EY-Analyse: Neue Ransomware-Attacke mit Fokus Osteuropa
Erneut sieht sich vor allem Osteuropa mit einer neuen Ransomware-Attacke konfrontiert. Vor dem Hintergrund der Erfahrungen mit vergleichbaren Angriffen (WannaCry, NotPetya) mahnt die Prüfungs- und Beratungsorganisation EY Unternehmen und Institutionen auf der ganzen Welt zur Vorsicht und empfiehlt, Datenverbindungen ins Ausland umgehend intensiv zu überwachen. Insbesondere bei NotPetya hatte sich gezeigt, dass der zunächst lokale Angriff andernfalls schnell zu einem internationalen Problem werden kann. Auch in Österreich waren international operierende Unternehmen aufgrund der Verbindungen ihrer Datennetze von mehrtägigen Produktionsausfällen betroffen. Dies gilt es nun von Anfang an zu verhindern.
Unternehmen unterschätzen oft die Gefahr
Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich, warnt: „Auch dieser Malware-Ausbruch war nur eine Frage der Zeit. Das System ‚Ransomware‘ funktioniert und wird auch in der Zukunft eines der Top-Angriffsszenarien bleiben. Unternehmen müssen daher endlich aufwachen und die richtigen Maßnahmen ergreifen. Laut der aktuellen EY Datendiebstahl-Studie glaubt fast die Hälfte der befragten Manager österreichischer Unternehmen, dass sie vor solchen Angriffen ausreichend geschützt sind.“
„Viele Unternehmen wiegen sich in trügerischer Sicherheit“, ergänzt Drazen Lukac, Partner bei EY Österreich. „Im vorliegenden Fall sind bereits erste betroffene Unternehmen bekannt, die zuvor auch schon Opfer von NotPetya waren. Auch diese dürften sich nach den Maßnahmen, die sie nach der letzten Attacke getroffen haben, sicher gefühlt haben.“
Es bleibe festzustellen, dass es hundertprozentige Sicherheit auch zukünftig nicht gebe, so Benjamin Weissmann, Geschäftsführer und Leiter Cyber-Forensik bei EY Österreich. Zudem werden die Abstände relevanter Cyberattacken immer kürzer, was viele Unternehmen überfordert.
„Oft bleibt unbedacht, dass das gleiche Einfallstor auch für eine ganz andere Art von Angriff hätte genutzt werden können. So hätte sich ein Angreifer auch unbemerkt Zugang zu den Informationssystemen verschaffen können und in aller Ruhe sensible, personenbezogene Daten oder andere Geschäftsinformationen manipulieren oder stehlen können“, betont Weissmann. Er erwartet, dass Ransomware künftig weiter in den Fokus rücken wird. „Für die Angreifer steht dabei mittlerweile nicht mehr das Geld im Vordergrund, sondern die Vernichtung von Daten“, so Weissmann.
„Mit Inkrafttreten der EU-Datenschutzgrundverordnung wird es eine Meldepflicht für Vorfälle geben, bei denen personenbezogene Daten nachhaltig betroffen sind, und es drohen empfindliche Strafen – nicht nur bei Datendiebstahl, sondern auch bei Manipulation oder Löschung. Unternehmen müssen jetzt den Sachverhalt ausführlich analysieren, gegebenenfalls unter Zuhilfenahme von Fachleuten für Cyber-Security und Cyber-Forensik, um aus den Fehlern – hoffentlich anderer – zu lernen“, so Weissmann.
Der Kryptotrojaner Bad Rabbit
Die Analyse der aktuellen Schadsoftware dauert noch an, bislang ist jedoch davon auszugehen, dass diese NotPetya stark ähnelt. Der Großteil der betroffenen Rechner steht nach derzeitigem Kenntnisstand in Russland, gefolgt von der Ukraine, der Türkei und Japan. Derzeit ist davon auszugehen, dass es sich bei der Schadsoftware um Ransomware handelt, eine entsprechende Anzeige auf dem Bildschirm infizierter Systeme legt dies nahe.
Die Besonderheit: Die Lösegeldforderung erhöht sich nach Ablauf eines Timers. Da die Analysen andauern, kann noch nicht gesagt werden, ob die Ransom-Funktionalität hier wirklich im Vordergrund steht oder wie bei NotPetya nur als Tarnung eines primär destruktiven Angriffs dient. „Jedes Unternehmen muss bei Attacken immer wieder neu bewerten und entscheiden, wie es im Einzelfall vorgeht. Dabei muss sehr genau abgewogen werden, ob diese Entscheidung die Gefahr, Opfer eines weiteren Cyberangriffs zu werden, erhöht oder eindämmt“, sagt EY-Partner Drazen Lukac. Ziel müsse es immer sein, den Angriff schnell zu erkennen, sofort zu reagieren und so Schaden zu vermeiden oder zu minimieren.
Der aktuelle Angriff scheint sich primär gegen größere Infrastrukturen und Konzerne zu richten, daher gilt die Warnung von Drazen Lukac insbesondere für international agierende Unternehmen mit entsprechenden Datenverbindungen. Die Schadsoftware, welche sich wohl als Update für den Adobe Flash Player tarnt, enthält ebenso wie die Vorläufer effiziente Routinen, um sich im infizierten Netzwerk zu verbreiten.
Gottfried Tonweber bestätigt diese Einschätzungen: „Die aktuelle Attacke beweist, dass Cyberkriminelle das Rad gar nicht immer neu erfinden müssen. Unternehmen wähnen sich in Sicherheit, wenn eine Attacke an ihnen vorbeigeht und bereiten sich nicht auf die nächste Attacke vor, die leicht abgewandelt auch bei ihnen zu einem nicht unerheblichen Schaden führen kann. Erneut ruft EY jeden dazu auf, alle erforderlichen Schritte zu unternehmen, um kritische Systeme und Daten zu schützen.”
EY empfiehlt Unternehmen, die folgenden sechs Schritte zu beachten, um das Risiko zu minimieren:
– Trennen Sie infizierte Geräte vom Netzwerk und nehmen Sie außerdem alle Backups vom Netz, denn auch diese könnten verschlüsselt werden, wenn sie mit dem Netzwerk verbunden bleiben.
– Aktivieren Sie Ihren Notfallplan und betrachten Sie die Untersuchungen nicht nur als eine IT-Angelegenheit oder Übung. Stellen Sie sicher, dass Ihr Untersuchungsteam aus funktionsübergreifenden Mitgliedern besteht, einschließlich der Fachbereiche Recht, Compliance, Informationssicherheit, Betriebswirtschaft, Öffentlichkeitsarbeit und HR.
– Identifizieren Sie Schwachstellen in Ihrem vernetzten Ökosystem und beheben Sie sie. Installieren Sie genügend Sicherheitsupdates, Malware-Erkennungssysteme und Antivirenprogramme, um es Angreifern zu erschweren, in Ihr System einzudringen. Verbessern Sie Ihre Erkennungs- und Reaktionsfähigkeit im Falle künftiger Angriffe und treffen Sie die notwendigen Vorkehrungen, um Malware beseitigen zu können.
– Stellen Sie sicher, dass Ihre Systeme aktualisiert wurden, bevor Computer hochgefahren werden. Halten Sie Ihre Systeme mit zuverlässigen Patches auf Unternehmensebene sowie einem Programm für Schwachstellenmanagement auf dem neuesten Stand. Ebenfalls sollte es ein vollständiges Modell geben, das sich damit befasst, welche Ressourcen (Assets) diesen Risiken ausgesetzt sind, und auch die Verbindungen zu anderen Ressourcen aufzeigt.
– Führen Sie Notfallpläne für die Aufrechterhaltung des Geschäftsbetriebs ein. Bereiten Sie Daten so auf, dass sie den unterschiedlichen Anforderungen für regulatorische Berichte, Versicherungsmeldungen und -streitfälle, Rechtsstreitigkeiten, Bedrohungsmanagement und/oder Kundenbenachrichtigungen entsprechen.
– Sammeln und sichern Sie Beweise in einer forensisch einwandfreien Art und Weise, damit gewährleistet ist, dass diese Beweise einer Ermittlung zuträglich und in zivilrechtlichen oder regulatorischen Angelegenheiten zuverlässig verwendbar sind.
25.10.2017, www.ey.com