Aktuelles, Branche - geschrieben von am Samstag, April 16, 2016 17:20 - noch keine Kommentare

Locky: Der lästige und ominöse Krypto-Trojaner

Aufklärung über Einfallstore und Abwehrmaßnahmen wichtiger denn je

[datensicherheit.de, 16.04.2016] Der Krypto-Trojaner „Locky“ besteht im Wesentlichen aus JAVA-Code (JavaScipt, VB-Script, Makros oder direkt als CMD getarnt), der sich meistens in einer Rechnung in einem E-Mail-Anhang verbirgt, dann automatisch ausgeführt wird und die weiteren, zur Ausführung benötigten Code-Elemente aus dem Internet nachlädt. ItWatch hat in einer aktuellen Aussendung umfangreiche Informationen zu „Locky“ zusammengetragen, von denen einige nachfolgend angerissen werden.

Verschlüsselung von bis zu 40.000 Dateien in einer Minute

Neben dem häufigsten Befall durch ein E-Mail-Attachment sollen auch Varianten gesichtet worden sein, die sich über „Drive-by-Downloads“ (Browser), „Water Hole“ (APT über Browser) und USB-Stick verbreiten. Einmal vollständig geladen sei „Locky“ als „Schläfer“ organisiert – er schlage also nicht sofort, sondern zeitversetzt zu, indem alle für den Benutzer mit Schreibrechten zugreifbare Dateien vieler Dateitypen verschlüsselt würden. Nach Angaben von Betroffenen bis zu 40.000 Dateien in einer Minute, ohne dass der Anwender diese Dateien wieder lesen könne.
Ein Erpressungsschreiben wird auf den befallenen Rechner gebracht, wonach gegen die Übermittlung eines Betrages in Höhe von meist ca. 400 Euro die Übermittlung des benötigten Schlüsselmaterials versprochen wird. Nach bisherigen praktischen Erfahrungen wird dieses wohl auch geliefert; die Landeskriminalämter, das BSI und alle anderen öffentlichen Stellen empfehlen aber, nicht zu zahlen, um diesen Geschäftsmodellen prinzipiell die Erfolgschancen zu nehmen.

Entkoppeltes Backup als zentrale Datensicherungsmaßname

Als häufigste Empfehlung werde zu täglichen Backups geraten, um notfalls wieder „sauber“ aufsetzen zu können. Bei „Locky“ werden indes auch Dateien verschlüsselt, die auf „Shares“ im Netz oder lokal z.B. über USB angebundenen Laufwerken liegen. Deshalb sei es für die Prävention zwingend, die Backups zu entkoppeln, also physikalisch zu trennen, bzw. zumindest dem Benutzer (und allen lokal verfügbaren technischen Accounts inklusive der lokalen Administrationsaccounts) Schreibrechte zu entziehen, da eine physikalische Entkopplung meist technisch gar nicht möglich ist.
Organisatorische Anweisungen zur physikalischen Entkopplung haben laut itWatch „statistisch erkennbar geringen Erfolg“, wenn sie nicht durch technische „Awareness“ in Echtzeit unterstützt sind. Nachhaltig sei dieses Verfahren bei einem Schläfer wie „Locky“ aber nur dann, wenn man auf dem gezogenen Backup mit 100-prozentiger Sicherheit verifizieren könne, ob das Backup selbst befallen ist oder nicht. Befallene Backups dürften nicht wieder eingespielt werden, um nicht als Quelle neuer Angriffswellen zu dienen – sie müssten automatisiert sicher vernichtet werden. Je nach der Latenzzeit des „Schlafes“ könne gar das letzte nicht infizierte Backup auch über ein halbes Jahr alt sein.

Das Darknet als Supermarkt auch für IT-Laien

Angriffe würden professionell erstellt und als Toolkit im Darknet verkauft, so dass auch IT-Laien sich ihren eigenen zusammenbauen könnten. Die Abwehr müsse deshalb professionellen Schutz implementieren, also robust gegen Angriffe sein, sonst sei sie das Geld und die Zeit nicht wert, die man zur Umsetzung benötige.
Optimal sei es natürlich, mittels einer einzigen Lösung mit einer prüfbaren und durch Experten im Schutzgrad geprüften Implementierung vor allen Bedrohungen zu schützen und trotzdem das Arbeiten des Anwenders zu unterstützen. Optimaler Schutz bestehe nur über integritätsgeschützte, als Opfersystem ausgelegte, sicher gekapselte Systeme, die keinen Durchgriff auf produktive Systeme hätten und das Ausbrechen aus einer Virtualisierung mit zusätzlichen Mitteln verhinderten.
Mit einem solchen System würden die potenziell kritischen Daten automatisch, für den Anwender nahtlos in eine virtuelle Quarantäne gebracht und dort durch die geeigneten Anwendungen geöffnet, um zu verhindern, dass potenziell enthaltener Schadcode die produktiven Systeme infiziert. In einer „Remote Controlled Session“ könne der Anwender alle aktiven Inhalte nutzen und beliebige Daten einsehen, sowie kritische Aktionen durchführen, ohne die produktive Umgebung zu gefährden.

Gefahrenquellen für die betriebliche IKT

Kritisch sei etwa das Anklicken einer problematischen URL, das Herunterladen von ausführbaren Elementen aus dem Internet, das Anstecken eines fremden, nicht in Echtzeit geprüften Peripheriegerätes, das Installieren einer unbekannten Anwendung von einem fremden Datenträger oder aber eben wie das Beispiel „Locky“ zeige, das Öffnen von E-Mail-Anhängen, welche ausführbaren Code beinhalten.
Die Virtualisierung von potenziell schädlichen Inhalten und unbekanntem Code alleine sei als Lösung jedoch zu kurz gegriffen. Erst wenn die Arbeitsergebnisse aus der virtualisierten Umgebung sicher in die Prozesse der Produktionsumgebung eingebunden würden und die Aktivitäten in der virtualisierten Welt nahtlos und barrierefrei automatisch für den Anwender eingebunden seien, schaffe das effiziente, sichere Arbeitsumgebungen, die gleichzeitig prüfbar und geschützt seien.
Dazu müssten Virtualisierung, Applikations- und Contentkontrolle sowie Verschlüsselung geeignet kombiniert werden und könnten dann die sichere und flexible Alternative zu rigiden Verboten oder physikalisch getrennten Systemen darstellen. Durch ein „Remote-Controlled-Application-System“ (ReCAppS) würden sicherheitskritische Aktionen in der produktiven Umgebung sicher erkannt und dann automatisch in eine virtualisierte Umgebung ausgelagert. Inhalte würden sowohl auf dem ReCAppS als auch auf dem produktiven Client-System des Anwenders nach den zentralen Vorgaben kontrolliert, so dass kein Schadcode ins interne Netz gerate. Wesentlich sei hierbei, dass eine Prüfung auf Schadcode etwa durch Anti-Viren-Programme nicht ausreiche, da jeder potenzielle Code, der fremd und nicht positiv authentisiert sei, erkannt werden müsse und in der virtuellen Schleuse auszuführen sei.

Warnung vor der scheinbar harmlosen E-Mail mit Anhang und vor USB-Sticks

Sogenannte Krypto-Trojaner können sich in einer auf den ersten Blick harmlosen E-Mail-Rechnung verbergen. Wer deren Anhang anklickt, infiziert seinen Rechner mit der Verschlüsselungssoftware und hat damit keinen Zugriff mehr auf seine Daten. Ist der Computer infiziert, werden durch den Trojaner alle Dateien mit vordefinierten Endungen verschlüsselt – und tragen dann zum Beispiel den Namen „*Locky“. Laut itWatch sind mehr als 100 Dateiendungen hinterlegt. Nur eine Datei sei dann noch lesbar: Die mit einer Lösegeldforderung der Erpresser, die auch eine genaue Handlungsanweisung enthalte. In der Internetwährung Bitcoin solle das Lösegeld gezahlt werden – meist ca. 400 Euro. Eine Anweisung zur Eröffnung eines Kontos in der Internetwährung schickten die Kriminellen gleich mit.
Weitere Verbreitungswege seien eben „Drive-by-Attacken, „Watering Hole“ und USB-Datenträger – darauf entweder als infiltrierter Content, der wie E-Mail-Anhänge gestaltet sei, oder – noch perfider – gleich im Controller des USB-Datenträgers verborgen. Deshalb sein in diesem Zusammenhang fremde USB-Sticks bzw. fremde Peripheriegeräte nicht weniger gefährlich, denn auch in einer Maus oder einer Tastatur könne sich ein Trojaner verbergen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Version 2.0 / Remote-Controlled Browsers System (ReCoBS)



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung