Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

ChimeraRansomware ist an sich ist nichts Neues. Die erste bekannte Variante tauchte bereits 1989 auf. Doch erst mit der Internet-Revolution und der Einführung automatisierter Online-Zahlungssysteme entdeckten organisierte Cyber-Gangs Ransomware als gigantische Gelddruckmaschine für sich. Dabei geht es nicht selten um enorme Summen und Erpressung auf globaler Ebene. Mit einem ROI, der sich sehen lassen kann.

Allein die dritte Variante von CryptoWall hat seit ihrer Entdeckung im Januar 2015 Schäden von sage und schreibe 325 Millionen US-Dollar angerichtet. Die Risiken dieser neuen Ära digitalen Erpressungsmethoden erregten sogar die Aufmerksamkeit des US-amerikanischen Federal Financial Institutions Examination Council. Erst kürzlich wurde eine Stellungnahme veröffentlicht, um Finanzinstitutionen auf die Häufigkeit und Ernsthaftigkeit der Bedrohungen durch Ransomware hinzuweisen.

Bis vor kurzem sorgten sich IT-Experten eher um den nach einer Ransomware-Infektion zu betreibenden Aufwand. Ransomware ist definitiv eine kostspielige Angelegenheit, wenn man nicht darauf vorbereitet ist. Firmen und Institutionen mit einer gut funktionierenden Backup-Strategie sind aber in der Lage, die verschlüsselten Dateien wiederherzustellen. Das Risiko erschien für manche also durchaus tragbar. Bis jetzt.

Chimera: Eine neue Qualität von Ransomware

Aktuell ist eine neue Ransomware-Variante namens Chimera aufgetaucht. Die Malware verschlüsselt nicht nur die Dateien und es wird ein Lösegeld verlangt, zusätzlich drohen die Angreifer damit, die Dateien im Internet zu veröffentlichen falls die geforderte Summe nicht gezahlt wird.

Was bisher eine lästige Sache war, wird durch diesen Trick zu einer echten Bedrohung, die Umsatz und Gewinn eines Unternehmens empfindlich beeinträchtigen kann. Damit Sie sich ein Bild des potenziellen Ausmaßes von Chimera machen können, sehen wir uns zunächst die finanziellen Schäden an, die bei zwei sehr bekannt gewordenen Sicherheitsvorfällen angerichtet wurden:

Beim Angriff auf die amerikanische Einzelhandelskette Target waren 40 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 70 Millionen Datensätze mit personenbezogenen Kundendaten (Adressen und Telefonnummern) betroffen. Laut einer Aufstellung von Target selbst kostete der Sicherheitsvorfall das Unternehmen 252 Millionen US-Dollar.

Bei Home Depot entwendeten die Angreifer 56 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 53 Millionen E-Mail-Adressen. Nach Angaben von Home Depot beliefen sich die Nettokosten auf rund 33 Millionen US-Dollar.
Die beiden Handelsketten mussten für Kreditkarten- und Überwachungsdienstleistungen (darunter den Ersatz von Millionen von Kreditkarten) und Massenklagen aufkommen und ihre eigene Sicherheitsinfrastruktur komplett überarbeiten.

Und dann kam Sony

Beim Angriff auf Sony wurden zwar nicht Millionen von Kreditkartennummern gestohlen dafür aber riesige Mengen an Informationen im Internet veröffentlicht:

  • 47.000 Sozialversicherungsnummern
  • Interne Finanzdokumente und Gehaltslisten
  • Persönliche Daten und Adressen, Visa- und Passnummern, Steuerunterlagen
  • Über 30.000 vertrauliche Geschäftsdokumente
  • Peinliche und belastende E-Mails von C-Level-Führungskräften
  • Private Schlüssel für die Sony-Server

Mit den durch das derart offengelegte geistige Eigentum entstandenen Schäden – veröffentlichte Verträge und Geschäftspraktiken, Ideen zu Drehbüchern, Gehälter – wird Sony vermutlich noch jahrelang zu kämpfen haben. Und: Es kann durchaus passieren, dass eine Cyber-Gang mithilfe von Chimera ein fürstliches Lösegeld einstreicht und trotzdem sämtliche interne Dateien eines Unternehmens in Sony-Manier im Internet zur Schau stellt. Von einem Erpresser kann man schließlich nicht unbedingt erwarten, dass er sein Wort hält.

Chimera & Co. haben also das Potenzial, den verheerenden finanziellen Schaden des Target-Angriffs mit einer Rufschädigung wie beim Sony-Hack zu verbinden.

Zeitverzögerte Aufdeckung von Sicherheitsvorfällen

Wie lange haben Target, Home Depot und Sony gebraucht, um festzustellen, dass sie angegriffen wurden? Unglücklicherweise konnten die Hacker ihre Arbeit wochen- und monatelang ungestört verrichten. Damit stehen diese Unternehmen bei weitem nicht alleine da. Eine aktuelle Analyse von 574 Sicherheitsvorfällen durch Trustwave ergab, dass der Zeitraum zwischen Angriff und Aufdeckung durchschnittlich 188 Tage beträgt. Es dauert also sehr lange – zu lange –, bis Unternehmen die Eindringlinge überhaupt bemerken.

Um Ransomware zu entdecken und zu stoppen, kann es sinnvoll sein, das Pferd von hinten aufzuzäumen. Die IT-Sicherheitsabteilung muss versuchen, Phishing-E-Mails zu blockieren oder zumindest die Mitarbeiter im Hinblick auf diese Methode schulen, sie muss den Zugriff auf soziale Medien einschränken, Netzwerkverbindungen mit bekannten Command-and-Control-(C2-)URLs/IP-Adressen überwachen und nach Prozessen Ausschau halten, die potenziell schädigend sein können.

Doch das A und O im Kampf gegen Ransomware ist es, sich genauer anzusehen worauf es die Angreifer eigentlich abgesehen haben, nämlich auf die Dateien und E-Mails, die tagtäglich von Mitarbeitern erstellt und verwendet werden. In den meisten Unternehmen sind unstrukturierte Daten die mengenmäßig umfassendste, wertvollste und sensibelste Art von Daten – und zugleich auch diejenige, die am wenigsten überwacht wird.

Möglicherweise kann man einen Angreifer nicht davon abhalten, in ein Netzwerk einzudringen. Aber mit geeigneten Governance- und Überwachungsmethoden ist es möglich, die Menge der verfügbaren Daten deutlich einzuschränken und die IT zeitnah zu benachrichtigen, wenn Hacker auf sensible Daten zugreifen und sie kopieren.

Weitere Informationen:

Eine geeignete Methode um Angriffe schneller aufzudecken ist die Analyse des Benutzerverhaltens. Weitere Informationen dazu finden Sie unter anderen in diesem Beitrag.

http://sites.varonis.com/de/

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet