Firma komplett lahmgelegt
Vergangene Woche hat ein Hackerangriff den Haustechnikkonzern Meier Tobler weitgehend blockiert. Das zentrale Warenbewirtschaftungssystem, das Lagerleitsystem, die Festnetztelefonie, die Website sowie alle E-Mail-Konten sind durch den Angriff lahmgelegt worden. Inzwischen läuft der Betrieb wieder an.
Meier Tobler war offenbar kein Einzelfall. Wie die Melde- und Analysestelle Informationssicherung des Bundes (Melani) am Dienstag mitteilte, waren in den vergangenen Wochen namhafte Firmen von Angriffen betroffen. Namen nennt die Meldestelle nicht. Gemäss einem Bericht des «Tages-Anzeigers» ist auch das Softwareunternehmen Crealogix von Hackern angegriffen worden.
Neue Art von Angriffen
Die Firmen seien Ziel einer neuen Art von Angriffen geworden, teilte die Meldestelle Melani mit. Noch unbekannte Hacker hätten die Unternehmensnetzwerke erfolgreich infiltriert und deren Daten mittels Verschlüsselungs-Trojanern großflächig unkenntlich und für die Firmen unbrauchbar gemacht.
Bis anhin sind laut der Meldestelle Melani folgende Angriffsszenarien bekannt:
- Angreifer senden gezielt schädliche E-Mails an Unternehmen, um diese mit Ransomware zu infizieren. Die Mails enthalten in der Regel einen Link auf eine bösartige Website oder einen schädlichen Dateianhang.
- In einschlägigen Internetforen werden Zugänge zu infizierten Firmencomputern zum Verkauf angeboten. Sie sind in der Regel mit den Schadsoftware-Varianten «Emotet», «TrickBot» oder vereinzelt auch «Qbot» infiziert. Kriminelle Gruppierungen kaufen sodann die Zugänge zu den infizierten Computern, um das Netzwerk des Opfers großflächig zu infiltrieren.
- Oft scannen die Angreifer das Internet nach offenen VPN- und Terminal-Servern ab und versuchen so, Zugriff zu erhalten.
Bei allen genannten Vorgehensweisen hätten die Angreifer weitere Angriffswerkzeuge wie zum Beispiel Malware vom Typus «Cobalt Strike» oder «Metasploit» verwendet, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Sei der Zugang gelungen, werde eine Ransomware (wie beispielsweise «Ryuk», «LockerGoga» oder «MegaCortex») auf den Systemen platziert, um damit die Daten vollständig zu verschlüsseln.
Kein Lösegeld zahlen
Durch die Verschlüsselung wird die normale Geschäftstätigkeit der betroffenen Unternehmen massiv erschwert oder verunmöglicht. Meist versuchen die Hacker, die Unternehmen zu erpressen. Generell raten die Bundesexperten davon ab, Lösegeld zu bezahlen, da damit die Kriminellen unterstützt würden. Außerdem könnten die Hacker durch diese Gelder ihre Infrastruktur ausbauen, um weitere Opfer zu erpressen. Zudem gebe es keine Garantie, die Schlüssel für die Entschlüsselung zu bekommen.
Die Bundesexperten raten den Firmen, regelmäßig Sicherungskopien (Back-ups) der Daten zum Beispiel auf einer externen Festplatte zu erstellen. Anschließend solle das Back-up-Medium vom Computer bzw. Netzwerk physisch getrennt werden. Bei Cloud-basierten Back-up-Lösungen sollten die Firmen sicherstellen, dass der Provider analog zum klassischen Back-up mindestens über zwei Generationen verfügt und dass eine Ransomware nicht auf die Systeme zugreifen kann. Für kritische Operationen müsse eine Zwei-Faktor-Authentifizierung verlangt werden.
Weiterführende Links:
nzz.ch: Hacker attackieren mehrere Schweizer Firmen mit Verschlüsselungs-Trojanern
