Und wer es immer noch nicht glau­ben kann, was zur Zeit bei Unternehmen und Behörden auf­grund der aktu­el­len Krypto-Trojaner-Welle los ist, hier ein inter­es­san­ter Beitrag aus der SWR Landesschau vom 23.02.2016.

Ein unvor­sich­ti­ger Mitarbeiter löst mit­tels Mausklick die Verschlüsselung inner­halb der Firma aus. Nach eini­ger Zeit sieht der Geschäftsführer nur noch einen Weg, um wie­der arbeits­fä­hig zu wer­den. Das Lösegeld in Form von Bitcoins wird bezahlt. Die Systeme wie­der ent­schlüs­selt. Einige wich­ti­ge Daten sind jedoch kor­rum­piert und kön­nen nicht mehr genutzt wer­den. Gut, wer dann noch auf ein funk­ti­ons­fä­hi­ges Backup zurück­grei­fen kann. Hier der Link zum Video-Beitrag des SWR.

http://www.swr.de/landesschau-aktuell/rp/trojaner-locky-eine-firma-unter-druck/-/id=1682/did=17005502/nid=1682/1rev2qn/

Heise.de mel­det, Locky ist erfolg­reich. Ein US-Krankenhaus aus Los Angeles hat zur Entschlüsselung sei­ner Computer 40 Bitcoins Lösegeld an die Erpresser bezahlt. Die Krankenhaus-Leitung infor­mier­te dazu mit dem Hinweis “Das war die ein­fach­ste Lösung”. Die 40 Bitcoins ent­spre­chen zum Zeitpunkt der Zahlung unge­fähr 15.000 Euro.

 

Seit über einem Jahrzehnt soll eine Hacker-Gruppe unter dem Namen Poseidon mit maß­ge­schnei­der­te Attacken mehr oder weni­ger unent­deckt Comptersysteme von Behörden und Unternehmen infil­trie­ren. Sicherheitsexperten von Kaspersky haben ver­schie­de­ne Hinweise erhal­ten und zusam­me­ge­fügt. So soll Poseidon min­de­stens seit 2005 Ihr Unwesen trei­ben. Hauptziele sind wohl die Bereiche Finanzen, PR und Medien, sowie staat­li­che Einrichtungen. Mindestens 35 erfolg­rei­che Infektionen wur­den bis­her nach­ge­wie­sen. Die Analyse erweist sich als recht kom­plex, da die Gruppe ihre Spuren sehr gut ver­wischt.

Die Vorgehensweise von Poseidon

Zu Beginn ste­hen per­so­na­li­sier­te Emails mit prä­pa­rier­ten Word- und RTF-Datei-Anhängen. Werden die­se geöff­net, geschieht die Infektion mit­tels Makros. Nun sam­melt die Malware Zugangsdaten, aber auch Informationen aus den Gruppenrichtlinien. Diese wer­den an den Steuerungsserver von Poseidon gesendt. Auf Basis der durch den ersten Hack gesam­mel­ten Informationen wer­den nun ziel­ge­rich­tet Trojaner ent­wickelt und ein­ge­setzt, um die Organisation wei­ter zu infil­trie­ren.

Im Anschluss wird den Betroffenen “Support” sei­tens der Hacker-Gruppe Poseidon ange­bo­ten. Getarnt als Sicherheitsberater soll das betrof­fe­ne Netzwerk gerei­nigt wer­den. Gibt sich die betrof­fe­ne Organisation unein­sich­tig, wer­den die vor­her durch den Hack abge­zo­ge­nen Informationen als Druckmittel ein­ge­setzt.

Wieso Poseidon?

Laut eines Berichts von heise.de nutz­te die Hacker-Gruppe ein Satellitensystem, das der Kommunikation in der Seefahrt dient. Da lag es nahe, den Namen des grie­chi­schen Meeresgottes aus­zu­wäh­len.

Welche Systeme sind betrof­fen?

Zum Zeitpunkt des Erscheinens des Artikels sol­len alle Versionen von Widows 95 bis Windows 8.1 anfäl­lig sein. Da die Trojaner wei­ter­ent­wickelt wer­den, soll­te man sich nach einem Umstieg auf Windows 10 nicht zu sicher füh­len.

Was kann ich tun?

Vorbeugend soll­ten — wie auch im Rahmen der aktu­el­len Bedrohung durch Ransomware wie Teslacrypt und Locky — alle Mitarbeiter kon­ti­nu­ier­lich für das Thema Risiko durch infi­zier­te Dateianhänge sen­si­bi­li­siert wer­den. Auch Quarantäne-Zonen für Anhänge kön­nen ein pro­ba­tes Mittel sein, das Risiko zumin­dest zu mini­mie­ren.

!!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wur­den mit RSA-2048 und AES-128 Ziffern ver­schlüs­selt.
Die Entschlüsselung Ihrer Dateien ist nur mit einem pri­va­ten Schlüssel und einem Entschlüsselungsprogramm, wel­ches sich auf unse­rem Server befin­det, mög­lich.

Wenn die­se Meldung auf Ihrem Bildschirm erscheint, haben die Programmierer von Locky mit ziem­li­cher Wahrscheinlichkeit Ihre vol­le Aufmerksamkeit. Die auf den pas­sen­den Namen Locky getauf­te Form des aktu­ell gras­sie­ren­den Krypto-Trojaners ist sehr erfolg­reich. Gerade in Deutschland sind es zur Zeit über 5.000 Infektionen in der Stunde. Wohlgemerkt, in der Stunde!  In den Niederlanden sind es gera­de mal 2.900 pro Stunde, deut­lich weni­ger.

Locky ist hilfs­be­reit

Der ein­gangs erwähn­te Hinweis erscheint bei aktu­el­len Infektionen mitt­ler­wei­le auf Deutsch. Zum bes­se­ren Verständnis sind Links hin­ter­legt, die dem Opfer anhand von Wikipedia-Einträgen zu RSA und AES die Aussichtslosigkeit der Situation vor Augen hal­ten.

Unter den Infizierten fin­den sich auch bekann­te Namen. So mel­det dpa die erfolg­rei­che Infektion eines Fraunhofer-Instituts in Bayreuth. Dort sind cir­ca 60 Arbeitsplätze von dem erfolg­rei­chen Krypto-Trojaner betrof­fen, die Dateien voll­stän­dig ver­schlüs­selt. Ähnlich zu dem bekannt gewor­de­nen Vorfall im Lukaskrankenhaus in Neuss wird auch hier ein unvor­sich­ti­ger Mitarbeiter ver­mu­tet, der einen mani­pu­lier­ten Datei-Anhang in einer Email geöff­net hat. Damit nahm das Unheil sei­nen Lauf.

Funktionsweise von Locky

Locky ist sehr kon­takt­freu­dig. Einmal aktiv, ver­schlüs­selt der Trojaner nicht nur die Dateien auf der loka­len Festplatte, son­dern macht sich auch über Netzfreigaben und ange­schlos­se­ne exter­ne Speichermedien her. Cloud-Speicher sind eben­falls ein gefun­de­nes Fressen für Locky. Findet die­ser dort Dateien sei­nes Suchrasters, dann wer­den die­se eben­falls ver­schlüs­selt. Zynische Zeitgenossen mei­nen, damit wäre dann zumin­dest der Zugriff durch aus­län­di­sche Geheimdienste auf die­se Daten kein Thema mehr.

Der Krypto-Trojaner Locky ver­brei­tet sich zur Zeit größ­ten­teils über Email-Anhänge. Besonders beliebt sind hier­bei Office-Dokumente, die Makro-Code ent­hal­ten. Hier kann die IT schon mal tech­nisch ein­grei­fen und zumin­dest durch Systemeinstellungen das auto­ma­ti­sche Ausführen sol­ches Codes ver­hin­dern. Löst der Nutzer die Ausführung manu­ell aus, dann ist dage­gen lei­der kein Kraut gewach­sen. Ob Locky in bal­di­ger Zukunft auch über ande­re Kanäle auf die PC der Opfer gelangt, wird sich zei­gen.

Update 13.02.2016: Mittlerweile wird Locky auch über Exploit-Kits durch Sicherheitslücken im Browser oder Zusatzsoftware wie Flash auf die PC über­tra­gen. So kann bereits der Besuch ent­spre­chend prä­pa­rier­ter Webseiten zu Infektionen durch Locky und der dazu­ge­hö­ri­gen Verschlüsselung des PC füh­ren.

Wie der WDR berich­tet, ist das Lukas-Krankenhaus in Neuss nur ein­ge­schränkt betriebs­be­reit. Wie sei­tens der Klinikleitung infor­miert wur­de, sei man Opfer einer Ransomware. Bereits gestern (10.02.2016) sind Mitarbeitern Störungen und Verzögerungen bei der IT-Nutzung auf­ge­fal­len. Die IT der Einrichtung wur­de vor­sorg­lich her­un­ter­ge­fah­ren.

Verschlüsselungsvirus per Email-Anhang

Als Ursache wird ein Verschlüsselungsvirus ver­mu­tet, der als Email-Anhang in das Netz der Einrichtung gelangt ist. Dort muss ein unvor­sich­ti­ger Mitarbeiter ver­se­hent­lich durch Öffnen des Anhangs den Schadcode in Gang gebracht haben. Eine geziel­te Attacke wird aus­ge­schlos­sen. Man sei wohl Opfer der seit gerau­mer Zeit breit gestreu­ten Angriffe.

Akute Auswirkungen

Vieles in der Einrichtung sei nun auf Handbetrieb umge­stellt, wie deren Leitung berich­tet. Alle Dateien, derer der Virus hab­haft wer­den konn­te im Rahmen der Nutzerrechte, sind ver­schlüs­selt. Die Backups sei­en nicht davon betrof­fen. Daher gehen die Verantwortlichen davon aus, den vor­he­ri­gen Zustand bald wie­der­her­stel­len zu kön­nen und wie­der voll ein­satz­fä­hig zu sein.

20% der geplan­ten Operationen wur­den ver­scho­ben. Die Notaufnahme blie­be zwar eben­falls wei­ter­hin geöff­net, jedoch wür­de man dring­li­che Fälle gleich an ande­re Krankenhäuser ver­wei­sen.

Update vom 12.02.2016: heise.de ver­mel­det, dass ver­mut­lich noch zwei wei­te­re Krankenhäuser in NRW betrof­fen sind, den Vorfall jedoch noch nicht öffent­lich gemacht haben.

Laut einem Bericht von Spiegel.de NETZWELT hat das rus­si­sche IT-Sicherheitsunternehmen Kaspersky einen Online-Shop für Schadsoftware ent­deckt. Auslöser war eine Spear-Phishing-Attacke auf ein Bankhaus in Singapur. Im Rahmen der Untersuchungen fand man bei Kaspersky her­aus, dass der Urheber die hin­ter dem Angriff ste­hen­de Schadsoftware nicht selbst ent­wickelt, son­dern online ein­ge­kauft hat. Es han­del­te sich bei dem Angriff um einen Nigerianer mit Wohnsitz in Malaysia.

Die Mitarbeiter von Kaspersky stie­ßen auf einen Online-Supermarkt, “der Möchtegern-Cyberkriminellen ein Rundumpaket mäch­ti­ger Angriffswerkzeuge anbie­tet”. Die Webseite ist ganz offi­zi­ell über das Internet zu errei­chen. Die Leistungen, näm­lich Schadsoftware samt Anleitung in ver­schie­de­nen Varianten sind zumeist im Rahmen eines Abonnements ver­füg­bar. Das Unternehmen hat nach wei­te­rer Verfolgung der Spuren der Drahtzieher inter­na­tio­na­le Sicherheitsbehörden ein­ge­schal­tet, da eine rei­ne Abschaltung der betrof­fe­nen Domain nach­voll­zieh­bar nicht nach­hal­tig ist.

Quelle