Schweizer Ransomware-Opfer: Was sie falsch machen

19. Februar 2020, 13:55
  • security
  • ransomware
image

Melani zeigt die Lehren aus mehr als einem Dutzend Fällen auf.

Die Melde und Analysestelle Informationssicherheit des Bundes (Melani) warnt, dass weiterhin ein erhöhtes Sicherheitsrisiko durch Ransomware-Angriffe bestehe. In den vergangenen Wochen habe Melani, beziehungsweise das Expertenteam von GovCert, mehr als ein Dutzend Fälle bearbeitet. Die Opfer, deren Systeme von Ransomware verschlüsselt und somit unbrauchbar gemacht wurden, waren sowohl Grossunternehmen als auch KMU, so Melani. 
Bei der Aufarbeitung der Vorfälle habe man einige der Hauptschwachstellen beziehungsweise Security-Fehler identifiziert, welche den Angreifern ihre "Erfolge" ermöglichten.

Fehlender Malware-Schutz oder ignorierte Alerts

Einige Male wurden Warn-Meldungen von Antivirensoftware, dass auf Servern Malware gefunden wurde, von den Unternehmen entweder gar nicht bemerkt oder nicht ernst genommen.
In einigen, allerdings wenigen Fällen, sei sogar überhaupt keine Antivirensoftware auf den Servern installiert gewesen.

Schwach geschützte Remote-Zugänge

Oftmals seien Remote-Zugänge, beispielsweise über das Remote Desktop Protocol (RDP), nur mit einem schwachen Passwort geschützt gewesen. Ausserdem seien Standardports benützt worden und auch keine Einschränkungen eingerichtet worden, so dass zum Beispiel der Zugriff nur via ein VPN oder von bestimmten IP-Adresse aus möglich gewesen wäre.
Dadurch waren die Systeme sehr leicht zugänglich, so Melani. Die Angreifer konnten auf einfache Weise unbemerkt in Unternehmensnetzwerke eindringen und Malware installieren.

Warnungen von dritter Seite missachtet

Manchmal kontaktieren ISPs oder Behörden unternehmen, bei denen sie eine mögliche Infektion vermuten. Solche Meldungen seien aber von einigen Unternehmen nicht beachtet oder nicht ernst genommen worden. Vorhandene Malware-Infektionen wurden dadurch gar nicht oder nur teilweise entfernt.

Keine Offline-Backups

Viele betroffene Unternehmen hatten laut Melani nur Backups ihrer Daten, die dauernd mit dem System verbunden waren. Wenn Ransomware zuschlägt, werden solche Backups oft auch verschlüsselt oder sogar gelöscht. Offline-Backups, die davor sicher gewesen wären, waren oft nicht vorhanden.

Unsauberes Patch- und Lifecycle-Management

Wo veraltete, nicht mehr unterstützte Betriebssysteme oder Software im Einsatz stehen oder wo Security-Patches gar nicht oder mit grosser Verspätung angewendet werden, haben Eindringliche ein einfacheres Spiel. Sie können einfach längst bekannte Sicherheitslücken ausnützen.
Ein schlechtes Patch- und Lifecycle-Management erleichtert zudem auch eine Weiterverbreitung der Malware, wenn sie einmal im System ist.

Keine Netzwerk-Segmentierung

Die Netzwerke der Opfer waren laut Melani nicht segmentiert. Waren sie einmal irgendwo eingedrungen, beispielsweise auf einen Rechner der Personalabteilung, hatten sie auch einen direkten Weg in andere Abteilungen.

Zu grosse Benutzerrechte für bestimmte User

Häufig seien Benutzer mit zu hohen Rechten ausgestattet gewesen, sagt Melani. Dazu gehören zum Beispiel Backup-User, die Domain-Admin-Rechte haben, oder ein Systemverantwortlicher, der mit dem gleichen Login nicht nur im Internet surft, sondern auch Systeme verwaltet.

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022