Das Bundesamt für Sicherheit in der Informationstechnik meldet verstärkte Angriffe auf deutsche Unternehmen, bei denen gezielt Verschlüsselungstrojaner eingesetzt wird.
Das passiert, wenn man Emotet-Trojaner-Mails öffnet
Bei den Angriffen verschaffen sich die Hacker zunächst mit einer breit angelegten Spam-Kampagnen wie Emotet zunächst Zugang zu Unternehmensnetzwerken und erforschen es dann manuell sowie die Systeme der Betroffenen. Dabei versuchen die Angreifer, Backups zu manipulieren oder zu löschen und lassen dann gezielt Ransomware auf den Computersystemen los.
"Dabei kommt es teilweise zu erheblichen Störungen der Betriebsabläufe", so das BSI . Danach würden deutlich höhere Lösegeldforderungen an die Unternehmen gestellt werden, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Das BSI beobachtet einen Anstieg der Fallzahlen bei deutschen Unternehmen "mit teilweise existenzbedrohenden Datenverlusten".
Neben einzelnen Unternehmen sind zunehmend auch I T-Dienstleister betroffen, über deren Netzwerke sich die Angreifer Zugang zu deren Kunden verschaffen. Das BSI hat über CER T-Bund und die Allianz für Cyber-Sicherheit eine "Cyber-Sicherheitswarnung" mit technischen Details und Handlungsempfehlungen ausgesprochen.
Organisierte Kriminalität statt Nachrichtendienste
"Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine I T-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann", so BSI-Präsident Arne Schönbohm.
In Deutschland ist diese Vorgehensweise öfter mit der Ransomware "GandCrab" beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Hintertür ("Backdoor") installiert, die potentiellen Opfer ausgespäht und schließlich die Ransomware gestartet. Die Landeskriminalämter hatten bereits davor gewarnt.