Ende Juli tauchte bundesweit eine neue Ransomware auf, die derzeit für Furore sorgt. Die Schadsoftware mit dem Namen GermanWiper (Wischer) verschlüsselt keine Dateien, sondern überschreibt ihren Inhalt mit Nullen („0“) und zerstört so dauerhaft die Daten der Benutzer. Versendet wird sie mit Malspam versteckt in Bewerbungen.
Dazu Jürgen Venhorst, Country Manager Netwrix DACH Region:
Eine derzeit im Umlauf befindliche Variante enthält die Bewerbung einer Lena Kretschmer, wie ZDNet über seine Quelle CERT-Bund berichtet. Wie Heise erklärt, ist bei dem Bewerbungsschreiben ein Zip-Archiv angehängt, dass jedoch nicht den versprochenen Lebenslauf im Word-Format, sondern eine Windows-Link-Datei beinhaltet.
Wenn ein Empfänger diese Datei ausführt, überschreibt die Ransomware den Inhalt verschiedener lokal gespeicherter Dateien mit dem Wert 0x00 (Nullzeichen) und fügt allen Dateien eine neue Erweiterung hinzu. Diese Erweiterung hat ein Format von fünf zufälligen alphanumerischen Zeichen, wie .08kJA, .AVco3, .OQn1B oder .rjzR8.
Nachdem alle Dateien „verschlüsselt“ bzw. überschrieben wurden, öffnet die Ransomware eine Lösegeldnotiz im HTML-Format, die in dem Browser angezeigt wird, den der Empfänger als Standardbrowser ausgewählt hat. Dieses Schreiben fordert vom Opfer die Zahlung eines Lösegelds. Das Problem nun ist, dass eine solche Überweisen dem Opfer nicht helfen wird, denn die Daten sind überschrieben worden und damit für immer verloren.
Nur wenn das Opfer ein Backup der Dateien in der Cloud oder auf externen Speichergeräten erstellt hat, können diese wiederhergestellt werden. So wie die Experten das bislang beurteilen, haben die Angreifer keine Möglichkeit von außen, den Schreibvorgang rückgängig zu machen. Alle Empfänger, deren Konten und IT-Systeme mit dieser Ransomware infiziert wurden, sollten deshalb auf keinen Fall das geforderte Lösegeld bezahlen.
Die über Malspam verbreitete Attacke zeigt, dass Social Engineering-Angriffe eine große Cyberbedrohung für Unternehmen und öffentliche Einrichtungen sind. Falsches Verhalten von Mitarbeitern, wie das Klicken auf unbekannte Mail oder das Öffnen von Attachments ist umso wahrscheinlicher, wenn ein Unternehmen seine Mitarbeiter nur zum Zeitpunkt der Einstellung über die Cybersicherheitsrichtlinien informiert, statt sie zu einer ständigen Priorität zu machen.
Natürlich wird der eine oder andere angesichts einer echten Phishing-Email noch immer unverantwortlich handeln. Die Studie von Verizon zeigt, dass 4 Prozent der Personen einen verdächtigen Anhang immer anklicken. Deshalb ist es ratsam, regelmäßig einen Phishing-Simulationstest durchzuführen, um zu prüfen, ob die Schulung effektiv war und ob Mitarbeiter den Informationen zu empfohlenen Verhaltensweisen und Sicherheitsrichtlinien folgen.
Schließlich sollten Unternehmen über Methoden verfügen, die es ihnen ermöglichen, bösartige Aktivitäten in ihren Systemen zu erkennen. Ein Zeichen dafür, dass Ransomware versucht, in Ihr Netzwerk einzudringen, ist eine große Anzahl von Zugriffsversuchen auf Ihre Dateien. Stellen Sie sicher, dass Sie über Tools und Prozesse verfügen, mit denen Sie Benachrichtigungen über solche Anomalien erhalten und sofort eingreifen können, um eine verdächtige Sitzung zu beenden. Diese Lösungen helfen internen Sicherheitsexperten, Bedrohungen rechtzeitig zu erkennen.
Auch Zugriffsrechte einzelner User müssen hinterfragt und in Einklang mit den internen, sowie gesetzlichen Vorgaben und Richtlinien sein. Richtlinien sollten immer wieder aktualisiert und an die User weitergegeben werden. Eine Lösung zur Datenklassifizierung und Zugriffskontrolle kann hier helfen, Daten vor unberechtigtem Zugriff zu schützen. Darüber hinaus lassen sich Datenschutzverletzungen vermeiden, das Risikopotenzial mindern und die Einhaltung von gesetzlichen Vorschriften wie der DSGVO erreichen und im Bedarfsfall nachweisen.