USA und Kanada warnen vor Ransomware

Die Ausbreitung von erpresserischen Verschlüsselungsprogrammen gibt vielen verschiedenen Mitgliedern der Internetcommunity Anlass zur Sorge, daher haben die Behörden der USA und Kanadas in einem bisher beispiellosen Schritt jetzt eine gemeinsame Warnschrift über diese Bedrohung veröffentlicht.

Coautoren dieser Warnung, die letzte Woche veröffentlicht wurde, sind das US-CERT und das entsprechende kanadische Zentrum, CCIRC. Dieser Alarm wurde aus aktuellem Anlass ausgegeben, und zwar nach einer Reihe von Aufsehen erregenden Veröffentlichungen über derartige Infektionen in den Netzen von medizinischen Einrichtungen.

In der Schrift enthalten sind eine Beschreibung der Bedrohung und der potentiellen Folgen sowie Empfehlungen zur Vermeidung einer Infektion für individuelle Nutzer und Organisationen. „Die Autoren von Erpressersoftware versuchen, ihren Opfern einen Schrecken einzujagen, sie in Panik zu versetzen und dazu zu bringen, auf einen Link zu klicken oder das Lösegeld zu bezahlen“, heißt es in der gemeinsamen Warnmitteilung. „Hinzu kommt, dass die Anwendersysteme auch mit anderen Schädlingen infiziert werden könnten.“

Im Gegensatz zum FBI, das dazu geraten hat, die Erpresser zu bezahlen, sind beide CERT davon überzeugt, dass das nicht die beste Lösung ist. „Die Zahlung des Lösegeldes ist keine Garantie dafür, dass man seine verschlüsselten Daten auch wirklich zurückbekommt, garantiert ist lediglich, dass die Cyberkriminellen das Geld des Opfers erhalten, und in manchen Fällen sogar ihre Bankdaten“, schreiben die Experten. „Zudem ist nicht gesagt, dass mit der Dechiffrierung der Dateien auch der Schädling selbst aus dem System gelöscht wird.“

Kürzlich erfolgte Ransomware-Attacken legten die Arbeit von großen Providern medizinischer Dienstleister lahm, darunter auch einige Kliniken des Netzes MedStar Health im District of Columbia und das Presbyterianische Gesundheitszentrum Hollywood. Die Vorfälle betrafen dabei nicht nur die Daten auf Computern, die mit dem allgemeinen Netzwerk verbunden waren, sondern auch die Krankenversorgung, wie im Fall der Klinik in Hollywood, als Kranke und Verletzte in andere Einrichtungen überwiesen werden mussten.

Beide CERT warnen vor möglichen Folgen, wie finanziellen Verlusten, der Untergrabung des guten Rufes und der unumkehrbaren Beschädigung von Dateien. Unternehmen sind aufgefordert, vernünftige Maßnahmen der Computerhygiene zu ergreifen, angefangen mit der Einführung von Regeln zur zuverlässigen Erstellung von Backups kritisch wichtiger Informationen. Die Experten raten zudem dazu, Weiße Listen für Apps zu verwenden und Patches immer rechtzeitig zu installieren; Organisationen sollten ihre Nutzer auch insbesondere darauf aufmerksam machen, dass sie die Aktivierung von Makros in Office nach Möglichkeit vermeiden. Einige aktuelle Verschlüsselungsschädlinge, wie z.B. Locky, verbreiten sich mit Hilfe von Word-Dokumenten, die an Spam-Mails angehängt werden. Beim Öffnen dieses Anhangs wird der Nutzer aufgefordert, Makros zu aktivieren, angeblich, um den Text korrekt darstellen zu können. Tatsächlich aber dient es nur dazu, den Verschlüsseler hochzuladen.

Die Geschwindigkeit, mit der sich diese Schädlinge weiterentwickeln, ist erstaunlich. So erschienen innerhalb von nur zwei Wochen gleich zwei Ransomware-Neulinge auf der Bildfläche: das dateilose Schadprogramm PowerWare, das via Makros übertragen wird, und der Schädling Petya, der den Zugriff auf das Dateisystem blockiert. Wie eine Analyse gezeigt hat, überschreibt Petya den MBR der Bootdiskette, provoziert einen Neustart von Windows und zeigt dem Opfer eine gefälschte Überprüfung der Festplatte an, während er selbst in dieser Zeit die Master File Table verschlüsselt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.