LockerGoga, CottleAkela und Gorgon – Ransomware ist zurück

27.03.2019

Im letzten Jahr wurde es ruhiger um Ransomware, weniger Nachrichten, weniger betroffene Unternehmen, doch diese Ruhe ist trügerisch. Cyberkriminelle haben viel Geld mit Erpressungstrojanern verdient und die Zeit genutzt.

Mit den neuen Cyberbedrohungen wie LockerGoga, CottleAkela und Gorgon sind nun gleich drei neue Programme erfolgreich aktiv. Bekanntheit hat hierbei vor allem LockerGoga erlangt, weil er die IT-Systeme des Aluminiumherstellers Norsk Hydro verschlüsselt hat.

Der Norsk Hydro-Vorfall

Beim norwegischen Unternehmen sorgte die Ransomware für einen Ausfall der IT-Systeme in den meisten Geschäftsfeldern, deshalb wurde in den betroffenen Bereichen auf den manuellen Betrieb umgestellt, um Mensch und Maschinen zu schützen. Die Angreifer hatten anscheinend im Vorfeld das Unternehmensnetzwerk infiltriert und sich seitwärts durch die Systeme bewegt, bis sie den zentralen Active Directory Server gefunden hatten und über diesen die Ransomware gezielt eingeschleust und verteilt haben. Die Verantwortlichen beim Aluminiumhersteller setzten daraufhin ihren Notfallplan in die Tat um und kommunizierten nur noch über die Facebook-Seite und ließen einen Manager mit der Presse sprechen, um die wichtigsten Fakten zu kommunizieren. Das Notfall-Backup wurde daraufhin eingespielt, um die Systeme nach und nach wieder in Gang zu setzen. Das von den Cyberkriminellen geforderte Lösegeld wollte der Konzern nicht bezahlen.

Was ist Ransomware?

Es ist gerade für mittelständische Unternehmen zunächst einmal wichtig zu erkennen, mit was sie es tatsächlich zu tun haben. Bei Ransomware handelt es sich um eine kleine Malware, die Daten auf lokalen Speicherplatten als auch auf remote Netzwerken verschlüsselt. Sobald die Daten komplett verschlüsselt sind, wird ein Lösegeld gefordert. Zunächst ist das Verständnis wichtig, dass es kein einzelnes Tool gibt, um eine Ransomware abzuwehren. Der beste Weg, eine Ransomware-Infektion zu verhindern, ist die Mitarbeiter auf Security Awareness zu schulen und eine aktualisierten E-Mail- und Endpunktschutz zu implementieren.

Sicherheitsmaßnahme: Schnelle Erkennung und Einordnung der Ransomware-Infektion

Bei Ransomware ist einer der wichtigsten Aspekte, dass Unternehmen die Infektion und den Typ der Schadsoftware schnell erkennen müssen. Je länger die Ransomware ihr Unwesen treibt, desto größer ist der Schaden und je höher steigen die Kosten diese zu beheben. Im Fall der LockerGoga wurde die Schadsoftware so entwickelt, um auf sensible Benutzerdaten auf infizierten Geräten zuzugreifen und die dort gespeicherten Daten zu verschlüsseln. Sie versendet entweder bösartige E-Mails oder setzt andere Formen des Social Engineering ein, um Opfer zum Herunterladen einer bösartigen Datei zu verleiten oder auf einen Link zu klicken, der zum automatischen Herunterladen dieser Datei führt und/oder Exploit-Kits verwendet. Sobald das Opfer (also der Mitarbeiter) zum Öffnen des bösartigen Anhangs verleitet wurde, verschlüsselt die Ransomware die Dateien mit dem AES- oder einem ähnlichen Verschlüsselungs-Algorithmus.

Infektionen erkennen, bevor sie gefährlich werden

Um den Befall mit Ransomware zu erkennen, ist die Nutzung eines File-Systems sehr wichtig. Diese Software wird Unternehmen dabei helfen, nicht autorisierte Aktivitäten auf den IT-Systemen unter anderem bei der Erstellung von Daten oder der Umbenennung von Daten durch einen Nutzer oder einen Prozess zu erkennen. Abhängig von den zur Verfügung stehenden Log-Daten können sowohl der Nutzername als auch die IP-Adresse schnell identifiziert werden. Darüber hinaus wird auch erkannt, wie viele Daten betroffen sind.

Lösungsansatz Erkennung in Echtzeit

Ein SIEM-System ist noch besser dafür geeignet, da es Logs von Vorgängen, die bereits stattgefunden haben in Echtzeit sammelt. Die Möglichkeiten die Daten anzureichern, kann hier von großer Hilfe sein. Eine IP-Adresse kann in einen Gerätenamen übersetzt und ein Gerätename kann in eine spezifische Nutzeranfrage konvertiert werden. Auf diese einfache Art und Weise kann die Software einen Nutzer identifizieren, der etwas Ungewöhnliches verglichen mit seinem normalen Verhalten macht. Dadurch können sofort Maßnahmen ergriffen werden. Mit der Sicherheitssoftware wird eine gut durchgeführte und konfigurierte Sicherheitsmonitoring-Installation den Zeitraum für die Entdeckung der Infektion verkürzen und dadurch die potenziellen Schäden für das gesamte Unternehmen reduzieren. Wenn diese Sicherheitsmonitoring-Software darüber hinaus auch Möglichkeiten der verhaltensbasierten Angriffs-Erkennung durch maschinelles Lernen verfügen, unterstützt dies die zuständigen Sicherheitsverantwortlichen im Unternehmen zusätzlich.

Fazit

Ransomware ist eine stetige Bedrohung für Unternehmen, vor allem mittelständische Unternehmen, die sich keine Fachexperten für die IT-Sicherheit leisten können. Gerade hier müssen die Verantwortlichen auf automatisierte Software setzen, um Ransomware frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einleiten zu können. Die Detektion muss an erster Stelle stehen, einen Notfallplan zu haben an zweiter Stelle. Darüber hinaus sollte ein regelmäßig gepflegtes, externes Backup vorhanden sein. Unternehmen sollten zusätzlich zu Sicherheitssoftware zur Gefahrenabwehr auch in Security Awareness-Trainings investieren, um die Mitarbeiter besser zu schulen, damit sie nicht auf etwas klicken, was eine Infektion auslösen kann.

Pascal Cronauer ist Regional Director Central EMEA bei LogPoint und arbeitet seit über 12 Jahren in der Security Industrie – davon über 9 Jahre im Bereich SIEM. Vor seiner Zeit bei LogPoint war er als Technical Diretor bei LogRhytm angestellt. Er hat herausragende Kenntnisse auf einem technischen und wirtschaftlichen Level und tiefgründiges Wissen in Bezug auf aktuelle Cyber-Bedrohungen speziell in Zentraleuropa. Als studierter Informatiker führt der das deutsche Team und baut den Vertrieb in der Region für LogPoint aus.

Von Digitale Welt.