COVID-19-Malware-Variante fordert kein Lösegeld, sondern löscht Daten aus Vergnügen

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Mit dem Coronavirus werden auch die Angreifer erfinderisch. Die meisten Mitarbeiter sind im Home-Office. Damit sind die dort verwendeten Endpunkte das erklärte Ziel. Der Sicherheitsforscher Vitali Kremez hat eine neue Malware-Variante entdeckt, welche mit dem Thema Covid-19 lediglich vorgibt Ransomware zu sein. Sie schreibt den MBR des Endpunkts neu und sendet beim Hochfahren eine Nachricht, dass der Computer mit Ransomware-Software infiziert wurde. Mit ein wenig Hilfe einiger Boot-Tools ist es relativ einfach, dies zu beheben und den MBR wieder so zu setzen, wie er sollte, so dass der Rechner normal starten kann.

Es wurde jedoch eine weitere Variante in Italien entdeckt, die ebenfalls versucht, die Dateien auf einem Endpunkt zu löschen, wenn auch ineffizient. Der Grund für destruktive Malware erschließt sich kaum, da hierbei kein Monetarisierungsschema existiert. Ob dies als Scherz, oder zur Spionage gedacht ist, ist unbekannt. Diese Art von Malware kann die IT und die Produktivität der Benutzer einschränken und der Organisation erheblichen Schaden zuführen.

Auch wenn diese Beispiele von Malware bei weitem nicht so destruktiv sind wie einige der weiteren Angriffe, welche in letzter Zeit auftauchten, so ist es dennoch wichtig, die Benutzer darüber aufzuklären, nicht auf Anhänge von unbekannten, unerwarteten oder unerwünschten Absendern zu klicken. Eine Schulung des Sicherheitsbewusstseins kann dazu beitragen, die menschliche Angriffsfläche innerhalb einer jeden Organisation zu minimieren. Somit wird die Wahrscheinlichkeit verringert, dass Angriffe und Betrügereien mittels Social-Engineering Anwender dazu verleiten können, sich mit bösartigen Inhalten auseinandersetzen zu müssen.

Wie man vermeidet, das nächste Opfer zu werden

Es gibt einen Grund dafür, dass mehr als die Hälfte der heutigen Ransomware-Opfer am Ende das Lösegeld bezahlt und dennoch nicht darüber spricht. Cyber-Kriminelle sind raffinierter geworden. Sie nehmen sich Zeit, um den potenziellen Schaden an der Organisation und deren Auszahlung zu maximieren. Früher konnten beispielsweise Phishing-Mails an schlechtem Deutsch erkannt werden. Dies ist heute nicht mehr der Fall, Übersetzer sind besser geworden. Die Themen sind ebenfalls immer brandaktuell. Nach dem Erreichen des Root-Zugriffs durchsuchen die Cyberkriminellen das Netzwerk, lesen E-Mails und finden pikante Datenpakete. Sobald sie diese erkennen, erstellen sie einen Plan, welcher Panik, Schmerz und Betriebsunterbrechungen verursacht. All dies, um maximalen Schaden zu verursachen und die Wahrscheinlichkeit zu erhöhen, dass das Lösegeld schlussendlich gezahlt wird. Existiert nun auch Malware, welche nicht auf Geld abzielt, sondern womöglich aus politischer Einstellung oder Terror heraus Systeme infiziert, wird es umso wichtiger, sich davor zu schützen. Malware ist zu einem massiven Problem geworden.

Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

In der Praxis macht es viel Sinn einen Phishing-Alarm zu installieren. Dabei handelt es sich um einen Knopf (Outlook-Plugin), bei dem Endbenutzer bedrohlich wirkende Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Knopf vereinfacht diesen Prozess erheblich.

#KnowBe4