Ransomware Angriff erfolgreich abgewehrt

Seit Jahren stellt Cybercrime eine zunehmende Gefahr für den Mittelstand dar. Im Falle eines Angriffes drohen empfindliche Betriebsstörungen. Wichtige Daten werden zerstört. Kundendaten geraten in falsche Hände. Das kostet wertvolles Kundenvertrauen. Die Lieferbarkeit kann beeinträchtigt werden, wodurch die Marktposition und im schlimmsten Fall die Existenz des Unternehmens auf dem Spiel steht. 

 

Ransomware Attacken stellen dabei eine neue Dimension der Cyberkriminalität dar. Dieser jüngste Typus eines Trojaners verschlüsselt im Hintergrund firmennetzweit wichtige Dateien. Für das Passwort zur Entschlüsselung wird ein Lösegeld verlangt, dass in der Regel per Bitcoins zu zahlen ist und damit nicht zurückverfolgt werden kann. Selbst die Zahlung des Lösegeldes führt oft nicht zur Freigabe der Daten. Diese bleiben dann verloren. Besonders heimtückische Varianten beginnen mit der Verschlüsselung mit zeitlicher Verzögerung so dass auch tägliche Backups nicht vor Datenverlust schützen. 

 

Nach einer aktuellen Umfrage des BSI sind ein Drittel aller Unternehmen in Deutschland bereits von einem Erpressungstrojaner betroffen worden. Mittelständische Unternehmen sind in besonderem Maße betroffen. Im Gegensatz zu Großunternehmen erwarten Angreifer bei kleineren Unternehmen weniger Sicherheits-Knowhow und niedrigere IT-Sicherheits-Standards. 

 

Bei einem unserer Kunden konnten wir nun in einem besonders herausfordernden Fall einen Angriff verhindern. Eine Mitarbeiterin öffnete unachtsam eine infizierte Word-Datei im Anhang einer Email. Durch ein Makro wurde die Schadsoftware in den Rechner eingeschleust. Da die Variante des Trojaners noch ganz neu war, griffen weder die drei parallel arbeitenden Antiviren-Engines des bei unserem Kunden zur Sicherheit vorgeschalteten Mailcleaners noch zwei weitere auf dem kundenseitigen Mail Gateway laufende Filter. Inzwischen wissen wir, dass zum Zeitpunkt der Infektion nur 9 von 54 Antiviren-Datenbanken am Markt diesen brandneuen Trojaner erkannt hätten. Obwohl wir mit den führenden und etabliertesten Antivirus-Software-Herstellern arbeiten, wurde der Virus auch bei uns zunächst nicht erkannt. 

 

Schon seit längerer Zeit beschäftigen wir uns mit der Gefahr von bisher unbekannten Trojanern und hatten für diesen Fall Vorkehrungen getroffen. So haben wir den so genannten Ressourcen Manager auf dem Kundenserver mit rund 100 Filterregeln so konfiguriert, dass er im Falle einer Anomalie - hier war es der Versuch, Dateien mit einer verdächtigen Endung umzubenennen und zu verschlüsseln - den Vorgang unterbindet und automatisch bei unserem Monitoring Team unter Nennung des betroffenen Kundenrechners Alarm schlägt. So konnten wir sofort eingreifen und den Trojaner im wahrsten Sinne bereits im Keim ersticken. Wir haben umgehend den infizierten Rechner neu aufgesetzt und sicherheitshalber alle anderen Clients und Server im Unternehmen überprüft. Ein Datenverlust konnte vollständig vermieden werden. Betriebsstörungen konnten bis auf eine kurzzeitige Beeinträchtigung bei der Wiederherstellung des infizierten Arbeitsplatzes ebenfalls vermieden werden.