Die Unternehmensausfallzeitkosten sind sehr hoch – Kosten für das Rückspielen eines Backup (Quelle: Trend Micro)Die aktuelle Crypto-Ransomware a la Locky oder Teslacrypt schädigt zwar auch Unternehmen erheblich, ausgerichtet sind die Schädlinge jedoch auf Consumer. Der japanische IT-Sicherheitsanbieter Trend Micro geht davon aus, dass die Welle der auf Unternehmen zielgerichteten Malware gerade erst startet. »Das Schlimmste kommt erst noch«, sagte Richard Werner, Business Consultant bei Trend Micro, letzte Woche auf einer Presseveranstaltung. »Für Unternehmen wird es noch ganz ganz hart.«

Denn Locky & Co fordern von betroffenen Anwendern Bitcoins im Wert von meist 300 bis 500 Euro. Doch die Aussender dieser Verschlüssungs-Trojaner wissen ja nicht, ob sich auf einem befallenen PC lediglich private Daten oder geschäftskritische Daten befinden, für die Betroffenen evtl. sogar mehr bezahlen würden. »Es wurden eben auch Firmen-PCs befallen, obwohl es nicht die Absicht dieser Ransomware war«, erklärt Werner.

Anzeige

Neueste Ransomware zielt konkret auf Unternehmen ab

Richard Werner, Business Consultant, Trend Micro (Bild: speicherguide.de)Doch zuletzt sind erste Schädlinge aufgetaucht, die offensichtlich ganz gezielt für Unternehmen geschrieben wurden. Trend Micro nennt diese Kategorie Crypto-Ransomware, und verweist nennt in diesem Zusammenhang den kürzlich aufgetauchten Trojaner »Mircop«. Dieser fordert von seinen Opfern kein »Lösegeld«, sondern eine »Rückzahlung«, so als ob sie zuerst bestohlen worden wären. Außergewöhnlich ist ferner die Höhe der geforderten Geldsumme: 48,48 Bitcoins (was knapp 29.000 US-Dollar entspricht). Dies und das Fehlen eines explizit genannten Zahlungsempfängers deuten darauf hin, dass es sich hier um einen gezielten Angriff mit Erpressersoftware handeln könnte – ein absolutes Novum.

Der Verbreitungsweg (Spam-Nachrichten) und Wirkungsweise (Dateiverschlüsselung) ist indes klassisch für Erpressersoftware: Im Anhang der Spam-E-Mail findet sich ein Makro-aktiviertes Dokument, angeblich ein thailändisches Zollformular für Im- und Export. Wer auf den Trick hereinfällt, das Dokument öffnet und die Makros aktiviert, wird auf eine infizierte Webseite geleitet. Von dort wird die eigentliche Schadsoftware heruntergeladen und ausgeführt.

»Es gibt einige Indizien, die darauf hindeuten, dass Mircop ganz bestimmte Opfer im Visier hat«, vermutet Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. »Einerseits gibt es keine echten Zahlungsanweisungen – man geht also davon aus, dass das Opfer schon wissen wird, wohin es die Bitcoins transferieren soll. Andererseits kam es zu keinem Spam-Ausbruch im Zusammenhang mit der Erpressersoftware und deren Downloader. Ferner wurden weltweit bislang weniger als zwanzig Rechner infiziert, wie meine Kollegen ermittelt haben.«

Das bedeutet eben auch: Es war ein ganz zielgerichteter Angriff, möglicherweise auf nur ein Unternehmen, und die anderen befallenen PCs waren sowas wie Kollateralschaden.

Backup hilft – aber ist zeitaufwändig

Erste Unternehmen in UK haben Budgets für Erpressung durch Ransomware bereitgestellt (Bild/Quelle: Trend Micro, Citrix, Censuswide)In diesem Zusammenhang – expliziter Angriff auf Firmen – muss auch das Thema Backup angesprochen werden. Es ist in der Tat so ziemlich der einzige Schutz, die Unternehmens-PCs und Server wieder von der Malware zu säubern, ohne das »Lösegeld« zu zahlen. Doch mittlerweile stellt sich raus: Auch bei einem funktionierenden und aktuellen Backup ist das Zahlen des Lösegeld – leider möglicherweise – günstiger.

Trend Micro macht dazu eine Beispielrechnung auf. Eine Firma, die einen Jahresumsatz von ca. 200 Millionen Euro erwirtschaftet, kann zwar auf ein aktuelles Backup zurückgreifen – aber das Zurückspielen und der Arbeitszeitverlust (eines angenommenen halben Arbeitstages) summieren sich damit auf rund 500.000 Euro. Da ist es möglicherweise eben günstiger, die 29.000 US-Dollar zu bezahlen, die im obigen Beispiel Mircop verlangte.

Erste Unternehmen in UK machen Budget-Rückstellungen

Ransomware-Funde in den letzten zwei Wochen in Deutschland: E-Mail-Anhänge und in E-Mails integrierte Links dominieren zu 99 Prozent. Klassische Pattern-Erkennung hilft nicht mehr, hier helfen nur Gateway-Lösungen (Bild/Quelle: Trend Micro)In England haben deshalb bereits erste Unternehmen laut einer Studie von Citrix und Censuswide Budgets für den digitalen Erpressungsvorfall bereitgestellt. »Diese Überlegungen kommen aus dem Risikomanagement«, erläutert Trend Micro-Consultant Werner. Wenn sich das durchsetzen sollte, dann, so Werner, »kommen erst noch die richtig goldenen Zeiten für die Ransomware-Schreiber«.

Abwehrmittel ist trotz allem ein ständig hochaktuelles Backup. Und Unternehmen sollten den Rückspielfall des Backups öfters als bisher testen, damit alle Beteiligten fit für diese Aktion sind. Auch die Backup- und Datensicherungsstrategien sollten Administratoren und CIOs evtl. kritisch prüfen, ob sie noch auf dem neuesten und modernsten Stand sind. Und Mitarbeiter in Schulungen dafür sensibilisieren, dass sie Fake-E-Mails besser erkennen.

Denn über 99 Prozent der in Unternehmen eingeschleusten Ransomware-Schädlingen befinden sich nach wie vor in E-Mail-Anhängen (infizierte DOCs, PDFs, ZIPs, Excel-Sheets etc) bzw. in E-Mails mit integrierten Links nach dem Motto: Hier ist was Interessantes, klick doch mal drauf…..