Aktuelle Bedrohungssituation – Locky und co.

Sie sind hier: :/, Kompetenzen, Sicherheit/Aktuelle Bedrohungssituation – Locky und co.

Aktuelle Bedrohungen: Krypto-Trojaner – Handeln Sie bevor es zu spät ist

Derzeit explodiert die Zahl der Neuinfizierungen mit Krypto-Trojanern (Locky oder TeslaCrypt) .
Diese Schädlinge infizieren unerkannt Ihr System und verschlüsseln im Hintergrund alle wichtigen Dateien unwiederbringlich. Hierzu zählen unter anderem Bilder, Videos, Word- und Excel Dokumente, Archive, Datenbanken, Backupdateien  u.v.m.
Die Ausbreitung erfolgt meist von einem Arbeitsplatzrechner, an dem völlig ahnungslose Mitarbeiter dem Trojaner Tür und Tor öffnen, selbst wenn Sie durch eine Firewall und einen Virenscanner geschützt sind.
Über diesen Arbeitsplatz kann sich der Trojaner dann im gesamten Netzwerk auf alle erreichbaren Datenträger ausbreiten.

Heise geht derzeit von stündlich über 5000 Neuausbrüchen allein bei deutschen Unternehmen aus, weshalb unser Technik-Team in den letzten Wochen zahlreiche Nachteinsätze damit verbracht hat, verschlüsselte Server wiederherzustellen.

Das verheerende an diesen Krypto-Trojanern ist, dass diese völlig unbemerkt arbeiten.

Hinweis: Kunden, die eine Datensicherung haben, die auf Festplatten oder ähnliche Datenträger speichert müssen damit rechnen, dass auch die Datensicherung komplett verschlüsselt wird!
Als sicheres Datensicherungsmedium gilt hierbei lediglich eine Sicherung auf Magnetband (LTO-Laufwerk).

Wenn die Daten verschlüsselt sind, hilft nur noch das Rückspielen einer Datensicherung oder das Zahlen von hohen Geldbeträgen an den Herausgeber des Trojaners (meist nach Anzahl verschlüsselter Dateien oder Datenmenge).

Wie kann ich mich mit diesem Trojaner infizieren?

  • Es reicht das Öffnen einer Email-Anlage von einem „vermeintlich“ vertraulichen Absender (mittlerweile sogar ein Word- oder Excel-Dokument)
  • Das Öffnen eines Links in einer Email, der auf eine schadhafte Seite führt
  • Das Surfen auf eine Internet-Seite, die diesen Schadcode enthält
  • Sogar HTTPS-Verschlüsselte Seiten, die vertrauenswürdige Zertifikate haben sind davon betroffen

Alle Benutzer, die glauben mit einem lokalen Virenschutz vor dieser Gefahr geschützt zu sein, unterliegen hierbei einem Irrglauben – der Virenscanner ist gegen diese Gefahren machtlos, da das Zeitfenster zwischen Auftreten von neuen Varianten und Signatur-Updates viel zu groß ist.

Verheerende Auswirkung:

Einmal aktiv verschlüsseln Krypto-Trojaner wie Locky Ihre Dateien auf Servern und Rechnern. Betroffen sind hierbei auch all Ihre Netzlaufwerke.

Diese Dateien sind unwiederbringlich verschlüsselt.

Nachdem wir nun mehrfach Ausbrüche ´- auch in unserem Kundenstamm verzeichnen mussten – möchten wir Sie hiermit informieren, wie Sie sich gegen diese Trojaner schützen können.

Welche Maßnahmen sollte Ihr Unternehmen sinnvollerweise ergreifen:

  • Sämtlichen Datenverkehr von extern nach intern prüfen und ausführbare Dateien blocken
  • HTTPS-Inspektion – also das Prüfen von verschlüsselten Inhalten, um dort ebenfalls ausführbare Dateien zu blocken.
    Lösungen, die keinen HTTPS-Strom untersuchen können, lassen ausführbare Dateien via HTTPS ungehindert ins Unternehmen laufen!
  • Viren-/Malware-Scan des Datenstroms aus dem Internet (auch HTTPS verschlüsselt)
  • Blocken von bestimmten Inhalten an der Firewall (Phishing-Seiten, Schadcode, Kriminelle Inhalte, Anonymisierer, Gefährliche Downloads, Browser-Exploits etc.)
  • E-Mail Untersuchung: Blocken von ausführbaren Dateien beim Empfang und Verschieben in eine Quarantäne
  • Nutzung von IPS-Systemen, die erkennen, ob ein Gerät seltsame/ungewöhnlich Kommunikation (z.B. in ein BotNet) nach extern betreibt und dieses automatisch blockt
  • Überlegen Sie, wie Sie mit USB-Sticks oder mobilen Datenträgern in Ihrem Unternehmen umgehen
  • Achten Sie auf mobile Benutzer (z.B. Laptops), die zu Hause möglicherweise ungeschützt arbeiten und die Schadsoftware am nächste Arbeitstag mit ins Büro bringen
  • Sensibilisieren Sie Ihre Benutzer im Unternehmen

Als Ihr IT-Systemhaus können wir Ihnen hier als Lösung die Produktreihe SOPHOS UTM empfehlen, die wir selbst seit einem Jahr als Schutzmechanismus erfolgreich und mittlerweile auch bei vielen unserer Kunden einsetzen.
SOPHOS UTM Geräte bieten alle genannten Schutzmechanismen und können einfach und flexibel in Ihrem Unternehmen eingesetzt werden – auch Transparent zu Ihrer bestehenden Firewall-/Infrastruktur.

Kunden, die bereits eine Sophos einsetzen, empfehlen wir eine Überprüfung der Konfiguration basierend auf den aktuellen Herstellervorgaben, um gegen diese neue Art der Bedrohung gewappnet zu sein.

Alle Informationen zur SOPHOS UTM haben wir Ihnen auf unserer Webseite zusammengestellt:
http://www.opticom.it/sophos-utm/

Wir können mit Ihnen zusammen auch einen kleinen Test durchführen, bei dem Sie selbst schnell erkennen können, ob Sie ein System einsetzen, das verschlüsselten HTTPS-Schadcode blockt.

Als IT-Systemhaus stehen wir Ihnen gerne mit Fragen zu diesem Thema zur Verfügung.

Sprechen Sie uns gerne an.

2017-05-19T08:46:21+00:00