InfoGuard Cyber Security & Cyber Defence Blog

Ein Geschenk, das Sie nicht mal Ihrem grössten Feind wünschen [Teil 1]

Geschrieben von Michelle Gehri | 04. Dez 2019

Ryuk, Trickbot, Emotet & Co. – alles Namen von Ransomware, die 2019 geprägt sowie Angst und Schrecken verbreitet haben. Auch in der Schweiz waren nicht wenige Unternehmen betroffen, von denen wir einige in diesen dunklen Zeiten begleitet haben. Unsere Cyber Security- und Cyber Defence-Spezialisten wissen daher genau, wie ein solcher Vorfall abläuft. In unserer vierteiligen Advents-Story erzählen wir Ihnen eine etwas andere Weihnachtsgeschichte, basierend auf ihren Erfahrungen. Wir wünschen Ihnen eine gute Unterhaltung!

Stellen Sie sich vor – es ist kurz vor Weihnachten: Sie sind CEO eines erfolgreichen Unternehmens mit mehreren hundert Mitarbeitenden. Es ist Donnerstag, kurz vor Feierabend, und Sie kommen gerade zufrieden aus einem wichtigen Meeting. Drei Tage später stehen Sie an der Klippe zum Ruin und fürchten, alles zu verlieren, was Sie in den letzten Jahren aufgebaut haben. Was das mit Ransomware zu tun hat? Nun, so mancher CEO und Pressesprecher musste sich schon auf solch eine Situation vorbereiten; nämlich das Unternehmen für faktisch «tot» zu erklären.

Das befürchtete auch Peter Fürst, CEO des (natürlich fiktiven) Unternehmens E-Trade AG, das sich auf Online-Handel spezialisiert hat und Ryuk eingehend kennenlernte. Aber alles der Reihe nach…

Dienstag, 3. Dezember

11:30 Uhr: Auf der webbasierten Bewerbungsplattform der E-Trade AG trifft ein neues Bewerbungsdossier für die bereits seit drei Monaten offene Stelle im Verkauf ein. Das Bewerbungsschreiben von Herrn Wismer klingt sehr vielversprechend, sodass Herr Lehner vom HR auch gleich das angehängte Worddokument mit dem Lebenslauf öffnet. Beim Öffnen erscheint eine Warnmeldung betreffend der Aktivierung eines Makros. Herr Lehner hat zwar mal gelesen, dass hier Vorsicht geboten ist. Aber bis jetzt hatte er schliesslich nie Probleme, weshalb er die Warnmeldung kurzum akzeptiert. Wer weiss, vielleicht haben sie nun endlich einen neuen Verkäufer gefunden.

Was Herr Lehner nicht sieht: Mit dem CV von Herrn Wismer ist gleichzeitig der Trojaner «Emotet» ins Unternehmensnetzwerk gelangt und breitet sich nun unbemerkt aus. Emotet zeichnet ausserdem den Mailverkehr auf, um gezielt Spam-Mails zu kreieren – wie eben im oben genannten Fall.

Emotet bleibt aber nicht alleine, sondern lädt die Schadsoftware «Trickbot» nach. Trickbot, eine Art Spion mit Vorliebe für Domain Admin Accounts, klaut primär Login Credentials. Dadurch hat er quasi einen Passepartout-Schlüssel, womit der Zugriff auf alle (!) Daten und Systeme möglich ist. Aber wofür das Ganze?

Mittwoch, 4. Dezember

16:50 Uhr: Es ist kurz vor Feierabend, als Herr Weiss aus der Buchhaltung eine E-Mail eines Lieferanten erhält. Eine der Mitarbeiterinnen weist ihn auf eine Weihnachts-Aktion hin, welche für die E-Trade AG interessant sein könnte. Die Aktion laufe jedoch nur noch bis Mitternacht. Herr Weiss hat die Aktion bereits vor einigen Tagen im Newsletter entdeckt, aber bisher keine Zeit gefunden, sich näher damit zu befassen. Aber wenn er noch profitieren will, dann spätestens jetzt! Schliesslich sind die Produkte des Lieferanten nicht gerade günstig.

Herr Weiss zweifelt natürlich keine Sekunde an der Echtheit der E-Mail. Er hat öfters mit dem Lieferanten zu tun, kennt die Mitarbeiterin gut und die Promo wurde ja sogar schon im Newsletter kommuniziert. Ein Klick auf den Link, und… nichts passiert. Jedenfalls nichts Ungewöhnliches. Die Seite mit der Weihnachts-Aktion erscheint, aber etwas Interessantes scheint nicht dabei zu sein, weshalb Herr Weiss die Seite schliesst und endlich Feierabend macht. Was sich jedoch danach im Hintergrund abspielte und dass die E-Mail gar nicht von seinem Lieferanten, sondern ein Phishing-Mail eines Cyberkriminellen war, bekam er an diesem Abend nicht mehr mit…

Nun kommt auch endlich die Ransomware «Ryuk» ins Spiel – die dritte Komponente neben Emotet und Trickbot und Teil eines hochgefährlichen Malware-Cocktails. Die berüchtigte Verschlüsselungssoftware, die sich nach dem Klick auf die vermeintliche Weihnachts-Aktion installiert hat, macht sich sogleich an die Arbeit. Dabei verschlüsselt Ryuk nicht nur alle (!) Daten, sondern verändert auch Systemkonfigurationen – denn dank Trickbot hat der Angreifer auch die Möglichkeit, auf sämtliche Systeme und Backups zuzugreifen.

Donnerstag, 5. Dezember

19:55 Uhr: Frau Ritter aus der Administration ist noch immer im Büro. Momentan könnte sie wohl rund um die Uhr arbeiten, da das Weihnachtsgeschäft in vollem Gange ist. Aber irgendwann muss auch Schluss sein denkt sie, und will den Computer gerade herunterfahren. Da merkt sie, dass irgendetwas nicht in Ordnung ist. Plötzlich hat sie keinen Zugriff mehr auf das ERP, und auch ein anderes Programm meldet einen Fehler, den sie noch nie gesehen hat. Komisch: Zickereien mit der IT sind nicht selten, aber das hat auch sie noch nie erlebt. Sie beschliesst, den Vorfall der IT-Abteilung zu melden und dann Feierabend zu machen. Morgen früh laufe sicher wieder alles wie gewohnt – so, wie es eben meistens der Fall ist.

21:15 Uhr: Auch die Security-Tools, die permanent im Hintergrund laufen, haben ungewöhnliche Aktivitäten registriert. Ein Mitarbeiter der IT erhält deshalb eine Push-Mitteilung auf sein Handy mit dem Hinweis, dass die E-Trade AG angegriffen wurde. Aber kein Grund zur Panik, weiss der Mitarbeiter: Die Lösung hat alles im Griff. Der Angreifer wird jeweils isoliert und in eine Sandbox gesteckt, wo er sich «austoben» kann, ohne Schaden anzurichten – ein erprobtes und weit verbreitetes Standardvorgehen. Es reicht völlig, wenn er sich morgen früh um den Angreifer kümmert, denkt sich der Mitarbeiter. Womöglich ist es ja nur ein «False Positive».

Phishing? Das nächste Opfer könnten Sie sein!

Phishing hat nicht nur in der Weihnachtszeit Hochkonjunktur. Daher liegt der erste Schritt zu einer effektiven Cyber Security bei der Sensibilisierung der Mitarbeitenden (Stichwort «Security Awareness»). Klar wussten auch die Mitarbeitenden der E-Trade AG, was eine Phishing-Mail ist und worauf man grundsätzlich achten sollte. Das Problem: Heutzutage wird es immer schwieriger, Phishing-Mails zu erkennen. Wie im Fall der E-Trade AG wurden beispielsweise mittels Spear Phishing gezielt persönliche Informationen verwendet, die ein Angreifer scheinbar gar nicht wissen konnte. Da Emotet in Kombination mit Trickbot aber sämtliche Daten, inkl. Mails, durchforsten konnte, wusste er genau Bescheid über die Lieferantenbeziehung sowie die Weihnachts-Aktion. Erschreckend, oder?

Allerdings hätte Herr Weiss noch auf andere Indizien schauen können. Wie sieht die URL des angezeigten Links aus (sichtbar bei Mouseover)? Stimmt die Absender-Domain mit der «echten» überein? Gibt es irgendwelche Schreibfehler? Unsere Cyber Security-Experten haben dazu extra ein Phishing-Poster für Sie erstellt. Darin finden Sie eine Vielzahl von Tipps & Tricks, die Sie und Ihre Mitarbeitenden bestimmt noch nicht kannten. Jetzt kostenlos downloaden!



Und wenn Sie wissen wollen, wie unsere Advents-Story weitergeht und welchen Herausforderungen die E-Trade AG noch begegnen wird, dann verpassen Sie auf keinen Fall den zweiten Teil. Nächsten Donnerstag, 12. Dezember, geht’s weiter!