Ransomware Ryuk hat Sicherheitsdienstleister angegriffen

Marc Schieder kommentiert aktuellen Vorfall und gibt Tipps zur Prävention

[datensicherheit.de, 02.12.2019] Marc Schieder, „CIO“ von DRACOON, geht in seiner aktuellen Stellungnahme auf einen Vorfall bei einem Sicherheitsdienstleister ein: Demnach wurde Ende letzter Woche bekannt, dass Prosegur mit Sitz in Madrid der Ransomware „Ryuk“ zum Opfer fiel (zu den Dienstleistungen dieses Unternehmens zählen unter anderem die Abwicklung automatisierter Bargeldprozesse, Geldlogistik, Werte- und Kurierlogistik sowie die Bereitstellung von Sicherheitslösungen). Prosegur sei weltweit tätig – mit 175.000 Mitarbeitern in 25 Ländern. Via twitter habe der Konzern am Nachmittag des 27. November 2019 die Infektion mit dem Verschlüsselungstrojaner „Ryuk“ bestätigt – es seien die notwendigen Sicherheitsmaßnahmen getroffen worden, um eine interne und externe Ausbreitung der Malware zu vermeiden.

Ryuk tritt seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit Emotet und Trickbot-Kampagnen auf

Die Ransomware „Ryuk“, die es über Umwege mittels Spam-E-Mails an Mitarbeiter in Unternehmensnetzwerke schafft, sei kein neues Phänomen, so Schieder. Im aktuellen BSI-Lagebericht 2019 werde auf die Gefahr dieser Malware-Variante hingewiesen:
Gezielte Beobachtung der verwendeten Bitcoin-Adressen ließen auf ein bereits erbeutetes Lösegeld von mindestens 600.000 US-Dollar schließen. Außerdem trete „Ryuk“ seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit „Emotet“ und „Trickbot“-Kampagnen auf, was die erhöhte Modularität bei Schadsoftware allgemein, insbesondere aber bei Ransomware zeige.

100 international tätige Konzerne ins Visier genommen

Auch im aktuellen, im November 2019 erschienenen „Bundeslagebild Cybercrime 2018“ des Bundeskriminalamts finde „Ryuk“ Erwähnung. Das FBI habe 2018 einen Bericht veröffentlicht, wonach der Verschlüsselungstrojaner seit August 2018 durch bisher unbekannte Angreifer genutzt worden sei, um über 100 international tätige Konzerne zu erpressen.
Dabei sollen einzelne Forderungssummen in Höhe von bis zu fünf Millionen US-Dollar in Bitcoins festgestellt worden sein. Im Gegenzug sei den Opfern wohl ein Entschlüsselungsprogramm versprochen worden.

Organisatorische und die technische Vorkehrungen erforderlich

Bei der Frage, wie sich Firmen in Zeiten der wachsenden Gefährdungslage schützen können, gibt es laut Schieder zwei Ebenen: Die organisatorische und die technische. Unternehmen sollten zum einen dringend ihre Mitarbeiter für schädliche Spam-E-Mails sensibilisieren, d.h. anweisen E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Auch wenn die Empfänger bereits bekannt sind, sollten unerwartete Dateien im Anhang nicht unbedarft geöffnet werden.
Schulungen und Awareness für Cyber-Angriffe seien also wichtige Bausteine, um das Sicherheitsniveau im Betrieb zu erhöhen. Aber sie könnten immer nur eine Ergänzung sein, denn Menschen machten Fehler und professionell gefälschte Spam-Mails ließen sich häufig kaum noch von legitimen Nachrichten unterscheiden.

Plädoyer für das Prinzip „Security by Design“

Schieder: „Die Nutzung einer Filesharing-Lösung im eigenen Firmen-Branding schafft hingegen Vertrauen. Der Datenaustausch erfolgt dann über einen Link zu den abgelegten Dateien und anhand der darin integrierten eigenen URL kann der Empfänger sicher sein, zu vertrauenswürdigem Inhalt zu gelangen.“
Zusätzlich sei es bei der Anschaffung neuer Unternehmenssoftware unerlässlich, darauf zu achten, dass sie höchsten Sicherheitsansprüchen genügt und das Thema Security bereits bei der Entwicklung berücksichtigt wurde – sie also nach dem Prinzip „Security by Design“ entwickelt worden ist. Um eine Infektion mit Ransomware von Vornherein auszuschließen, sollten Filesharing-Lösungen über einen integrierten Ransomware-Schutz verfügen, rät Schieder.

Versionierung des Papierkorbs erlaubt Wiederherstellung der Daten

Schieder erläutert die Funktion: „Sollte ein Verschlüsselungstrojaner trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Firmen dank einer Versionierung des Papierkorbs trotzdem keine einzige Datei.“
Schließlich würden die Daten bei einem Ransomware-Angriff mit den verschlüsselten überschrieben – die unverschlüsselten Versionen der Daten lägen automatisch im Papierkorb und könnten vollständig und unbeschadet wiederhergestellt werden. „Insgesamt sollten Unternehmen also das Bewusstsein für Gefahren bei ihren Mitarbeitern schärfen und gleichzeitig darauf achten, dass ihre verwendeten Lösungen höchsten Standards an die Sicherheit gerecht werden.“

Weitere Informationen zum Thema:

Prosegur auf twitter, 27.11.2019
Statement on information security incident

Bundesamt für Sicherheit in der Informationstechnik (BSI), 2019
Die Lage der IT-Sicherheit in Deutschland

Bundeskriminalamt (BKA), 11.11.2019
Bundeslagebild Cybercrime 2018

datensicherheit.de, 11.08.2019
Unternehmen: Ransomware-Angriffe um 365 Prozent angestiegen

datensicherheit.de, 08.08.2019
Ransomware: Das Netzwerk als effektivste Waffe Cyber-Krimineller

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus