NIERO@net e.K. – Corporate Blog

Ihr Weg zu strategischer SMB IT beginnt mit Managed Services

perfide Bedrohung: "Ransomware"

Es scheint, als nähme die Bedrohung durch „Ransomeware“, wie dem sog. „BKA-Trojaner“, wieder zu (Zumindest wird meines Erachtens wieder verstärkt darüber gesprochen):

clip_image001[4]

Ransomeware ist eine Phishingmethode, die mit der Angst der Benutzer spielt, indem der Computer wegen angeblich illegaler Aktivitäten durch das BKA, die Bundespolizei oder die GEMA gesperrt wird und erst gegen Zahlung eines bestimmten Betrags freigeschaltet wird.

Deutschland ist nicht das einzige betroffene Land, es gibt lokalisierte Versionen für Spanien, die Schweiz u.a.

Das perfide ist, das sich diese Bedrohung via Drive-By-Downloads, auch über legitime Websites verbreitet, die auf Servern liegen, die von den Angreifern kompromittiert wurden.

Das Microsoft Malware Protection Center (MMPC) hat eine Grafik angefertigt, die zeigt, wie ein Angriff abläuft:

One scenario is that a user visits a legitimate website that has been compromised with malicious JavaScript code. This results in the browser being redirected to a URL in which the exploit kit is hosted. Another possible way one can land on a Blackhole domain is by clicking on a spammed link. We are aware of several spam campaigns that contain links to the exploit kit and we know that some of the spam is generated by the Cutwail botnet.

The Blackhole exploit kit checks for the presence of several vulnerabilities on the system, as visible in Figure 2. If the user hasn’t installed all of the available Microsoft security updates or is using a browser with vulnerable plug-ins, malware may be downloaded and executed automatically, without human intervention.

clip_image003[4]

Wie Sie sehen, scannt der Trojaner das System nach bekannten Schwachstellen, die vom „Blackhole Exploit Toolkit“ ausgenutzt werden können.

Neben der üblichen professionellen Firewall und dem üblichen professionellen, aktuellen AV-System sind demnach 2 Dinge wichtig:

  • Stets die Software aktuell halten und kritische Patches der verschiedenen Hersteller umgehend installieren
  • Stets mit den minimalsten, benötigten Rechten arbeiten und auf administrative Berechtigungen verzichten (Software, die heute noch administrative Berechtigungen benötigt, ist definitiv unprofessionell geschrieben und sollte getauscht werden!)

Deutschland ist laut MMPC am meisten betroffen, wie die folgende Grafik zeigt:

clip_image005[4]

 

Schlussendlich gibt es – auch vom BSI – die folgenden Empfehlungen, wie mit einem Befall umgegangen werden sollte:

1. Ruhe bewahren und auf keinen Fall zahlen! (Es geht vor Allem um das Ausspähen von Zugängen zu Zahlungssystemen)

2. Möglicherweise Beweise sammeln und Anzeige erstatten!

3. Hilfe zum Entfernen in Anspruch nehmen!

Problematisch ist hierbei die Vielfältigkeit der Varianten, die es schwierig macht, die Bedrohung zu entfernen. Aktuelle AV-Systeme sollten aber die meisten gängigen Varianten des Trojaners erkennen, noch sicherer sind erfahrungsgemäß AV-Systeme mit verhaltensbasierten Scannern.

TrendMicro hat mittlerweile ermittelt, dass die Hintermänner des Ganzen vor Allem in Russland und der Ukraine sitzen: http://www.trendmicro.de/newsroom/pr/bka-trojaner/index.html.

Weitere Informationen gibt es beim gemeinsamen Portal von eco – Verband der deutschen Internetwirtschaft e.V. und dem Bundesamt für die Sicherheit in der Informationstechnik (BSI): http://www.bka-trojaner.de/.

Quellen:

http://blogs.technet.com/b/mmpc/archive/2012/04/18/revenge-of-the-reveton.aspx

http://blogs.technet.com/b/mmpc/archive/2011/12/19/disorderly-conduct-localized-malware-impersonates-the-police.aspx

Update vom 19.04.2012: Eine neue, noch perfidere Variante hat TrendMicro kürzlich bekannt gemacht. Diese Variante “kapert” den MBR der Festplatte. Details können Sie unter “Ransomware Takes MBR Hostage”  oder bei botfrei.de unter “Ransomware kapert MBR” nachlesen.

Zu diesem Thema passt auch Susans “Beschwerde” darüber, dass die großen Suchmaschinen google und bing es nicht schaffen, Scam-Links aus den Suchergebnissen herauszufiltern, was sie am Beispiel “Microsoft Support” zeigt (http://msmvps.com/blogs/bradley/archive/2012/04/05/shame-on-you-bing-shame-on-you-google.aspx):

Noch etwas zum Schluss: Ein Virenbefall – gleich welcher Art – ist keine Schande! es gibt keine 100% Sicherheit! Selbst, wenn man alle erdenklichen Maßnahmen ergriffen hat und sich stets an die Best Practices hält, ist ein Angriff möglich.

Nur muss man alles “Menschenmögliche” zum eigenen Schutz und zum Schutz Dritter getan haben, wie der BGH auch in ständiger Rechtsprechung feststellte und wie auch die großen Versicherer in ihren Bedingungen festlegen. Nur dann hat man Anspruch auf seinen Versicherungsschutz und läuft in keine Haftungsfalle. Das gilt gerade für Unternehmer und das gehobene Management mit IT-Aufgaben (Haftung des GmbH-Geschäftsführers; Haftung des CIO).

19. April 2012 - Posted by | Lessons learned: Notes from the field | , , , , , ,

Sorry, the comment form is closed at this time.