Seiten

Posts mit dem Label Erpressungs-Trojaner werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Erpressungs-Trojaner werden angezeigt. Alle Posts anzeigen

Sonntag, 7. Mai 2017

Locky ist wieder da - und die Version 2.0 der Ransomware ist gefährlicher denn je!

Achtung: Wer dachte, der berühmteste Erpressungs-Trojaner (auch Kryptotrojaner, Verschlüsselungstrojaner, Ransomware) "Locky" sei mittlerweile ausgestorben, wird nun eines Besseren belehrt. "Locky 2.0" ist da mit einer absolut heimtückischen und gefährlichen Betrugsmasche.


Wie Sie die IT in Ihrem Unternehmen vor Locky 2.0 retten


Erfahrungsgemäß werden nicht alle Blogbeiträge bis ans Ende gelesen. Daher unser nützlicher Tipp gleich vorneweg:

"Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus."


Hintergrund: Locky 1.0 war der berühmteste und vermutlich auch der erfolgreichste Erpressungs-Trojaner im Trojaner-Jahr 2016 (wir berichteten u.a. im April 2016). Seit Ende 2016 war er fast gänzlich von der Bildfläche verschwunden. Aber jetzt ist er zurück.

Lesen Sie hier, Weshalb der neue Locky 2.0 so gefährlich ist:


Achtung-Erpressungstrojaner-Locky-2.0-ist-gefährlicher-denn-je
Achtung Erpressungstrojaner - Locky 2.0 ist gefährlicher denn je - Kostenloser Download der Anti-Locky-Checkliste

Gefahr 1: Social Engineering im Einsatz


Diesmal ist die E-Mail an Sie professionell personalisiert. Die bösen Hacker hinter Locky 2.0 haben die Zeit gut genutzt: über mehrere Monate haben sie im Internet und vor allem in den Sozialen Netzwerken Daten gesammelt, die sie jetzt gegen ihre Opfer verwenden: Die Hacker kennen Ihre E-Mail-Adresse, Ihren Vor und Nachnamen, Ihre Telefonnummern, Ihren Beruf, Ihre Position im Unternehmen, Ihre Lieferanten- und Kundenbeziehungen und vieles mehr sind den Hackern nun bekannt. Dieses Wissen nutzen die Täter, um Sie ganz persönlich anzuschreiben.

Neu daran ist, dass nicht nur das Anschreiben personalisiert an Ihre E-Mail-Adresse erfolgt, sondern dass auch der Inhalt der E-Mail absolut professionell personalisiert ist.

Wenn Sie also z.B. im Einkauf des Unternehmens Musterfirma GmbH arbeiten, werden Sie eventuell eine Rechnung per E-Mail erhalten, die vermeintlich von einem Ihrer Lieferanten stammt. Wenn Sie in der Personalabteilung arbeiten, erhalten Sie eine angebliche Bewerbung von jemandem, der Ihnen bekannt vorkommt.

Gefahr 2: Die Infektion erfolgt zweistufig


Locky 1.0 brachte im Anhang eine Word-Datei mit. Wenn man diesen Word-Anhang anklickte, wurden Word-Makros ausgeführt, die den Download von Locky aktivierten. Daraufhin wurde die Verschlüsselung wichtiger Dateien auf dem Rechner des Opfers verschlüsselt. Die Erpresser forderten daraufhin Lösegeld für den Schlüssel, der die Entschlüsselung der Daten (angeblich) ermöglichte.

Das ist der Grund, weshalb Informations-Sicherheits-Experten wie yourIT bereits im Dezember 2015 davor warnten, Word-Dateien von Fremden zu öffnen und den IT-Verantwortlichen empfahlen, Word-Makros wo möglich zu verbieten.

Eine effektive Anti-Trojaner-Checkliste von yourIT mit den rettenden Tipps zum Schutz vor Erpressungstrojandern können Sie z.B. hier kostenlos downloaden...

Anti-Trojaner-Checkliste von yourIT zum kostenlosen Download

Locky 2.0 bringt dagegen im Anhang "nur" eine PDF-Datei mit. Das Problem dabei: PDF-Dateien wurden in den vergangenen Monaten als eher harmlos betrachtet im Vergleich zu Word-Dokumenten, welche als hochkritisch eingestuft wurden. Öffnet man die anhängende PDF-Datei (je nach Ihrer Position im Unternehmen die Rechnung, das Bewerbungsschreiben, etc.) , fragt diese um die Erlaubnis, eine zweite Datei zu öffnen. Und dabei handelt es sich dann wieder um die bekannte Word-Datei, die Makros für den Download des Locky-Codes einsetzen will. Es folgt die übliche Routine aus Verschlüsselung und Erpressung zur Entschlüsselung, wobei die Lösegeldforderung auf das Doppelte angestiegen ist.

Weshalb Locky-2.0 als Erpressungs-Trojaner so effektiv ist


Zum einen rechnen PC-User bei PDF-Anhängen derzeit nicht mit einem Angriff eines Erpressungstrojaners, weil es bisher einfach überall anders dargestellt wird und auch anders geschult wurde.

Zum anderen erkennen zwar die meisten Antivirus-Filter heute verdächtige Makros in angehängten Dokumenten. Allerdings werden bei Locky 2.0 z.B. die Sandbox-Abwehrmechanismen der Anti-Viren- und -Trojaner-Software effektiv ausgehebelt, da der PDF-Anhang selbst ja keinen Schadcode enthält. Erst durch die Interaktion mit und die Zustimmung durch den PC-Benutzer wird im Nachgang der Trojaner eingeschleust. Daher rechnen Experten mit einer sehr hohen Wahrscheinlichkeit, dass Locky 2.0 die Abwehrmechanismen erfolgreich umgeht und in der Mailbox des PC-Benutzers ankommt.

So und nun zum Schluss nochmal unser nützlicher Tipp von oben:

"Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus."

Informieren Sie bitte auch Ihre Kollegen und Ihre Bekannten über die Gefahr.

Was können Sie gegen Locky 2.0 unternehmen?


Hier eine Reihe erfolgreicher Strategien, die Sie gegen Erpressungstrojaner in Stellung bringen können:

  1. Mitarbeiter-Awareness erhöhen: 100% Schutz durch technische Lösungen wird es nicht geben. Daher lohnt es immer, Ihre Mitarbeiter rechtzeitig über die geänderte Bedrohungslage informieren.
  2. Regelmäßige Backups, die getrennt vom Rest der Daten aufbewahrt werden. Wir helfen Ihnen gerne beim Aufbau der Backup-Strategie und empfehlen Ihnen das zu Ihnen passende Backup-System. Wie wäre es z.B. mit einem Online-Backup-System?
  3. Makros in Dokumenten sollten Sie abschalten - zumindest bei denen, die per E-Mail empfangen wurden.
  4. Patchen Sie Ihre Systeme früh und häufig! Wir bieten Ihnen Patchmanagement-Systeme zur Miete oder zum Kauf an. Oder nutzen Sie doch gleich die Technikabteilung von yourIT als Managed Service Provider. Wir monitoren und patchen jeden Tag professionell eine Vielzahl von Clients und Servern bei verschiedensten Kunden.
  5. Alle unsere Kunden haben mittlerweile unseren yourIT Managed Spamfilter Service im Einsatz. Durch 99,99% garantierter Virenerkennung durch fünf unabgängige Viren- und Phishingfilter kommen fast ausschließlich erwünschte E-Mails in den Postfächern der User an. Vorteile: Größtmöglicher Schutz vor eingehender Schadsoftware, eine große Zeitersparnis und feste kalkulierbare Kosten.

Produktdatenblatt_yourIT-managed-spamfilter-service
Produktdatenblatt_yourIT-managed-spamfilter-service


Ich hoffe, ich konnte weiterhelfen. Fordern Sie uns! Wir machen Ihnen gerne ein Angebot.

Ihr Thomas Ströbele

Thomas Ströbele

Quellen: Viren-Ticker, ZDNet, Heise, Sophos

Samstag, 9. April 2016

Achtung - Erpressungs-Trojaner Locky verbreitet sich jetzt auch ohne E-Mails

“Locky” - der derzeit wohl bekannteste Erpressungs-Trojaner hält die IT-Abteilungen der Unternehmen in Deutschland in Atem. Und nun droht neue Gefahr: Locky verbreitet sich jetzt auch ohne E-Mails. Vorbei sind die Zeiten, in denen er noch unvorsichtige Mitarbeiter benötigte, die auf irgendeinen Anhang klickten.


Bisher verbreitete sich die Ransomware hauptsächlich per E-Mail mit gefälschten Rechnungen im Anhang. Um Locky zu aktivieren, musste der Benutzer das Dokument anklicken und damit öffnen. Erst dann wurde die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung notwendigen Makros aktiviert waren.

yourIT-Security-Experten warnen - Erpressungs-Trojaner Locky gelangt jetzt auch ohne E-Mails ins Unternehmensnetzwerk

Besonders kritisch war die Version von Locky, welche nicht sofort losschlug, nachdem dieser auf einen Rechner eingeschleust worden war. Stattdessen tarnte sich der Trojaner als "Schläfer" auf dem Rechner, verbreitete sich unbemerkt über physikalische Netzwerkverbindungen auf andere Rechner, Server und selbst auf Backupsysteme. Die Cyber-Kriminellen wollten dadurch Locky in Unternehmen als großen Anschlag starten, um möglichst viele Daten auf einen Schlag verschlüsseln zu können. Logisch: Ist selbst das Backup betroffen, haben die betroffenen Unternehmen meist keine Möglichkeit mehr, sich selbst zu helfen. Dann sind diese bereit, erheblich höhere Lösegelder zu bezahlen.

Die Rechnung geht auf - die Lösegelder steigen


Während das Lösegeld für die Entschlüsselung einzelner Rechner i.d.R. bei 0,5 Bitcoins (ca. 185 EUR) liegt, verlangen die Erpresser für vernetzte Rechner häufig das doppelte bis dreifache. Pauschale Lösegeld-Summen für ganze Netzwerke sollen schnell 50 Bitcoins betragen (ca. 18.500 EUR). Die Rechnung der Cyber-Kriminellen geht auf.

Fest stand bei den bisherigen Angriffen: Um Locky in die Unternehmensnetze einschleusen zu können, mussten immer unvorsichtige Mitarbeiter etwas anklicken. Erfolgreiche Strategien gegen Locky bestehen daher aus:

  • Verbot kritischer E-Mail Anhänge,
  • (Online-) Spamfilter einsetzen sowie
  • Sensibilisierung der Mitarbeiter.

Nun droht noch größere Gefahr: Locky kommt jetzt auch ohne E-Mails und unvorsichtige Mitarbeiter in Ihr IT-Netzwerk


Seit einiger Zeit häufen sich Meldungen, dass Locky von Cyber-Kriminellen ganz offensichtlich auch ohne die unfreiwillige Mithilfe von Nutzern auf die Rechner und damit in die Unternehmens-IT eingeschleust wird - keine E-Mail, kein Dateianhang, kein Klicken.

Cyber-Kriminelle nutzen jetzt auch Exploit-Kits, um Verschlüsselungs-Trojaner zu verteilen und verschaffen damit Locky direkt Zugang. Diese Exploits suchen Schwachstellen in den IT-Netzen ihrer Opfer und nutzen diese gnadenlos aus. Ärgerlich dabei ist - häufig handelt es sich dabei um bereits seit langem bekannte Schwachstellen.

Die Liste der Maßnahmen gegen Locky muss daher erweitert und neu justiert werden:
- Regelmäßige Durchführung von Schwachstellen-Analysen und
- Einführung eines funktionierenden Patchmanagements.

Um sich gegen die neue Angriffswelle zur Wehr zu setzen, müssen Unternehmen verstehen, wie die Cyber-Erpresser denken. Die IT-Security-Experten von yourIT empfehlen: Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers.

Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers - mit Unterstützung von yourIT


Wir sind die Guten! Lassen Sie uns Ihnen helfen, gefährliche Schwachstellen in Ihrem IT-Netzwerk aufzuspüren und proaktiv zu beheben. Warten Sie nicht, bis Cyber-Erpresser diese finden und ausnutzen können.

Nutzen Sie jetzt unser Angebot Sicherheitsaudit "IT-Infrastruktur" - jetzt auch mit Locky-Check.

Unsere Mithilfe gegen Erpressungs-Trojaner - Das yourIT-Sicherheitsaudit "IT-Infrastruktur" - Jetzt neu mit Locky-Check

Unser Sicherheitsaudit "IT-Infrastruktur" wurde beim Innovationspreis-IT ausgezeichnet als BEST OF CONSULTING. Für unsere Beratung gibt es derzeit bis zu 1.500 EUR Fördermittel vom Staat.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

Thomas Ströbele