Preview only show first 10 pages with watermark. For full document please download

Warnung

   EMBED


Share

Transcript

SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil-Göllsdorf Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Warnung vor Verschlüsselungs-Trojanern - __ - Leiten Sie dieses Dokument umgehend an alle Mitarbeiter und Kollegen weiter und sorgen Sie dafür, dass die Informationen beachtet werden! SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil Registergericht: Amtsgericht Stuttgart, HRA 727317     Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seite 1 von 5 IT-Dienstleistungen Netzwerktechnik intelligente Systemlösungen Hard- und Software Aktuelle Information an unsere Kunden SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil-Göllsdorf Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seit einigen Tagen verbreitet sich der Erpressungs-Trojaner Locky rasend schnell, vor allem in Deutschland. Der Schädling verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht und macht auch vor Cloud-Speichern nicht halt. Gegenwärtig gibt es offenbar keine Möglichkeit, die durch den Trojaner verschlüsselten Daten zu retten, ohne dass man das geforderte Lösegeld an die Entwickler zahlt. Deswegen heißt es, Vorsorge betreiben, damit ein Angriff durch Locky & Co. keine allzu schlimmen Folgen hat. Woher kommt die aktuelle Infektionswelle mit Verschlüsselungs -Trojanern? - Obwohl in den meisten Unternehmen umfangreiche Sicherheitsmechanismen wie Virenscanner, Firewalls, IPSSysteme, Anti-SPAM/Antiviren-Email-Gateways und Webfilter im Einsatz sind, registrieren wir aktuell weltweit eine große Anzahl von Infektionen von Unternehmensrechnern mit Verschlüsselungstrojanern wie Cryptowall, TeslaCrypt oder Locky. Im Zuge dieser Infektionen werden Dateien auf Rechnern und Netzlaufwerken verschlüsselt, um die Nutzer dieser Rechner zu erpressen, für das Entschlüsselungswerkzeug einen Geldbetrag von typischerweise 200-500 USD zu zahlen. Laut dem Bundesamt für Sicherheit in der Informationstechnik BSI werden in Deutschland bis zu 17.000 neue Infektionen in einer Stunde gemessen. Eine typische Infektion läuft dabei wie folgt ab: __  Ein Benutzer bekommt eine E-Mail, die angeblich von einem plausiblen Absender stammt, z.B. einem internen Scanner/Kopierer mit angehängtem gescannten Dokument, einem Paketdienst mit angehängten Zustellinformationen oder einem externen Unternehmen mit einer angehängten Rechnung  Der Anhang der E-Mail enthält ein MS Word oder Excel-Dokument mit einem eingebetteten Makro. Wenn der Empfänger das Dokument öffnet, startet automatisch ein Makro, das folgende Aktionen ausführt:  Es versucht, von einer Reihe nur für kurze Zeit existierenden Webadressen, den eigentlichen Verschlüsselungs-Trojaner herunterzuladen. Wenn eine Webadresse nicht erreichbar ist, wird die nächste angesprochen, so lange, bis der Trojaner erfolgreich heruntergeladen wurde.  Das Makro führt den Trojaner aus  Der Trojaner kontaktiert den Command & Control-Server des Herstellers, sendet Informationen über den infizierten Rechner und lädt einen für diesen Rechner individuellen Schlüssel herunter  Mit diesem Schlüssel werden dann Dateien auf dem lokalen Rechner sowie auf allen erreichbaren Netzlaufwerken verschlüsselt. Die Daten sind dann für die Benutzer nicht mehr nutzbar.  Anschließend wird auf dem Desktop dem Benutzer eine Nachricht dargestellt, wie ein Lösegeld innerhalb eines Zeitfensters von z.B. 72 Stunden gezahlt werden kann, um ein passendes Entschlüsselungstool mit dem – nur auf dem System des Angreifers zu findenden –Schlüssel zu erhalten - Dies ist nur ein Beispiel, wie eine solche Infektion ablaufen kann. Andere Schädlinge nutzen teilweise andere/weitere Infektionswege, Verschlüsselungsverfahren und Kommunikationsmechanismen. SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil Registergericht: Amtsgericht Stuttgart, HRA 727317     Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seite 2 von 5 IT-Dienstleistungen Netzwerktechnik intelligente Systemlösungen Hard- und Software Aktuelle Information an unsere Kunden SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil-Göllsdorf Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Warum sind diese Angriffe so erfolgreich? Die Gründe für den Erfolg dieser Infektionen sind vor allem: 1. Art der Angriffe a. b. c. d. __ 2. Situation in den betroffenen Unternehmen a. b. 3. - Hochprofessionell agierende Produzenten der Verschlüsselung-Trojaner. Dazu gehört unter anderem auch, dass nach Zahlung der Erpressungssumme in der Regel tatsächlich ein Werkzeug zur Entschlüsselung bereitgestellt wird. Geschicktes Social Engineering, um den Benutzer zum Ausführen der Installationsroutine des Trojaners zu bewegen (In der E-Mail steht etwas in der Art: „Wenn die Codierung des angehängten Word Dokuments fehlerhaft erscheint, aktivieren Sie bitte die Ausführung von Makros. Das geht wie folgt..“) Nutzung von Technologien zur Infektion, die in vielen Unternehmen zugelassen sind und in denen bösartiger Code leicht verschleiert werden kann (Microsoft Office Makros, JavaScript, VBScript, CHM, Flash, Java) Technologisch fortgeschrittene Schädlinge, die u.a. durch Verschleierungs-mechanismen auf dem infizierten System schwer zu identifizieren sind Fehlendes Sicherheitsbewusstsein bei den Benutzern („Welche Dokumente von wem darf ich öffnen?“, “Wie ist die Prozedur, wenn ein vom Typ eigentlich gesperrtes Dokument empfangen werden muss?“, „Wie erkenne ich eine Phishing-Email?“) Falsche Prioritäten („Wir wissen, dass diese Vorgehensweise nicht sicher ist, aber unsere Leute müssen doch arbeiten..“) Derzeit existiert noch kein verlässlicher Schutz durch Antivirensoftware a. Antivirensoftware erkennt die aktuellen Viren /Trojaner nicht immer. Laut Tests sollen mittlerweile mehrere Anti-Viren Programme Locky erkennen und abwehren können. Welche Programme das wirklich schaffen, ist momentan jedoch noch recht unklar. b. Aktuell muss daher auf das Verhalten der Benutzer geachtet werden. Es ist immens wichtig ALLE Benutzer über die Risiken zu informieren und das unbedachte Öffnen von E-Mail-Anhängen von unbekannten oder zweifelhaften Absendern zu unterbinden. SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil Registergericht: Amtsgericht Stuttgart, HRA 727317     Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seite 3 von 5 IT-Dienstleistungen Netzwerktechnik intelligente Systemlösungen Hard- und Software Aktuelle Information an unsere Kunden SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil-Göllsdorf Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Prioritäten setzen Insbesondere der zuletzt beschriebene Punkt bezüglich der Prioritäten muss hinterfragt werden. Häufig werden mit dem Argument „Sicherheit stört die Benutzer nur, die müssen doch arbeiten“ viele sicherheitstechnisch sinnvolle Maßnahmen nicht umgesetzt. In vielen Fällen trifft das Argument zudem nicht zu, wenn die sicherheitstechnischen Maßnahmen sorgfältig geplant und angepasst an die Situation der Mitarbeiter und des Unternehmens umgesetzt werden. - In manchen Fällen wie dem Empfang per E-Mail und der internen Nutzung von Office-Dokumenten mit Makros muss man sich bewusstmachen, was für das Unternehmen wichtiger ist. Im Zweifelsfall löschen Sie z.B. besser eine Mail mit einer fiktiven Rechnung und frage telefonisch nach falls Ihnen der Absender bekannt vorkommt. Was sollte ich sofort machen? Informieren Sie Ihre Mitarbeiter und Kollegen __ Alle technischen Maßnahmen bringen wenig, wenn die Mitarbeiter sich nicht der potentiellen Gefahren bewusst sind und nicht wissen, wie sie sich in bestimmten Situationen zu verhalten haben. Als Sofortmaßnahme müssen die Mitarbeiter geschult werden, die bei ihrer täglichen Arbeit mit solchen Sicherheitsgefahren und -maßnahmen konfrontiert sind („Wie erkenne ich eine Phishing-E-Mail?“, „Wie kann ich, obwohl Office-Dokumente in E-Mails gesperrt sind, trotzdem mit meinen Geschäftspartnern Daten austauschen?“). DAS WICHTIGSTE: Öffnen Sie KEINE Anhänge von E-Mails mit unbekannter oder zweifelhafter Herkunft Die Infizierung geschieht in der Regel über Spam-Mails, in denen ein Word- oder Excel-Dokument enthalten ist. Es können aber auch andere Dokumentenarten vorkommen. Öffnen Sie das Dokument versehentlich doch (was Sie auf keinen Fall tun sollten!), finden Sie manchmal nur einen kryptischen Text mit einem einzigen leserlichen Hinweis: "Können Sie den Text nicht lesen, sollen Sie die Makros in Word oder Excel aktivieren." - Viren und Trojaner werden ständig verändert und verbessert um deren Erkennung zu erschweren. Die Infektionsmechanismen und die Ursachen können daher unvorhersehbar variieren. Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können. Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird. Die Vorgehensweise hängt von der verwendeten Office-Version ab. Anleitungen hierfür sind im Internet zu finden oder von uns erhältlich. Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln. SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil Registergericht: Amtsgericht Stuttgart, HRA 727317     Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seite 4 von 5 IT-Dienstleistungen Netzwerktechnik intelligente Systemlösungen Hard- und Software Aktuelle Information an unsere Kunden SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil-Göllsdorf Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Was sollte ich zusätzlich langfristig machen? Bewusstsein/Schulung der Mitarbeiter Zusätzlich zu den oben beschriebenen Sofortmaßnahmen für Mitarbeiter, die bei ihrer täglichen Arbeit mit solchen Sicherheitsgefahren und -maßnahmen konfrontiert sind, müssen alle Mitarbeiter regelmäßig IT-SicherheitsSchulungen erhalten. Der Erfolg dieser Maßnahmen sollte auch regelmäßig überprüft werden. SWN bietet ITSicherheitsschulungen an. Sprechen Sie uns an. - Infektionsquellen unterbinden Kommunizieren Sie mit allen Beteiligten Mitarbeitern, Kunden, Lieferanten usw. in Zukunft nur noch PDF-Dateien zu akzeptieren. Diese enthalten (wenn es keine getarnten anderen Dateiarten sind!) in der Regel keine ausführbare Schadsoftware. Fremde Geräte im Firmennetzwerk __ Alle Sicherheitsmaßnahmen helfen nichts, wenn ein unbefugt ins Netzwerk eingebrachter Rechner (privates Notebook, Rechner eines Dienstleisters, Firmen-Notebook mit veraltetem Virenschutz) diese Maßnahmen unterwandern kann. Konzeption des IT-Systems Auch wenn sich die Infektion mit Viren und Trojanern nicht immer zu 100% verhindern lässt, kann man doch durch intelligente und durchdachte IT-Konzepte potentiellen Schaden verhindern oder zumindest minimieren. Sprechen Sie uns an. Wir analysieren mit Ihnen Ihre Sicherheitsinfrastruktur und zeigen Ihnen Wege und Risiken auf. Bitte beachten Sie diese Hinweise zu Ihrem eigenen Schutz. Falls Sie Fragen haben stehen wir Ihnen gerne zur Verfügung. Dipl.-Ing. (TU) Armin M. Albrecht SWN (Südwest Network) OHG SWN (Südwest Network) OHG Leo-Sandel-Str. 1 - 78628 Rottweil Registergericht: Amtsgericht Stuttgart, HRA 727317     Tel.: +49 741 175117-0 Fax: +49 741 175117-29 E-Mail: [email protected] Internet: www.swn-it.de Seite 5 von 5 IT-Dienstleistungen Netzwerktechnik intelligente Systemlösungen Hard- und Software Aktuelle Information an unsere Kunden