Aktuelles, Branche - geschrieben von dp am Montag, August 5, 2019 15:37 - 2 Kommentare
GermanWiper: In Bewerbungen versteckte Ransomware
Dateien durch Überschreiben mit Nullen für immer verloren
[datensicherheit.de, 05.08.2019] Ende Juli 2019 sei bundesweit eine neue Ransomware aufgetaucht, die derzeit für Furore sorge. Diese Schadsoftware namens „GermanWiper“ (Deutscher Wischer) verschlüsselt demnach keine Dateien, sondern überschreibt ihren Inhalt mit Nullen („0“) und zerstört so dauerhaft die Daten der Benutzer, warnt Jürgen Venhorst, „Country Manager“ bei Netwrix für die DACH-Region.
Angebliche Bewerbung einer Lena Kretschmer enthält GermanWiper
Versendet werde sie mit „Malspam“ versteckt in Bewerbungen. Eine derzeit im Umlauf befindliche Variante enthält lt. „ZDNet“ und dem CERT-Bund die angebliche Bewerbung einer Lena Kretschmer. Venhorst: „Wie Heise erklärt, ist bei dem Bewerbungsschreiben ein Zip-Archiv angehängt, dass jedoch nicht den versprochenen Lebenslauf im Word-Format, sondern eine ,Windows‘-Link-Datei beinhaltet. Wenn ein Empfänger diese Datei ausführt, überschreibt die Ransomware den Inhalt verschiedener lokal gespeicherter Dateien mit dem Wert 0x00 (Nullzeichen) und fügt allen Dateien eine neue Erweiterung hinzu.“ Diese Erweiterung habe ein Format von fünf zufälligen alphanumerischen Zeichen, wie .08kJA, .AVco3, .OQn1B oder .rjzR8.
Jürgen Venhorst, „Country Manager DACH“ bei Netwrix
GermanWiper lässt offenbar nicht zu, den Schreibvorgang rückgängig zu machen
Nachdem alle Dateien „verschlüsselt“ bzw. überschrieben wurden, öffne die Ransomware eine Lösegeld-Notiz im HTML-Format, „die in dem Browser angezeigt wird, den der Empfänger als Standardbrowser ausgewählt hat“. Dieses Schreiben fordere vom Opfer die Zahlung eines Lösegelds. „Das Problem nun ist, dass ein solches zu überweisen dem Opfer nicht helfen wird, denn die Daten sind überschrieben worden und damit für immer verloren“, so Venhorst. Nur wenn das Opfer ein Backup der Dateien in der Cloud oder auf externen Speichergeräten erstellt hat, könnten diese wiederhergestellt werden. „So wie die Experten das bislang beurteilen, haben die Angreifer keine Möglichkeit von außen, den Schreibvorgang rückgängig zu machen.“ Alle Empfänger, deren Konten und IT-Systeme mit dieser Ransomware infiziert wurden, sollten deshalb auf keinen Fall das geforderte Lösegeld bezahlen.
Aufklärung der Belegschaft, wie Social-Engineering-Angriffe in der Regel funktionieren
Diese über „Malspam“ verbreitet Attacke zeige, dass „Social Engineering“-Angriffe eine große Cyber-Bedrohung für Unternehmen und öffentliche Einrichtungen seien. „Falsches Verhalten von Mitarbeitern, wie das Klicken auf unbekannte Mail oder das Öffnen von Attachments ist umso wahrscheinlicher, wenn ein Unternehmen seine Mitarbeiter nur zum Zeitpunkt der Einstellung über die Cyber-Sicherheitsrichtlinien informiert, statt sie zu einer ständigen Priorität zu machen.“ Schulungen seien ein gutes Tool; es sei aber effektiver, „kurze Videos zu nutzen, um reale Situationen nachzustellen und zu zeigen, wie Social-Engineering-Angriffe in der Regel funktionieren“, erläutert Venhorst.
Benachrichtigungen über Anomalien erhalten und sofort eingreifen können
Natürlich werde der Eine oder Andere angesichts einer echten Phishing-E-Mail noch immer unverantwortlich handeln. Eine Studie von Verizon zeige, dass vier Prozent der Personen einen verdächtigen Anhang immer anklickten. Deshalb sei es ratsam, regelmäßig einen Phishing-Simulationstest durchzuführen, „um zu prüfen, ob die Schulung effektiv war und ob Mitarbeiter den Informationen zu empfohlenen Verhaltensweisen und Sicherheitsrichtlinien folgen“, rät Venhorst. Schließlich sollten Unternehmen über Methoden verfügen, „die es ihnen ermöglichen, bösartige Aktivitäten in ihren Systemen zu erkennen“. Ein Zeichen dafür, dass Ransomware versucht, in das eigene Netzwerk einzudringen, sei eine große Anzahl von Zugriffsversuchen auf die Dateien. „Stellen Sie sicher, dass Sie über Tools und Prozesse verfügen, mit denen Sie Benachrichtigungen über solche Anomalien erhalten und sofort eingreifen können, um eine verdächtige Sitzung zu beenden. Diese Lösungen helfen internen Sicherheitsexperten, Bedrohungen rechtzeitig zu erkennen.“
Zugriffsrechte einzelner User müssten hinterfragt werden
Auch Zugriffsrechte einzelner User müssten hinterfragt und in Einklang mit den internen, sowie gesetzlichen Vorgaben und Richtlinien sein. Richtlinien sollten immer wieder aktualisiert und an die User weitergegeben werden. Eine Lösung zur Datenklassifizierung und Zugriffskontrolle könne hier helfen, Daten vor unberechtigtem Zugriff zu schützen. Darüber hinaus ließen sich Datenschutzverletzungen vermeiden, das Risikopotenzial mindern und die Einhaltung von gesetzlichen Vorschriften wie der DSGVO erreichen und im Bedarfsfall nachweisen.
Weitere Informationen zum Thema:
ZDNet, Catalin Cimpanu, 02.08.2019
GermanWiper ransomware hits Germany hard, destroys files, asks for ransom / Users advised not to pay the ransom under any circumstances!
CERT-Bund auf twitter, 02.08.2019
Angreifer versenden aktuell gefälschte Bewerbungen im Namen von „Lena Kretschmer“ zur Verbreitung der #Ransomware #GermanWiper. Nicht die Anhänge der Mail öffnen!
datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus
datensicherheit.de, 17.07.2019
Hinter Bewerbungen versteckt: Sodinokibi-Ransomware
datensicherheit.de, 11.07.2019
Leak von Kundendaten: Geldbuße für British Airways
2 Kommentare
Rolf Stange
Carsten Pinnow
Sehr geehrter Herr Stange,
die Redaktion von datensicherheit.de geht davon aus, dass es sich nicht um einen Hoax handelt. Die Warnung wird vom CERT-Bund auf twitter veröffentlicht (s. https://twitter.com/certbund/status/1157246114678169600), Dort ist auch zu lesen, dass Meldungen dieser Art ausschliesslich dort verbreitet werden.
Mit freundlichen Grüßen
Carsten Pinnow
Kommentieren
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Ich vermute, dass es sich bei „GermanWiper“ um nichts anderes als eine Hoax-Meldung handelt.
Schon mal die Meldung auf CERT-Bund.de gefunden, auf die -ganz wichtig- in den Meldungen bewiesen wird? Ich habe nichts gefunden!
Und dann auch danach suchen, wann von Hoax gesprochen wird.
Freundliche Grüße
R. Stange