Zusammenfassung
Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).
Krypto-Trojaner gehören zu der sogenannten Ransomware. Einmal auf dem Computer angekommen und aktiviert, beginnen sie umgehend mit ihrer Aufgabe. Und diese lautet “Verschlüssele alles, was Dir in die Finger kommt”. Die Folgen verheerend. Unternehmen werden lahmgelegt, Behörden sind arbeitsunfähig. Im privaten Bereich sind im Zweifel über die Jahre mühselig gepflegte Bilder- und Musikdatenbanken futsch.
Entschlüsselt wird nur gegen Zahlung von Lösegeld in Form von Bitcoins. Und das Geschäft boomt.
Ein Klick genügt — Locky legt los
Vor einigen Tagen sprach ich mit dem IT-Leiter einer großen Stadt in Bayern. Zu Locky (dem zur Zeit bekanntesten grassierenden Krypto-Trojaner) befragt, meinte er lapidar “Wir sind auf DEFCON 1”. Damit wird die höchste militärische Verteidigungsstufe in den USA bezeichnet.
Wie es zu einer solchen Aussage kommt, wird schnell klar, wenn man einen Blick auf die Entwicklung in den letzten Wochen wirft. Bereits im Dezember sahen sich Windows-Systeme einer Angriffswelle durch einen Krypto-Trojaner ausgesetzt. Der hieß damals Teslacrypt. Aktuell ist Version 3, gegen den kein Kraut gewachsen ist. Für die Versionen 1 und 2 gab es nach einiger Zeit wirksame Entschlüsselungstools. Aktuell ist Locky der bekannteste Vertreter.
Krypto-Trojaner sind sehr heimtückisch. Wurden diese zu Beginn alleine durch präparierte Email-Anhänge (zumeist Office Dokumente mit Makro Code) in die Welt gestreut, sind Infektionen mittlerweile auch durch sogenannte Drive By Downloads möglich. Es reicht der Besuch einer infizierten Webseite und eine dazugehörige Schwachstelle im Browser oder Flash Plugin und der Spaß geht los. Experten rechnen damit, dass zeitnah noch weitere Infektionsmöglichkeiten am Start sein werden. Dazu werden die Trojaner auch immer weiter entwickelt.
Einmal aktiv, beginnt der Krypto-Trojaner mit der Verschlüsselung einer sehr langen Liste an Dateien. Und das nicht nur auf der lokalen Festplatte, sondern auch auf allen konnektierten Netzlaufwerken und Freigaben. Auch verlinkte Cloud-Speicher sind betroffen. Ebenso ist das Überspringen von einem Gerät auf das nächste überhaupt kein Problem mehr. Die einzige Warnung, die der Nutzer erhalten kann, ist eine vermehrte Festplattenaktivität zu Beginn. Je nach Ausbreitung im internen Netz können auch Störungen bei Dateizugriffen durch die Nutzer ein Warnsignal sein.
Ist der Krypto-Trojaner mit seiner Arbeit fertig, präsentiert er in der passenden Landessprache (Locky übrigens in perfektem Deutsch) eine überhaupt nicht witzige Nachricht:
!!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüssel und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Eine Freischaltung oder genauer Entschlüsselung ist dann nur noch gegen Zahlung von Bitcoins möglich. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät von der Zahlung ab. Man könne sich nicht sicher sein, ob die Hacker danach wirklich die passenden Schlüssel für die Entschlüsselung herausrücken. Einige Unternehmen aus den USA (News-Meldung) und Deutschland (Video-Beitrag) haben gezahlt, und die individuellen Schlüssel funktionierten.
Da der Trojaner jedoch sehr gut programmiert ist, verwendet er auch für jedes befallene Gerät einen neuen Schlüssel. Und damit sind die Schlüssel zur Entschlüsselung nicht übertragbar. Es muss also wirklich für jedes Gerät mit Anzeige der Verschlüsselung ein eigener Schlüssel gekauft werden.
Ist die eigene Organisation betroffen, muss man den Kopf nicht hängen lassen. Man befindet sich in bester Gesellschaft. Krankenhäuser sind nur noch per Freemail-Adresse erreichbar, verschieben Operationen und verweisen nicht akute Fälle in der Notaufnahme an andere Einrichtungen. Das Fraunhofer-Institut hisste vor kurzem ebenfalls die weiße Flagge, 60 Arbeitsplätze vollverschlüsselt.
Aktuell geht eine sehr gut gemachte Warnmeldung durch die Email-Verteiler (Scherzkekse haben diese sogar in sozialen Netzwerken geteilt). Darin warnt angeblich das BKA vor der Locky-Infektion. Und bietet umgehend im Anhang das BKA Locky Removal Tool zur Beseitigung der Infektion an. Wer den Anhang startet, holt sich — was Wunder — einen Trojaner ins System. Glücklicherweise ein alter Bekannte, gute Scanner mit aktuellen Signaturen misten den Schadcode sofort wieder aus.
Was können Sie in Ihrer Organisation tun, um besser gegen Locky & Co gewappnet zu sein? Ein fatalistischer Rat auf einer Veranstaltung vorgestern lautete: beten. Es geht aber dann doch etwas mehr:
- Möglichst Verzicht auf Software, die für Anfälligkeiten von (Zero-Day-) Sicherheits-Lücken bekannt ist, wie beispielsweise Adobe Flash
- Betriebssysteme und Anwendungen stets aktuell mit Patches und Security Fixes versorgen
- Geräte auf denen das nicht möglich ist, möglichst in getrennten Netzsegmenten und / oder gar nicht mit Internetanschluß betreiben
- Kein System ohne Virenschutz mit regelmäßiger, im Zweifel stündlicher Aktualisierung der Signaturen (Achtung: auch mobile Geräte berücksichtigen!)
- Backup-Strategie prüfen, im Zweifel vorübergehend kürzere Sicherungsintervalle einrichten
- Sicherungsmedien nach erfolgtem Backup aus dem Netz entfernen!
- Schulen und sensibilisieren Sie Ihre Mitarbeiter kontinuierlich. Es empfehlen sich auch Zwischenberichte beispielsweise per Rundmail, wenn sich neue Bedrohungslagen ergeben — durchaus täglich oder öfter. Auch wenn es nervt, die größte Gefahr sind momentan unbedachte Handlungen durch Mitarbeiter. Also lieber ein mal mehr das Thema angesprochen als zu wenig.
- Verfügen Sie über entsprechende Möglichkeiten der Systemverhaltensanalyse, so konfigurieren Sie diese auf Symptome wie “viele Dateizugriffe innerhalb kurzer Zeitspannen”.
- Nutzen Sie Funktionen, Systeme mit solchen Auffälligkeiten im Zweifel sofort vom Netz zu nehmen.
- Wenn möglich, setzen Sie Email-Anhänge automatisiert in Quarantäne. Der Anwender kann bei Bedarf den Anhang anfordern. Das ist zwar im Moment etwas aufwendiger, aber lange nicht so zeitintensiv, wie wenn Sie sich mit dem Befall durch Ransomware auseinandersetzen müssen.
Mit diesen Maßnahmen haben Sie leider immer noch keinen 100%-igen Schutz gegen Ransomware, aber das Risiko des Eintritts ist zumindest gesenkt.
Bedauerlicherweise entwickeln sich die Varianten von Locky & Co permanent weiter. Das Geschäftsmodell der Entwickler geht auf. Bisher sind alle Versuche gescheitert, die Verursacher zu identifizieren. Und diese müssen sich wirklich sicher fühlen. So sind mittlerweile Versionen gesichtet (unbestätigt), die nicht nur einen Link zu einem Video enthalten “Wie besorge ich mir Bitcoins zur Zahlung des Lösegelds”, sondern es wird auch ein Textchat angeboten. Wie dreist ist das denn?
Und in den Nachrichten? “Spocht” (Grüße von RTL Samstag Nacht)
Ich wünsche uns allen ein gutes Gelingen in der Abwehr der aktuellen Bedrohungswelle
Ihr Sascha Kuhrau
PS: Übrigens gibt es neben unserem Fachblog Datenschutz seit kurzem auch einen Blog zur Informations- und IT-Sicherheit. Dort erfahren Sie mehr über die aktuelle Bedrohungslage und die Möglichkeiten, sich dagegen zu schützen. Oder Sie tragen sich dort gleich in den Sicherheits-Newsletter ein, um stets auf dem Laufenden zu bleiben.