Ende letzter Woche wurde bekannt, dass der Sicherheitsdienstleister Prosegur mit Sitz in Madrid der Ransomware „Ryuk“ zum Opfer fiel. Zu den Dienstleistungen des Unternehmens zählen unter anderem die Abwicklung automatisierter Bargeldprozesse, Geldlogistik, Werte- und Kurierlogistik sowie die Bereitstellung von Sicherheitslösungen. Prosegur ist weltweit tätig, mit 175.000 Mitarbeitern in 25 Ländern. Via Twitter bestätigte der Konzern am Mittwochnachmittag die Infektion mit dem Verschlüsselungstrojaner Ryuk und gab an, die maximalen Sicherheitsmaßnahmen getroffen zu haben, um eine interne und externe Ausbreitung der Malware zu vermeiden.
Die Ransomware Ryuk, die es über Umwege mittels Spam-E-Mails an Mitarbeiter in Unternehmensnetzwerke schafft, ist kein neues Phänomen. Im aktuellen BSI-Lagebericht 2019 wird auf die Gefahr dieser Malware-Variante hingewiesen: So heißt es, gezielte Beobachtung der verwendeten Bitcoin-Adressen lassen auf ein bereits erbeutetes Lösegeld von mindestens 600.000 Dollar schließen. Außerdem trete Ryuk seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit Emotet und Trickbot-Kampagnen auf, was die erhöhte Modularität bei Schadsoftware allgemein, insbesondere aber bei Ransomware zeige. Auch im aktuellen „Bundeslagebild Cybercrime 2018“ des Bundeskriminalamts, der Anfang des Monats erschienen ist, findet Ryuk Erwähnung. Das FBI habe letztes Jahr einen Bericht veröffentlicht, wonach der Verschlüsselungstrojaner seit August 2018 durch bisher unbekannte Angreifer genutzt wurde, um über 100 international tätige Konzerne zu erpressen. Dabei sollen einzelne Forderungssummen in Höhe von bis zu fünf Millionen Dollar in Bitcoins festgestellt worden sein. Im Gegenzug wurde den Opfern wohl ein Entschlüsselungsprogramm versprochen.
Awareness und technische Vorkehrungen
Bei der Frage, wie sich Firmen in Zeiten der wachsenden Gefährdungslage schützen können, gibt es zwei Ebenen: Die organisatorische und die technische. Unternehmen sollten zum einen dringend ihre Mitarbeiter für schadhafte Spam-E-Mails sensibilisieren, E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Auch wenn die Empfänger bereits bekannt sind, sollten unerwartete Dateianhänge nicht unbedarft geöffnet werden. Schulungen und Awareness für Cyberangriffe sind also wichtige Bausteine, um das Sicherheitsniveau im Betrieb zu erhöhen. Aber sie können immer nur eine Ergänzung sein, denn Menschen machen Fehler und professionell gefakete Spam-Mails lassen sich häufig kaum noch von legitimen Nachrichten unterscheiden. Die Nutzung einer Filesharing-Lösung im eigenen Firmen-Branding schafft hingegen Vertrauen. Der Datenaustausch erfolgt dann über einen Link zu den abgelegten Dateien und anhand der darin integrierten eigenen URL kann der Empfänger sicher sein, zu vertrauenswürdigem Inhalt zu gelangen.
Die Lösung: Security by Design
Zusätzlich ist es bei der Anschaffung neuer Unternehmenssoftware unerlässlich, darauf zu achten, dass sie höchsten Sicherheitsansprüchen genügt und das Thema Security bereits bei der Entwicklung berücksichtigt wurde – sie also nach dem Prinzip „Security by Design“ entwickelt worden ist. Um eine Infektion mit Ransomware von Vornherein auszuschließen, sollten Filesharing-Lösungen über einen integrierten Ransomware-Schutz verfügen. Das funktioniert so: Sollte ein Verschlüsselungstrojaner trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Firmen dank einer Versionierung des Papierkorbs trotzdem keine einzige Datei. Schließlich werden die Daten bei einem Ransomware-Angriff mit den verschlüsselten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Insgesamt sollten Unternehmen also das Bewusstsein für Gefahren bei ihren Mitarbeitern schärfen und gleichzeitig darauf achten, dass ihre verwendeten Lösungen höchsten Standards an die Sicherheit gerecht werden.
#Netzpalaver #Dracoon