Anzeige

Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit eine signifikante Zunahme von Angriffen per E-Mail. Wie schon in der Vergangenheit bei Emotet nutzen die Angreifenden
vermeintliche Antworten auf tatsächlich getätigte E-Mail-Konversationen der Betroffenen, um Schadsoftware-Links zu verteilen.

 

Neu ist allerdings, dass die gefälschten E-Mails dabei über die legitimen  Mailserver der Absender selbst verschickt werden, sodass technische Detektion und Erkennung durch den Leser deutlich erschwert werden. Es ist also davon auszugehen, dass die Angreifenden Zugriff auf den Mailserver haben, welcher dann selbst "ordnungsgemäß" als Absender fungiert. Die Links verweisen auf verschiedene Schadsoftware-Varianten, wie Qakbo, DanaBot  und SquirrelWaffle. Eine Infektion zum Beispiel mit QakBot führt meist zur Kompromittierung des gesamten Netzwerks und schlussendlich zu einem Ransomware-Vorfall bei den Betroffenen. Allerdings kann auch eine Infektion mit DanaBot oder SquirrelWaffle einen Ransomware-Vorfall nach sich ziehen. Wie die Täter Zugriff auf den Mailverkehr erhalten, ist zum aktuellen Zeitpunkt noch unklar.

Bewertung

Das BSI geht davon aus, dass für die Angriffe seit längerem kompromittierte Exchange-Server verwendet werden. Anlass für diese Einschätzung sind die im Laufe des Jahres immer wieder erfolgreichen Angriffe über kritische Schwachstellen in diesen Systemen. Vor diesen Angriffen hatte das Bundesamt bereits damals gewarnt (u.a. im März, Oktober ). Gleichzeitig ist nicht klar, welche Schwachstelle konkret für diese derzeitigen Attacken genutzt wird. Selbst ein aktueller Patch-Stand auf Exchange-Servern ist kein sicherer Indikator dafür, dass eine Kompromittierung ausgeschlossen werden kann. Oftmals bestand die akute Gefahr, dass das System sehr schnell, also bereits vor dem Einspielen eines Updates, kompromittiert wurde. Zugangsdaten für diese infizierten Systeme werden aktuell auf  Untergrund-Marktplätzen im Internet gehandelt (Access Broker / Access-as-a-Service). Bei dem Verdacht auf Kompromittierung des Exchange-Servers empfiehlt das BSI, den Server neu aufzusetzen und  nötige Daten wiederherzustellen.

Bei einer Infektion mit Qakbot kommt es in der Folge häufig zu einer vollständigen Kompromittierung des ganzen Netzwerks. Aufgrund der zumeist weitreichenden Infektion muss in der Regel das ganze Netzwerk neu aufgesetzt werden! Derart massive Vorfälle, wie bei Kompromittierungen mit QakBot, konnten unabhängig von der jetzt beobachteten Kampagne auch bei der Malware DanaBot beobachtet werden. SquirrelWaffle ist eine relativ neue Malware, welche als Loader auch weitere Malware nachladen kann und somit ebenfalls einen Einstiegspunkt für Ransomware-Angreifer darstellen kann. So wurde bereits beobachtet, dass über SquirrelWaffle die Malware QakBot nachgeladen wurde, denn all diese Netzkompromittierungen sind i.d.R. Grundlage für den dann anschließenden Einsatz von Ransomware.

Aus Sicht des BSI muss grundsätzlich davon ausgegangen werden, dass diese gefälschten E-Mails mit ihrer erweiterten Vortäuschmethodik erfolgreicher sein könnten, als damals Emotet. Noch ist die Anzahl der versandten / geharvesteden E-Mails aber viel geringer, wodurch das akute Schadenspotenzial derzeit relativiert wird.

Mögliche Auswirkungen

Der geschilderte Vorfall kann grundsätzlich alle Internetnutzenden treffen und die dargestellten Konsequenzen haben:

  • vollständige Kompromittierung von einzelnen IT-Systemen oder ganzen Netzen
  • Kompromittierung von IT-Systemen und ganzen Netzen bei Kunden, Lieferanten und anderen Partnern durch E-Mails, die im Namen der eigenen Institution versandt wurden
  • Verschlüsselung und Datenverlust durch den anschließenden Einsatz von Ransomware
  • Offenlegung von vertraulichen Daten durch Angreifende
  • weitere Druckmaßnahmen

Fragen an IT-Sicherheitsverantwortliche

  • Sind die aktuellen Updates auf Exchange-Servern eingespielt?
  • Wie groß waren die Zeitfenster zwischen dem Bekanntwerden von Exchange-Server Schwachstellen und dem Ausrollen der Patches?
  • Kam es in der Vergangenheit bereits zu Auffälligkeiten beim Exchange-Betrieb?
  • Wurden die vom BSI bereitgestellten Empfehlungen umgesetzt?

www.bsi.bund.de 


Weitere Artikel

Black Friday

DDoS-Angriffe am Black-Friday-Wochenende brechen Rekorde

Das vergangene Cyber Weekend lockte nicht nur Schnäppchenjäger ins Internet. Neueste Auswertungen des IT-Sicherheitsanbieters Link11 zeigen, dass auch Cyberkriminelle versuchten, die Gunst der Stunde zu nutzen.
Cybercrime

Cyberkriminelle nutzen neue Angriffstechnik in Sachen Phishing

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von…
Supply Chain

Das schwächste Glied: Angeschlagene Lieferketten im Fokus von Hackern

Seit Monaten versuchen Logistikunternehmen und Händler auf der ganzen Welt den Auswirkungen der Pandemie Herr zu werden. Bei steigender Nachfrage – gerade auch durch das anstehende Weihnachtsgeschäft – haben sie mit drastischen Engpässen und Verspätungen zu…
Monero Miner

Böses Omen: Tor2Mine Kryptominer mit neuen Varianten

Sophos hat neue Erkenntnisse über den Tor2Mine Kryptominer veröffentlicht. "Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als…
Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.