Aktuelles, Branche - geschrieben von dp am Samstag, April 16, 2016 17:20 - noch keine Kommentare
Locky: Der lästige und ominöse Krypto-Trojaner
Aufklärung über Einfallstore und Abwehrmaßnahmen wichtiger denn je
[datensicherheit.de, 16.04.2016] Der Krypto-Trojaner „Locky“ besteht im Wesentlichen aus JAVA-Code (JavaScipt, VB-Script, Makros oder direkt als CMD getarnt), der sich meistens in einer Rechnung in einem E-Mail-Anhang verbirgt, dann automatisch ausgeführt wird und die weiteren, zur Ausführung benötigten Code-Elemente aus dem Internet nachlädt. ItWatch hat in einer aktuellen Aussendung umfangreiche Informationen zu „Locky“ zusammengetragen, von denen einige nachfolgend angerissen werden.
Verschlüsselung von bis zu 40.000 Dateien in einer Minute
Neben dem häufigsten Befall durch ein E-Mail-Attachment sollen auch Varianten gesichtet worden sein, die sich über „Drive-by-Downloads“ (Browser), „Water Hole“ (APT über Browser) und USB-Stick verbreiten. Einmal vollständig geladen sei „Locky“ als „Schläfer“ organisiert – er schlage also nicht sofort, sondern zeitversetzt zu, indem alle für den Benutzer mit Schreibrechten zugreifbare Dateien vieler Dateitypen verschlüsselt würden. Nach Angaben von Betroffenen bis zu 40.000 Dateien in einer Minute, ohne dass der Anwender diese Dateien wieder lesen könne.
Ein Erpressungsschreiben wird auf den befallenen Rechner gebracht, wonach gegen die Übermittlung eines Betrages in Höhe von meist ca. 400 Euro die Übermittlung des benötigten Schlüsselmaterials versprochen wird. Nach bisherigen praktischen Erfahrungen wird dieses wohl auch geliefert; die Landeskriminalämter, das BSI und alle anderen öffentlichen Stellen empfehlen aber, nicht zu zahlen, um diesen Geschäftsmodellen prinzipiell die Erfolgschancen zu nehmen.
Entkoppeltes Backup als zentrale Datensicherungsmaßname
Als häufigste Empfehlung werde zu täglichen Backups geraten, um notfalls wieder „sauber“ aufsetzen zu können. Bei „Locky“ werden indes auch Dateien verschlüsselt, die auf „Shares“ im Netz oder lokal z.B. über USB angebundenen Laufwerken liegen. Deshalb sei es für die Prävention zwingend, die Backups zu entkoppeln, also physikalisch zu trennen, bzw. zumindest dem Benutzer (und allen lokal verfügbaren technischen Accounts inklusive der lokalen Administrationsaccounts) Schreibrechte zu entziehen, da eine physikalische Entkopplung meist technisch gar nicht möglich ist.
Organisatorische Anweisungen zur physikalischen Entkopplung haben laut itWatch „statistisch erkennbar geringen Erfolg“, wenn sie nicht durch technische „Awareness“ in Echtzeit unterstützt sind. Nachhaltig sei dieses Verfahren bei einem Schläfer wie „Locky“ aber nur dann, wenn man auf dem gezogenen Backup mit 100-prozentiger Sicherheit verifizieren könne, ob das Backup selbst befallen ist oder nicht. Befallene Backups dürften nicht wieder eingespielt werden, um nicht als Quelle neuer Angriffswellen zu dienen – sie müssten automatisiert sicher vernichtet werden. Je nach der Latenzzeit des „Schlafes“ könne gar das letzte nicht infizierte Backup auch über ein halbes Jahr alt sein.
Das Darknet als Supermarkt auch für IT-Laien
Angriffe würden professionell erstellt und als Toolkit im Darknet verkauft, so dass auch IT-Laien sich ihren eigenen zusammenbauen könnten. Die Abwehr müsse deshalb professionellen Schutz implementieren, also robust gegen Angriffe sein, sonst sei sie das Geld und die Zeit nicht wert, die man zur Umsetzung benötige.
Optimal sei es natürlich, mittels einer einzigen Lösung mit einer prüfbaren und durch Experten im Schutzgrad geprüften Implementierung vor allen Bedrohungen zu schützen und trotzdem das Arbeiten des Anwenders zu unterstützen. Optimaler Schutz bestehe nur über integritätsgeschützte, als Opfersystem ausgelegte, sicher gekapselte Systeme, die keinen Durchgriff auf produktive Systeme hätten und das Ausbrechen aus einer Virtualisierung mit zusätzlichen Mitteln verhinderten.
Mit einem solchen System würden die potenziell kritischen Daten automatisch, für den Anwender nahtlos in eine virtuelle Quarantäne gebracht und dort durch die geeigneten Anwendungen geöffnet, um zu verhindern, dass potenziell enthaltener Schadcode die produktiven Systeme infiziert. In einer „Remote Controlled Session“ könne der Anwender alle aktiven Inhalte nutzen und beliebige Daten einsehen, sowie kritische Aktionen durchführen, ohne die produktive Umgebung zu gefährden.
Gefahrenquellen für die betriebliche IKT
Kritisch sei etwa das Anklicken einer problematischen URL, das Herunterladen von ausführbaren Elementen aus dem Internet, das Anstecken eines fremden, nicht in Echtzeit geprüften Peripheriegerätes, das Installieren einer unbekannten Anwendung von einem fremden Datenträger oder aber eben wie das Beispiel „Locky“ zeige, das Öffnen von E-Mail-Anhängen, welche ausführbaren Code beinhalten.
Die Virtualisierung von potenziell schädlichen Inhalten und unbekanntem Code alleine sei als Lösung jedoch zu kurz gegriffen. Erst wenn die Arbeitsergebnisse aus der virtualisierten Umgebung sicher in die Prozesse der Produktionsumgebung eingebunden würden und die Aktivitäten in der virtualisierten Welt nahtlos und barrierefrei automatisch für den Anwender eingebunden seien, schaffe das effiziente, sichere Arbeitsumgebungen, die gleichzeitig prüfbar und geschützt seien.
Dazu müssten Virtualisierung, Applikations- und Contentkontrolle sowie Verschlüsselung geeignet kombiniert werden und könnten dann die sichere und flexible Alternative zu rigiden Verboten oder physikalisch getrennten Systemen darstellen. Durch ein „Remote-Controlled-Application-System“ (ReCAppS) würden sicherheitskritische Aktionen in der produktiven Umgebung sicher erkannt und dann automatisch in eine virtualisierte Umgebung ausgelagert. Inhalte würden sowohl auf dem ReCAppS als auch auf dem produktiven Client-System des Anwenders nach den zentralen Vorgaben kontrolliert, so dass kein Schadcode ins interne Netz gerate. Wesentlich sei hierbei, dass eine Prüfung auf Schadcode etwa durch Anti-Viren-Programme nicht ausreiche, da jeder potenzielle Code, der fremd und nicht positiv authentisiert sei, erkannt werden müsse und in der virtuellen Schleuse auszuführen sei.
Warnung vor der scheinbar harmlosen E-Mail mit Anhang und vor USB-Sticks
Sogenannte Krypto-Trojaner können sich in einer auf den ersten Blick harmlosen E-Mail-Rechnung verbergen. Wer deren Anhang anklickt, infiziert seinen Rechner mit der Verschlüsselungssoftware und hat damit keinen Zugriff mehr auf seine Daten. Ist der Computer infiziert, werden durch den Trojaner alle Dateien mit vordefinierten Endungen verschlüsselt – und tragen dann zum Beispiel den Namen „*Locky“. Laut itWatch sind mehr als 100 Dateiendungen hinterlegt. Nur eine Datei sei dann noch lesbar: Die mit einer Lösegeldforderung der Erpresser, die auch eine genaue Handlungsanweisung enthalte. In der Internetwährung Bitcoin solle das Lösegeld gezahlt werden – meist ca. 400 Euro. Eine Anweisung zur Eröffnung eines Kontos in der Internetwährung schickten die Kriminellen gleich mit.
Weitere Verbreitungswege seien eben „Drive-by-Attacken, „Watering Hole“ und USB-Datenträger – darauf entweder als infiltrierter Content, der wie E-Mail-Anhänge gestaltet sei, oder – noch perfider – gleich im Controller des USB-Datenträgers verborgen. Deshalb sein in diesem Zusammenhang fremde USB-Sticks bzw. fremde Peripheriegeräte nicht weniger gefährlich, denn auch in einer Maus oder einer Tastatur könne sich ein Trojaner verbergen.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Version 2.0 / Remote-Controlled Browsers System (ReCoBS)
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren