Ransomware: Behörden warnen vor einer Zunahme von Angriffen

Ransomware-Attacken auf Schweizer Unternehmen sind schon länger ein Thema. Laut Behördenwarnungen hat ihre Häufigkeit jedoch in letzter Zeit deutlich zugenommen, wobei die Angreifer immer raffinierter vorgehen. Für Unternehmen kann dies schwerwiegende finanzielle Folgen haben.

Die Melde- und Analysestelle Informationssicherung MELANI des Bundes warnt insbesondere vor dem so genanntem «Spear-Phishing»: Angreifer versenden dabei gezielt schädliche E-Mails an Unternehmen, die einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang enthalten. Klicken Nutzer auf den Link bzw. den Anhang, ist die Chance gross, dass die Täter sich Zugang zum System verschaffen können. Gespeicherte Daten werden anschliessend mit einem Verschlüsselungstrojaner verschlüsselt.

Namhafte Unternehmen betroffen

Von einem Anstieg von Ransomware-Fällen bei KMUs und Grossbetrieben in den letzten Monaten spricht auch die Zürcher Kantonspolizei. Häufig wird dazu Malware, wie LockerGoga, Ryuk oder MegaCortex eingesetzt, wie es in einer Mitteilung heisst. Um die Erfolgschancen zu erhöhen, informieren sich die Angreifer vorgängig über die Unternehmen, die sie ins Visier nehmen.

Zu den Opfern der jüngsten Welle von Cyber-Attacken gehört laut der «Neuen Zürcher Zeitung» der Haustechnikkonzern Meier Tobler. So seien das zentrale Warenbewirtschaftungssystem des Unternehmens, das Lagerleitsystem, die Festnetztelefonie, die Website sowie alle E-Mail-Konten vorübergehend lahmgelegt worden. Von einer Phishing-Attacke war laut dem «Tages-Anzeiger» dagegen das Zürcher Softwareunternehmen Crealogix betroffen.

Verschiedene Angriffs-Szenarien

Nebst dem erwähnten Spear-Fishing setzen Angreifer laut MELANI vor allem auf zwei weitere Methoden, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Einerseits können in einschlägigen Internet-Foren Zugänge zu infizierten Unternehmens-Rechnern «gekauft» werden, über die sich Netzwerke von Opfern grossflächig infiltrieren lassen. Zum Einsatz kommen dabei in der Regel die Trojaner «Emotet», «TrickBot» oder «Qbot».

Andererseits scannen Angreifer das Internet nach offenen VPN- und Terminal-Servern von Unternehmen und versuchen, sich mittels «Brute-Force»-Angriffen Zugriff darauf zu verschaffen. Bei allen Szenarien werden zusätzlich Angriffswerkzeuge wie «Cobalt Strike» oder «Metasploit» eingesetzt, um an die erforderlichen Zugriffsrechte zu gelangen.

So schützen Sie sich vor Ransomware-Attacken

Angesichts der aktuellen Häufung wiederholt MELANI frühere Empfehlungen zum Schutz vor Ransomware-Attacken. Besonders wichtig ist es, regelmässig Sicherungskopien der gespeicherten Daten zu erstellen. Dabei gilt: Das Medium, auf dem die Kopie gespeichert wird, muss nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch getrennt werden. Ansonsten besteht die Gefahr, dass sich die Angreifer auch Zugriff auf das Backup verschaffen können.

Zu den grundlegenden Abwehrmassnahmen gehört zudem ein Antivirenschutz, wie beispielsweise Bitdefender. Durch Sperrung der folgenden Dateitypen lässt sich damit nämlich weitgehend verhindern, dass schädliche E-Mails bzw. Anhänge überhaupt bis zu den Nutzern vordringen können.