IT-Sicherheit 07.08.2019

GermanWiper – Mit einem Klick ist alles weg …

CERT-Bund, das Notfallteam des BSI, warnt derzeit vor einer neuen Ransomware-Variante, einer Art „Verschlüsselungstrojaner“, der die Daten aber sofort löscht und nicht „nur“ verschlüsselt. Das Bezahlen von Lösegeld, von dem ohnehin abzuraten ist, bringt die Daten nicht zurück. Im Blog erfahren Sie mehr über „GermanWiper“ und was Sie gegen den Angriff tun können …

Artikel teilen

Alles beginnt, wie so oft, mit einer scheinbar harmlosen Email. Eine Bewerbung flattert in ihr Postfach – aktuell meist von Lena Kretschmer. Mit Bild, einem ansprechenden Text und einer ZIP-Datei. Auf den ersten Blick ist alles okay, aber mit dem Öffnen der ZIP-Datei kommt der Angriff ins Rollen. Die PowerShell öffnet sich und die Malware wird aus dem Internet nachgeladen. Sie überschreibt alle Daten mit Nullen. Nur ein Backup hilft, ansonsten sind die Daten unwiederbringlich gelöscht. Die Email ist auf den ersten Blick gut gemacht, aber mit einer gewissen Skepsis können Mitarbeiter durchaus erkennen, dass hier folgende Punkte nicht stimmen können:

  • Nur die wenigsten Kollegen arbeiten in der Personalabteilung: Warum sollte sie also eine Bewerbung erreichen? Das ist eine Frage, die man sich stellen darf.
  • Die Mail wird im Moment von lena.kretschmer@stadtmailer.com verschickt. stadtmailer.com ist eine seltsame Mischung aus Deutsch und Englisch. Zudem ergibt eine kurze Websuche, dass es dazu keine passende Webseite gibt. Auch das ist seltsam.
  • Die ZIP-Datei „Unterlagen_Lena_Kretschmer.zip“ ist lediglich 1,5 KB groß. Dahinter sollen sich Lebenslauf, Anschreiben und eventuell Zeugnisse „verstecken“? Die Dateigröße ist nicht realistisch.

Die genannten Punkte zeigen, wie wichtig es ist, seine Mitarbeiter mit Bezug auf die IT-Sicherheit zu schulen. Denn immer noch gilt – Mitarbeiter und ihr Verhalten sind für Unternehmen ein großes Sicherheitsrisiko. Schult man sie nicht ausreichend und vor allem regelmäßig, schaffen sich Unternehmen unnötige Einfallstore, die nicht sein müssten und die im Zweifelsfall sogar das Geschäftsmodell bedrohen können.

 

Was ist zu tun, wenn ich die Datei geöffnet habe?

Im Worst Case gibt es nicht viel, was sie tun können. Zuerst einmal das Gerät so schnell wie möglich vom Netz nehmen und die unternehmenseigene IT informieren, damit diese die notwendigen Schritte einleiten kann. Dazu gehört, die Daten aus dem hoffentlich vorhandenen Backup wiederherzustellen, die Mitarbeiter zu informieren und @stadtmailer.com auf die E-Mail-Blacklist zu setzen, sodass Nachrichten von diesem Absender nicht mehr angenommen werden. Wenn Sie mit einem guten Managed Security Service Provider zusammenarbeiten, sollte dieser das inzwischen für Sie erledigt haben.

 

Auch, wenn Sie die Datei nicht öffnen und diese sofort gelöscht haben, sollten Sie ihre IT-Abteilung über den Vorgang informieren. Kollegen könnten ebenso betroffen sein und durch eine gezielte Information vom Öffnen der Datei abgehalten werden.

 

Es gibt natürlich auch technische Möglichkeiten, „GermanWiper“ zu begegnen und zu bekämpfen.

 

Verteidigungslinien gegen „GermanWiper“.

  • Mailebene: Durch eine Blacklist können sie verhindern, dass die Mail überhaupt in Unternehmenspostfächer gelangt. Zudem kann Sandboxing helfen. Hier wird die Datei automatisch in einer „virtuellen Umgebung“ geöffnet und auf „gut/böse“ getestet.
  • Endpoint Detection and Respond oder Anti-Exploit Schutz: Diese Technologien führen dazu, dass das Script beim Öffnen nicht ausgeführt wird. Dies geschieht nicht durch eine pattern-basierte Analyse sondern durch eine verhaltensbasierte Analyse des PCs. Sie erkennt, dass der Vorgang „ZIP-Datei à Powershell à Script“ nicht normal und deshalb gefährlich ist.
  • Download-/Webfilter: Dadurch werden http/https-verschlüsselte Verbindungen kontrolliert. Der Download der eigentlichen ausführbaren Malware wird über die Firewall beziehungsweise das Web-Gateway verhindert. Hier ist es ganz wichtig, dass Sie nicht nur die eingehenden Verbindungen, sondern auch die ausgehenden Verbindungen kontrollieren.
  • Antivirus-Software: Letztlich muss diese vierte und letzte Verteidigungslinie greifen, wenn die ZIP-Datei geöffnet wurde. Jede pattern-basierte Antivirus-Software sollte den Angriff nach einem Update der Pattern abfangen können. Noch besseren Schutz bietet beispielsweise, die KI-gestützte Erkennung von Blackberry Cylance, die nicht nur bereits bekannte Gefahren erkennt, sondern auch noch nicht bekannte Angriffe abwehren kann. Cylance erkennt schon seit langem, ohne vorheriges Update und ohne eine Online-Verbindung, dass die auszuführende Datei Malware enthält.

Durch die Kombination der Maßnahmen, lässt sich ein Unternehmen effektiv vor Malware schützen. Nicht nur gegen GermanWiper, sondern auch vor vielen weiteren Cyberangriffen.

cristoph-barreith.png
Christoph Barreith
Presales Consultant