Bedrohungslage, Prävention & Reaktion
Fortsetzung vom 19. August 2016
Was macht Ransomware?
Im ersten Moment kann es so wirken, als sei Ihr Computer abgestürzt. Es erscheint entweder ein sogenannter «Blue Screen» oder alle Ihre Programme frieren ein. Der PC kann auch langsamer werden. Beim nächsten Neustart sind dann alle Daten, die sich auf dem PC, an angeschlossenen Datenträgern sowie auf Netzlaufwerken verschlüsselt. Andere Ransomware verschlüsselt gleich die ganze Festplatte. Haben sie jetzt kein gutes Backup, so sind ihre Daten verloren. Renommierte Firmen bieten ihnen zum Teil Entschlüsselungstools im Internet an, die jedoch nur bedingt, bis gar nicht wirken, je nach Schadenfall.
Auf keinen Fall sollten sie das geforderte Lösegeld in Form von Bitcoins zahlen und viele Benutzer wissen auch nicht, wie sie sich in einem solchen Schaden verhalten sollen. Das haben die Cyber-Gangster mit einkalkuliert. So schlimm das für den betroffenen zunächst ist, die Verschlüsselung wirkt sich jedoch nur als Ablenkungsmanöver aus. Im Hintergrund wird ihr Computer wie in Zeiten der Piraterie gekapert. Sie sind dann Teil eines BOT-Netzes. Hier wird Ihr PC von den Cyber-Kriminellen ferngesteuert und überwacht. Es nützt in diesem Fall nichts, einfach nur die verschlüsselten Daten wiederherzustellen. Es gibt mittlerweile unzählige Tools von Herstellern, die mit Entschlüsselungstools werben. Sie bekämpfen damit lediglich die Auswirkung, jedoch nicht die Ursache. Sie bleiben dadurch trotzdem Teil des BOT-Netzes. Insbesondere sind sie weiterhin stark gefährdet in Bezug zum Beispiel auf Online Banking, da die Trojaner nicht desinfiziert sind. Wenn sie mit Kreditkarte im Internet einkaufen, so besteht auch hier die Gefahr, des Betrugs.
Auch Mobile Geräte sind betroffen
Ransomware wird mehr und mehr auch zu einem Problem für Nutzer von Mobilgeräten. Die Malware-Autoren übernehmen dabei Techniken, die bereits bei Desktop-Schädlingen erfolgreich eingesetzt wurden. Ransomware sowie andere Malware-Varianten für Android erfüllen typischerweise die Definition eines trojanischen Pferds (Trojan Horse). Sie tarnen sich als legitime Anwendung und verbreiten sich auf diesem Wege über diverse App-Stores. Die Cyberkriminellen bedienen sich häufig beliebter Apps, wie angesagte Online-Spiele oder Anwendungen mit pornografischem Bezug, um die Downloadquoten zu erhöhen.
Nach erfolgreicher Installation nehmen die meisten Android-Schädlinge «Verbindung nach Hause» zu ihrem Command & Control Server auf. In manchen Fällen dient diese Kontaktaufnahme ausschließlich dazu, die Infektion zu verfolgen und wichtige Geräteinformationen wie Gerätemodell, IMEI-Nummer, Gerätesprache usw. zu erhalten.
Besteht hingegen eine dauerhafte Kommunikation mit dem C&C-Server, ist der Trojaner in der Lage, die von den Cyber-Gangstern gesendeten Befehle zu erkennen und auszuführen. So erschaffen die Malware-Autoren ein BOT-Netz aus infizierten Android-Geräten, worüber sie volle Kontrolle haben.
Neben der Sperrung des Geräts und der Anzeige einer Lösegeldforderung unterstützt die Android-Ransomware weitere Funktionen, zum Beispiel:
• Öffnen einer beliebigen URL im Browser des Telefons
• Senden einer SMS-Nachricht an einzelne oder alle Kontakte
• Sperrung oder Entsperrung des Geräts
• Diebstahl von erhaltenen SMS-Nachrichten
• Diebstahl von Kontaktdaten
• Anzeige einer anderen Lösegeldnachricht
• Update auf eine neue Version
• Aktivierung oder Deaktivierung mobiler Datenübertragung
• Aktivierung oder Deaktivierung des WLANs
• Verfolgung von GPS-Koordinaten des Nutzers
Die Verwendung ausgereifterer Verfahren wie Exploit gesteuerte Drive-by-Downloads sind bei Angriffen gegen Android weniger verbreitet. Inwieweit Android 7.0 Nougat (das nächste Betriebssystem) tatsächlich gegen Ransomware schützen kann, bleibt abzuwarten. Das kommende System wird im Herbst 2016 erwartet. Es kann davon ausgegangen werden, dass die Massnahmen, die Google derzeit plant, bereits mitkommender Malware wieder ausgehebelt sein wird. Daher ist es wichtig zu wissen, wie sie sich vor Ransomware schützen können, unabhängig der Android Version.
So schützen Sie sich vor Android Ransomware
Ein Whitepaper zum Einrichten eines Schutzes können sie unter https://whitepaper.it-consulting-ebikon.ch/Androidschutz herunterladen. Die Integrität des PDF Dokumentes können sie mit dem SHA1-Haswert vergleichen. Zur Berechnung benötigen sie ein Programm. Zum Beispiel HashMyFiles. Sie können die Freeware unter https://netSecure-IT.ch/hashmyfiles.zip downloaden.
Wie Sie Ihr Unternehmen vor erpresserischer Malware schützen können
Insbesondere für Unternehmen steht viel auf dem Spiel. Verlieren sie den Zugriff auf wichtige Unternehmensressourcen, kann der finanzielle Schaden und Imageverlust enorm hoch ausfallen. Sind die Vorkehrungen zum Schutz der Unternehmensdaten nur unzureichend und Mitarbeiter ungenügend sensibilisiert, besteht ein deutlich erhöhtes Risiko für einen Ransomware-Befall und den damit verbundenen Verlust von Zeit und wertvoller Daten. Darum ist es wichtig, vor allem präventiv vorzubeugen und nicht erst abwarten, bis ein Schadenfall eingetreten ist. Gleiches gilt selbstverständlich für private Personen. Oftmals bestehen hier nur ungenügende Sicherungsmechanismen.
Präventive Vorbeugung ist wirtschaftlicher, als einen Schadenfall im Nachhinein zu beheben. Präventiv bedeutet, Fähigkeiten zur Erkennung und Reaktion, technisch wie personell.
Anmerkung: Prävention sollte nicht geschaffen werden, indem das eigene Personal aufgestockt wird (eigenes Personal arbeitet meist nur nach der Methode, Schutz vor externen Angriffen gleichzutun, was als Konzept zu kurz greift), sondern die Herausforderung besteht in der Massnahme, gezielte Individual Security (Managed Service) an Spezialisten auszulagern. Nur dann ist Prävention wirtschaftlich auch sinnvoll. IT-Consulting Ebikon hat sich auf Managed Service spezialisiert.
Ein umfassender Ansatz sollte der Aspekte gleichberechtigt berücksichtigen, um den stetig komplexer werdenden Gefahren aktiv zu begegnen. Das betrifft die Entdeckung von Attacken, die Verhinderung des Eindringens und die schnelle Wiederherstellung von kritischen Systemen. Mit Wiederherstellung ist nicht gemeint, ein Backup wiedereinzuspielen. Es wäre an der Stelle falsch zu glauben, so könne der Endanwender davonkommen. Ransomware arbeitet viel komplexer und raffinierter.
State of the Art aus einer Hand
Lesen sie in der nächsten Ausgabe: So schützen sie sich vor Ransomware mit einem 6 Punkte Massnahmen Katalog inkl. weiteren Whitepapern und warum ein 2-Faktor Barrienschutz wichtig ist.
