.nomoreransom.org Opfern von Verschlüsselungs-Malware dabei, ihre Daten auch ohne die Zahlung von Lösegeld zurückzubekommen.

Weitere Informationen finden sich unter www.kaspersky.de und im Blogpost securelist.com/blog/sas/77877/ransomware-in-targeted-attacks.

Die Mamba-Gruppe nutzt eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software Diskcryptor. Bild: Kaspersky

Timo Scheibe ist Redakteur bei der LANline.