Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[gatasa]

Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.

 

[think_pad]

Au weia! Die "Neue Mitte" hat die digitale Revolution verschlafen! Das kostet...

Allein in den vergangenen 24 Stunden hat der Trojaner "Locky" etwa 17.000 Rechner in Deutschland infiziert. Das teilte der britische IT-Experte Kevin Beaumont am Freitagmittag SPIEGEL ONLINE mit. Die Auswirkungen von "Locky" in Deutschland seien enorm, schreibt er in einem Statement.Deutschland ist demnach das mit Abstand am stärksten betroffene Land. In den USA sind in den vergangenen 24 Stunden knapp 11.000 Rechner infiziert worden, danach folgen die Niederlande und Italien mit etwa 5000 neuen Infektionen.

-> http://www.spiegel.de/netzwelt/gadg...deutschland-taeglich-infiziert-a-1078318.html

 

[iYassin]

So, ich hab ihn heute auch das erste Mal gesichtet, wurde gleich an zwei Mailverteiler von einem Verein verschickt, in dem ich mich u.a. um Web- und Mail-Sachen kümmere. Ein Hoch auf den Google Apps-Spamfilter :thumbup:

 

[der_ingo]

Ihr braucht mir Eure Szenarien nicht zu erzählen.
Ich war in genügend Infoveranstaltungen von G-Data, Kaspersky.......
Mit Löcher stopfen ist es irgendwann aber nicht mehr getan, dann sinkt das Schiff.

Ich warte dann immer noch auf deine Alternative.
Dass G-Data und Kaspersky nicht die Lösung sind und keine Lösungen anbieten, ist klar. Aber was genau ist denn nun deine Methode, damit das Schiff nicht sinkt?

 

[StefanW.]

Ich warte dann immer noch auf deine Alternative...................Aber was genau ist denn nun deine Methode, damit das Schiff nicht sinkt?

Die Alternative ist, dass alles was seine Quelle ausserhalb des Unternehmens hat, keinen Zugriff auf die Unternehmensdaten bekommt.
Du brauchst mir jetzt keine Liste mit Mehraufwand, Kosten und Verzögerung in den Abläufen zu machen.

 

[Mornsgrans]

Die Alternative ist, dass alles was seine Quelle ausserhalb des Unternehmens hat, keinen Zugriff auf die Unternehmensdaten bekommt.
Du brauchst mir jetzt keine Liste mit Mehraufwand, Kosten und Verzögerung in den Abläufen zu machen.

Eine derartige Aufstellung braucht man auch nicht, da die Forderung an sich unrealistisch ist. - Nenne z.B. eine sinnvolle Alternative für E-Mail.

 

[StefanW.]

................. Nenne z.B. eine sinnvolle Alternative für E-Mail.

"Die Alternative ist, dass alles was seine Quelle ausserhalb des Unternehmens hat, keinen Zugriff auf die Unternehmensdaten bekommt."
Ich sage nicht, dass Du nicht weiter mailen und Mails empfangen sollst.
Der Inhalt von Mails darf nur keinen Zugriff auf Deine Daten bekommen.

 

[think_pad]

Der Inhalt von Mails darf nur keinen Zugriff auf Deine Daten bekommen.

... und damit hat er nicht unrecht: Niemand würde zulassen, dass in der Firma Briefe eintrudeln, die Grippe- oder sonstige Viren beinhalten. Anschließend soll man noch Lösegeld für das Gegenmittel bezahlen!

Bei Emails ist das aber machbar, da stimmt etwas nicht!

Wenn man jetzt noch "gesund" als Normalzustand ansieht, und "krank" als Virenbefall, muss also ein Zustand wiederhergestellt werden, der vor dem Virenbefall da gewesen ist. Und das heißt nun mal tägliches Backup, oder aber eine separate Maschine, die Emails öffnet, prüft und in einem "nichtbefallenem" Zustand an die eigentlichen Adressaten weitergibt.

Gäbe es eine Versicherung, die die Daten bzw. deren Verlust versichert, würde sie in der Versicherungs-Police auf separater Email-Empfangsmaschine und täglichem Backup bestehen. Würden sich die Versicherungsnehmer an separate Email-Empfangsmaschine und tägliches Backup halten, bräuchten sie keine Versicherung mehr!

 

[supertux]

Der Inhalt von Mails darf nur keinen Zugriff auf Deine Daten bekommen.

Gute Idee, allerdings ohne gängige Filtertechniken (Spamfilter/Virenscanner/Dateiausführungsblocker/...) kaum umzusetzen.
Zudem muss man sich bewusst sein, dass man damit eine kurzfristige Verteilung von Minisoftware per Mail oder Downloadadressen vollständig blockt (was genau betrachtet garnicht mal so schlecht ist )
Letztlich ist es dann trotzdem noch schwierig die Zugriffsschranke entsprechend abzusichern:
Beispiel ->
Vorstandsmitglied bekommt interessant wirkende Email mit Textdatei(die eigentlich eine gut getarnte ausführbare Datei, oder ein Office-Trojaner ist),
pflegt diese in's Firmennetz ein, damit alle Mitarbeiter diese bearbeiten und verwerten können,
Virenscanner greift nicht(oder ist nicht vorhanden),
target hit

Eine allumfassende Lösung (kleine Insellösungen mit besonders gut abgekoppelten Backups mal ausgenommen) wird es mit vertretbarem Aufwand nahezu nirgends geben.

Niemand würde zulassen, dass in der Firma Briefe eintrudeln, die Grippe- oder sonstige Viren beinhalten.

Selbst das lässt sich ohne aufwändige und langwierige Postkontrolle (die sich kaum eine Firma leisten kann), oder entsprechende Sensibilisierung der Mitarbeiter in der Poststelle nicht umsetzen.

 

[think_pad]

Selbst das lässt sich ohne aufwändige und langwierige Postkontrolle (die sich kaum eine Firma leisten kann), oder entsprechende Sensibilisierung der Mitarbeiter in der Poststelle nicht umsetzen.

Ja, aber das ist Fehler im Informationssystem: Niemand würde Briefe oder Pakete öffnen, die nicht direkt an einen adressiert wind. Die Leute öffnen aber Emails, die ihnen irgendwer zuschickt, und wundern sich dann, wenn der Inhalt nicht berauschend ist.
Wer pro Tag ca. 1000 sinnlose Werbebotschaften über sich ergehen lassen muss, die nichts mit einem zu tun haben, der wird dann im 1001. Fall natürlich nicht die Kraft haben, eine Email nicht zu öffnen, die eigentlich nicht für ihn bestimmt ist. Ich will jetzt wirklich nicht den selbstgerechten Sozi heraushängen lassen, aber der Fehler liegt nicht in der Email, die sich von normaler Post nicht unterscheidet, sondern im geforderten Verhalten des kapitalistischen Systems, welches Bürger letztlich zwingt, sich sinnlose Botschaften durchzulesen oder anzusehen.

 

[Pferdle]

Gute Idee, allerdings ohne gängige Filtertechniken (Spamfilter/Virenscanner/Dateiausführungsblocker/...) kaum umzusetzen.

Wenn bei mir privat etwas beim OnlineBanking schief geht, dann bin ich verantwortlich! Da kann ich auch nicht mit der Ausrede von Spamfilter oder versagten Virenscanner kommen.

Du brauchst mir jetzt keine Liste mit Mehraufwand, Kosten und Verzögerung in den Abläufen zu machen.

Genau das ist aber der Ansatz.
Ohne jemanden hier aus der IT- oder Sicherheitsabteilung nahe treten zu wollen, denn die sind im Grunde nicht direkt verantwortlich.
Was früher die Masse an Tippsen im Büro, wird in Zukunft die Masse an ITlern sein.
Es hilft nicht, die Verantwortung an die Mitarbeiter abzuwälzen, wie ATh es schon richtig erkannt:

Da es nicht hilft, die Mitarbeiter zu sensibilisieren, werden wir jetzt aufrüsten und Mails mit Office-Dokument im Anhang in die Quarantäne schicken

Die Mitarbeiter dürfen nur sichere Daten erreichen. Oder soll zB die Krankenschwester erst noch einen IT-Kurs absolvieren? Das ist nicht deren Aufgabe und nicht deren Berufsbild.

Nenne z.B. eine sinnvolle Alternative für E-Mail.

Eine funktionierende, und falls nötig, größere IT-Abteilung?

Klar, das kostet. Zeit und Geld. So lange sich die Firmen nicht zu einer Investition entscheiden, wird sich nichts ändern. Die haben nur Interesse an Gewinnsteigerung, selbst bei sinkenden Absatz.

Selbst das lässt sich ohne aufwändige und langwierige Postkontrolle (die sich kaum eine Firma leisten kann), oder entsprechende Sensibilisierung der Mitarbeiter in der Poststelle nicht umsetzen.

Nicht leisten will. Können schon. Die Wirtschaft hat vor Zeiten von Mail und Internet bestens funktioniert. Und das oft genannte Argument, daß früher alles zu Lasten der Arbeitnehmer war, kann man sich in Zeiten stagnierender Reallöhne und -einkommen sparen. Den meisten geht es heute nicht besser, teils im Gegenteil. Natürlich ausgenommen den Unternehmen.
Noch ein Beispiel für die Ausrede der Sensibilisierung: Es ist nicht die Aufgabe des Mannes an der zu schnell drehenden Zentrifuge

 

[mectst]

"Die Alternative ist, dass alles was seine Quelle ausserhalb des Unternehmens hat, keinen Zugriff auf die Unternehmensdaten bekommt."

Das ist Wunschdenken oder absolute (und praxisferne) Theorie. Zu 100% kann ich die Unternehmensdaten nur abschotten, wenn ich zu 100% getrennte Netze betreibe. Sobald ich auch nur eine einzige digitale Schnittstelle habe, kann ich nicht verhindern, dass diese angreifbar ist.
Die Praxis sieht doch so aus, dass es nun mal Mitarbeiter gibt, die aufgrund ihrer Funktion nach Außen agieren und natürlich auch mit den Unternehmensdaten Arbeiten müssen. Zwangsläufig werden also beide Welten auch an einer Stelle aufeinander treffen und diese Stelle ist nun mal der Mitarbeiter und nicht eine IT-Fachabteilung.

Grüße Thomas

 

[Pferdle]

Zwangsläufig werden also beide Welten auch an einer Stelle aufeinander treffen und diese Stelle ist nun mal der Mitarbeiter und nicht eine IT-Fachabteilung.

Dazu müßte man dann das gesamte Berufsbildungssystem ändern? Eigentlich schon die Schulbildung.
Es gibt genug Berufe, in denen in der Praxis das der Fall ist, aber in der Ausbildung die keinen einzigen PC zu Gesicht bekommen.
Im Umkehrschluß hieße das dann, daß man die IT-Abteilung abschaffen kann, wenn das (fast jeder) Mitarbeiter selbst machen muß.

Die Schnittstelle ist die IT, die dafür sorgt, daß unerwünschtes nicht zum Empfänger gelangt. Man kann nicht alles Maschinen überlassen, sondern hier fehlt der Faktor Mensch. Und hier geht es nicht um versteckte Sachen, sondern um eigentlich vollkommen offensichtliche Dinge (Anhänge an Spam-Mails).
Was passieren kann, wenn man sich auf die Maschine verläßt, sieht man an Air-France-Flug 447. Hier ist allerdings der Pilot mit einen Verdienst von 7000€ und mehr selbst die Schnittstelle und sollte die richtige Entscheidung treffen. Der muß sich auch der entsprechenden Ausbildung und Schulung unterwerfen. Nur von einer Pflegekraft mit 1700€ wird man das nicht verlangen können.

 

[elarei]

Dass Nutzer alles anklicken, was sich ihnen anbietet, sollte eigentlich die Prämisse für die IT-Security jedes Unternehmens sein. Von diesem Punkt aus kann man sich dann überlegen, wie viel Freiheit man dem Nutzer lassen kann und wie stark man seine Mails filtern muss.

Ich persönlich wäre, obwohl ich mich als versierten Benutzer sehe, Locky völlig ausgeliefert gewesen - meine Backupstrategien beschränken sich auf eine zusätzliche, dauerhaft laufende Festplatte mit täglichen Acronis-Backups, Acronis-Backups wesentlicher Ordner in der Dropbox, und ständige Synchronisation zwischen Laptop und Desktop. Damit ist jeder Worstcase, der im Normalbetrieb passiert, abgefangen, selbst wenn die Bude samt beider PCs abbrennt. Aber gegen diese koordinierte Attacke auf allen Kanälen hätte ich auch keine Chance. Ich habe jetzt deshalb angefangen, eine i.d.R. abgestöpselte externe Festplatte einmal täglich dranzuhängen - aber die hat somit auch ein Verwundbarkeitsfenster und einmal täglich dranstecken erfordert auch einige Disziplin.

So etwas wie Locky kann nur die IT-Abteilung abzusichern versuchen, ein normaler Benutzer kann sich eine solch umfangreiche Attacke nicht vorstellen und nicht mit angemessenem Aufwand verhindern. Da kann man ihn schulen, so viel man will - eine scheinbar authentische Mail zu erzeugen ist wirklich der kleinste Aufwand bei der Trojanerverbreitung. (Ich frage mich immer, warum Trojaner nicht einfach vorliegende Mails an dieselben Empfänger nochmal verschicken und einen Anhang dranpacken - das wäre eine quasi buchstäblich authentische Malware-Mail!)

 

[mectst]

Was passieren kann, wenn man sich auf die Maschine verläßt, sieht man an Air-France-Flug 447. Hier ist allerdings der Pilot mit einen Verdienst von 7000€ und mehr selbst die Schnittstelle und sollte die richtige Entscheidung treffen. Der muß sich auch der entsprechenden Ausbildung und Schulung unterwerfen. Nur von einer Pflegekraft mit 1700€ wird man das nicht verlangen können.

Über Gehaltsvergleiche und gerechte Bezahlungen will ich lieber nicht spekulieren. Das bringt das Thema auch nicht voran.
Man muss sich aber im Klaren sein, dass immer ein Restrisiko verbleiben wird, denn auch die best bezahlte und top ausgestattete IT-Abteilung ist vor menschlichem Versagen nicht gefeit.
Rein praktisch kann sich eine IT-Abteilung auch nur auf die einschlägigen elektronischen Helferlein verlassen und regelmäßige Aufklärung und Schulungen* betreiben. Dass eine "Fachkraft IT" jeden Dateneingang - ob nun per Mail, USB-Stick, oder sonst wie - vor Verwendung im Unternehmen prüft, ist erstens albern und zweitens sicher auch rechtlich mindestens bedenklich.

* ... sofern das Unternehmen dies unterstützt. Letztlich gehört ein verantwortungsvoller Umgang mit elektronischen Daten und Medien auch zu einer Unternehmenskultur und es ist daher auch Aufgabe der Unternehmensleitung vorzugeben, wieviel IT-Sicherheit gewünscht ist.

Grüße Thomas

 

[ATh]

Hallo Leute,

also selbst mit nicht aktuellen Mitteln kann man einfach verhindern, dass solche Schädlinge eine Firma außer Gefecht setzen.

Wir hatten zwar befallene PCs, die User aber so niedrige Rechte dass Locky damit nicht an die Daten auf den Servern rankam. Aber zugegeben, der Aufwand ist schon beträchtlich. Und Backups der Server sind Pflicht; Backups der PCs braucht man nicht zwingend, solange man immer mehrere baugleiche Maschinen und ein Image der
Grundinstallationen(en) hat, bekommt man alles wiederhergestellt. (Bin gerade fertig damit.)

Mal sehn, wann die nächste Welle kommt, im Augenblick ist es sehr sehr ruhig.

ATh.

 

[der_ingo]

"Die Alternative ist, dass alles was seine Quelle ausserhalb des Unternehmens hat, keinen Zugriff auf die Unternehmensdaten bekommt."
Ich sage nicht, dass Du nicht weiter mailen und Mails empfangen sollst.
Der Inhalt von Mails darf nur keinen Zugriff auf Deine Daten bekommen.

Das ist ja leider weiterhin einfach so dahin gesagt. Wie soll das in der Praxis aussehen? Soll der Mitarbeiter für Mail einen eigenen PC haben, der nichts anderes kann als Mails senden und empfangen? Und wie soll er dann Dokumente senden und empfangen bzw. empfangene Dokumente weiter verarbeiten? Wie soll ein Austausch zwischen Firmen stattfinden, wenn du E-Mail und im nächsten Schritt ja auch Web-Zugriff verbietest? Das ist in halbwegs modern arbeitenden Firmen heute schlichtweg nicht möglich.

Ich weiß ja nicht, was du so arbeitest. Aber da deine Vorschläge so vollkommen realitätsfern sind, scheinst du den Alltag in einer größeren Firma im Büro oder in der IT nicht wirklich zu kennen. Das ist nicht schlimm, aber es sorgt dann halt für so wunderbar einfach klingende, aber völlig sinnlose Lösungsvorschläge.

- - - Beitrag zusammengeführt - - -

also selbst mit nicht aktuellen Mitteln kann man einfach verhindern, dass solche Schädlinge eine Firma außer Gefecht setzen.
Wir hatten zwar befallene PCs, die User aber so niedrige Rechte dass Locky damit nicht an die Daten auf den Servern rankam.

Das war dann Glück. Irgendwer wird mit den Dokumenten auf den Servern aber arbeiten müssen und derjenige braucht auch Rechte drauf. Also kann derjenige auch Unsinn mit den Daten anstellen - mit Hilfe von Ransomware oder auch ohne.

 

[Helios]

Mittlerweile zähle ich mindestens drei verschiedene, neue Varianten von Locky:

Locky selbst: https://www.youtube.com/watch?v=mo4OjkT51-w

TeslaCrypt 3.0: https://www.youtube.com/watch?v=DqB266X_8XA

Lortok: https://www.youtube.com/watch?v=DJvpNuwpiaQ

Shade: https://www.youtube.com/watch?v=E1qXEa7O2Wo

The Locky Ransomware Encrypts Local Files and Unmapped Network Shares

 

[ATh]

der_ingo: Hast Du falsch wahrscheinlich verstanden, Avira und Co sind auf allen PC und Servern drauf. Kritisch ist immer nur die Zeit zwischen dem Auftreten der neuen Version und Verfügbarkeit der aktuellen Signatur für Avira und Co.

Und seit 2002 - seitdem bin ich Admin - war locky bisher das einzige "Ding" was überhaupt Schaden anrichten konnte.

ATh.

 

[der_ingo]

der_ingo: Hast Du falsch wahrscheinlich verstanden, Avira und Co sind auf allen PC und Servern drauf. Kritisch ist immer nur die Zeit zwischen dem Auftreten der neuen Version und Verfügbarkeit der aktuellen Signatur für Avira und Co.

Vermutlich meinst du einfach was anderes. Wenn ich als Benutzer auf Daten auf dem Server zugreifen kann und Schreibrechte habe, kann ich diese Daten auch verändern. Ich könnte jetzt bösartigerweise irgendwas dort reinschreiben. Daran hindert mich niemand, solange mir wegen meines Jobs eben Schreibrecht auf diese Dateien gewährt wird.

Wird in meinem Benutzerkontext jetzt irgendeine Schadsoftware aktiv, dann kann diese ebenfalls genau so auf die Daten zugreifen. Und da die entsprechenden Dokumente, mit denen die Malware verbreitet wird, ständig angepasst werden, hängt Antivirensoftware schon prinzipbedingt immer hinterher. Im Ernstfall ist dieser Zeitraum halt zu groß. Wir sind bei dem Zeitraum momentan auf etwa 15 bis 20 Minuten runter - und selbst das ist noch zu viel Zeit, denn in 20 Minuten können viele Leute viele Mails bekommen und öffnen.

 

[martina]

Auf meinem Firmen-PC läuft standardmäßig alle 15 Minuten ein Backup.
Ich habe auch schon IT-Umgebungen gesehen, bei denen kein E-Mail Anhang direkt zum PC kommt. Anhänge mit aktiven Komponenten aus Mails, die nicht über einen bekannten gesicherten Weg ankommen, haben dort keine Chance.