Offizielle News zu Cyberangriff 2022
Kafka Kommunikation GmbH & Co KG
München (ots) - Ein Jahr Lockdown - beruflich und privat hat uns die globale Pandemie alles abverlangt. Und die Krise hat insbesondere Unternehmensverantwortliche und Mitarbeiter vor neue Herausforderungen gestellt, die es bis zum heutigen Tag zu bewältigen gilt. Wer wüsste besser, wie man solche Ausnahmesituationen erfolgreich bewältigen kann, als die ...
mehr
Antivirus & Firewall: Die 7 gefährlichsten Cyber-Angriffe
Die meisten Angriffe funktionieren über Schadcode. Bei den besonders fortgeschrittenen Attacken kann sich der Code automatisch in Ihren Geräten einnisten. Bei vielen anderen Angriffen wird das Opfer dazu verleitet, den Schadcode selbst zu starten, beispielsweise weil es ihn mit einem Update für Windows verwechselt. Beide Methoden sind sehr gefährlich, wenn Sie Ihre Systeme nicht entsprechend geschützt haben.
Zum Glück lassen sich die allermeisten Angriffe mit ein paar grundsätzlichen Schutzvorkehrungen zuverlässig abwehren. Unabdingbar ist, dass Sie stets alle verfügbaren Updates für Ihr System installieren. Das betrifft Windows über das Windows-Update wie auch jede Anwendersoftware, etwa über Secunia PSI. Eine gute Antivirensoftware blockiert zudem einen Großteil der schädlichen Dateien. Welche weiteren Schutzmaßnahmen wichtig sind, verraten wir bei der jeweiligen Bedrohung.
1. Vertraute Feinde: Tastaturtreiber mit Spionagefunktion
Darum geht's: Hinter diesem Angriff steht zunächst keine feindliche Absicht, sondern ein besonders dummer Programmierfehler. Ein Tastaturtreiber zeichnet alle Eingaben auf. Soweit ist das sein Job, schließlich muss er mitbekommen, wenn etwa eine der Sondertasten gedrückt wird. Doch dieser fehlerhafte Treiber speichert alle Eingaben in eine unverschlüsselte Datei. Darin landen somit auch alle Log-in-Daten inklusive der Passwörter - so geschehen bei zahlreichen Notebook-Modellen von Hewlett-Packard .
Ein Virus, der auf das System gelangt, kommt dadurch ganz leicht an viele wichtige Log-ins. Zwar könnte der Schädling auch selber einen Key-Logger installieren, doch macht ihn das verdächtig und die Wahrscheinlichkeit steigt, dass er von einem Antivirenprogramm entdeckt wird. Das Auslesen einer Textdatei ist dagegen vollkommen unauffällig.
Gefahrenstufe: Die Sicherheitslücke, die fehlerhafte Treiber verursachen, ist grundsätzlich sehr groß, weil Treiber nahe am System arbeiten und Schadcode somit häufig Zugriff mit Systemrechten verschaffen. Allerdings kommen viele Treiber nur auf bestimmten Modellen zum Einsatz. Die vergleichsweise geringe Verbreitung macht sie für Kriminelle weniger interessant. Behalten darf man solche fehlerhaften Treiber aber auf keinen Fall.
Schutz: Besitzer von HP-Notebooks holen sich über einen aktualisierten Tastaturtreiber.
Grundsätzlich sollte man regelmäßig nach Updates für alle installierten Treiber suchen. Das geht entweder manuell über den Geräte-Manager (klicken Sie dazu auf das Windows-Symbol und tippen Sie Geräte-Manager ein). Einfacher geht es mit einem Update-Manager für Treiber, wie etwa dem Tool Driver Booster 3 for Steam. Einen ausführlichen Ratgeber zu neuen Treibern finden Sie hier .
2. Klassischer Erpresservirus: Dateiverschlüsseler
Darum geht's: Bereits seit Jahren richten Erpresserviren gewaltigen Schaden an. Sie befallen einen Rechner, verschlüsseln die Daten des Anwenders und fordern dann für deren Freigabe ein Lösegeld. Das muss meistens in der digitalen Währung Bitcoin bezahlt werden, da der Empfänger sich so kaum aufspüren lässt. Die Höhe des Lösegeldes beläuft sich heutzutage meist auf 300 bis 600 Euro. Und das pro befallenem System.
Wer ein Heimnetzwerk mit drei oder vier Rechnern betreibt, der muss also tief in die Tasche greifen. Zuletzt machte etwa besonders der Erpresservirus Wannacry von sich reden, weil er sich über eine Windows-Sicherheitslücke ungehindert in einem Netzwerk ausbreiten konnte.
Beispiel: Ein weiteres Beispiel für einen typischen Erpresservirus ist der Schädling Fantom. Dieser tarnt sich als Windows Update, um Anwender hereinzulegen. Entdeckt wurde die Malware vom AVG -Sicherheitsexperten Jakub Kroustek.
Fantom wurde von Unbekannten mithilfe des Open-Source-Erpresserviren-Baukastens namens EDA2 zusammengebastelt. Solche Baukästen sind in Untergrundforen und im Darkweb kostenlos erhältlich. Diese erzeugen Erpresserviren, ohne dass man dafür Programmierkenntnisse benötigt. Entsprechend viele Schädlinge kursieren mittlerweile im Internet. Im Fall von Fantom erzeugt der Baukasten eine Datei mit dem Namen
Um den Opfern eine offizielle Herkunft seitens Microsoft vorzugaukeln, finden sich in den Dateieigenschaften die Hinweise "Copyright Microsoft 2016" unter "Copyright", und in der Dateibeschreibung ist von "critical update", also kritischem Update die Rede.
Einmal gestartet, erscheint ein Windows-Update-typischer Bildschirm inklusive einer Fortschrittsanzeige wie bei Windows 10, der beim Benutzer den Eindruck erweckt, es werde nun ein Update installiert. In Wirklichkeit werden im Hintergrund aber die Dateien des Nutzers verschlüsselt. Dafür verantwortlich ist ein Prozess namens Die Verschlüsselung erfolgt dann per AES-128-Schlüssel, der anschließend selbst über einen dualen RSA-Schlüssel verschlüsselt wird.
Der private Schlüssel wird an einen Server der Erpresser übertragen, während der öffentliche Schlüssel auf dem angegriffenen Rechner verbleibt. Zum Schluss wird eine HTML-Datei generiert, die im Browser geöffnet wird. Über diese HTML-Seite wird der Anwender in holprigem Englisch darüber informiert, dass er Opfer einer Ransomware-Attacke geworden ist. Im Anschluss daran wird ein "ID-Key" eingeblendet. Der Benutzer soll als Nächstes eine E-Mail an eine von zwei angegebenen Mailadressen unter Angabe seiner "ID-Key"-Nummer schicken und bekommt danach zusätzliche Instruktionen darüber, wie er nach Entrichtung eines Lösegelds schließlich wieder an seine Daten gelangt.
Des Weiteren wird der Bildschirmhintergrund des Desktops durch einen Bildschirmhintergrund der Fantom-Macher ersetzt. In diesem Wallpaper werden die Benutzer mit "All Files Encripted!!!" (sic!) erneut über den Angriff informiert. In dem Wallpaper befindet sich noch einmal die Mailadresse, über die das Opfer in Kontakt mit den Erpressern treten soll.
Gefahrenstufe: Sehr hoch! Zwar ist die Zahl der Erpresserviren gegenüber der Anzahl aller Viren pro Jahr gering, doch richten sie sowohl bei Privatanwendern als auch in Unternehmen und öffentlichen Einrichtungen wie Krankenhäusern gewaltigen Schaden an.
Notfall: In der Regel bleibt Ihr Rechner zunächst mal einsatzbereit, schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen können. Viele Experten raten jedoch davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob Sie einen Schlüssel zum Entschlüsseln Ihrer Daten erhalten. Darüber hinaus ermutigt dies die Kriminellen, weiterhin PC-Nutzer anzugreifen. Andere Experten raten dagegen zur Zahlung, da man eine Chance hat, seine Daten wiederzubekommen.
Wenn Sie keine Sicherung Ihrer Daten haben und nicht zahlen wollen, somit einen Schlüssel für die entführten Daten brauchen, sollten Sie auf nachsehen, ob es für Ihre Daten ein kostenloses Entschlüsselungstool gibt. Die Site wird von den Behörden sowie den Antivirenherstellern Kaspersky und McAfee betrieben. Die Seite ist deutschsprachig und zudem leicht zu bedienen. Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen.
Die Site prüft daraufhin, ob es ein Entschlüsselungsprogramm für Ihre Daten gibt. Sollte das nicht der Fall sein, dann lohnt es sich, die Daten aufzubewahren und ein paar Wochen oder Monate später den Test auf der Site zu wiederholen. Oft dauert es eine Weile, bis die Experten an den Universalschlüssel eines Erpresservirus herankommen und ein Tool zur Entschlüsselung programmieren können.
Auf jeden Fall müssen Sie den Erpresservirus noch vom System beseitigen. Andernfalls kann er weiteren Schaden anrichten, etwa Ihre Passwörter stehlen. Das Löschen des Virus erledigt entweder eine Antivirensoftware oder Sie installieren Windows neu.
Schutz: Neben einer guten Antivirensoftware hilft ein gutes Backup von System und Daten. Ist dieses aktuell, können Sie auf den Erpresservirus und die verschlüsselten Daten getrost pfeifen. Sie spielen einfach Ihr Backup zurück.
Backup-Strategien: Es gibt unzählige Backup-Tools und zahlreiche Backup-Strategien. Das beste Backup ist jedoch das, das man hat, auch wenn es nicht ganz perfekt ist. Darum sollten Sie jetzt sofort eines anlegen. Nutzen Sie zum Beispiel eine externe Festplatte, schließen Sie sie an den PC an und kopieren Sie ganz einfach alle Daten aus dem Ordner "Eigene Dateien" beziehungsweise aus "C:BenutzerIhr Benutzername" beziehungsweise aus dem Ordner, in dem Sie Ihre Anwenderdateien speichern.
Ist das geschehen, haben Sie zwar noch nicht alles gesichert, aber vermutlich schon mal das Wichtigste. Ziehen Sie sodann die externe Festplatte vom PC wieder ab. Denn bleibt sie angeschlossen, könnte ein künftiger Erpresservirus auch die Dateien der Sicherung entführen. Dann können Sie sich in Ruhe um eine ausgefeilte, komplette Datensicherung kümmern. Einen ausführlichen Ratgeber dazu finden Sie hier . Einen ausführlichen Ratgeber zu verbreiteten Erpresserviren finden Sie hier .
Zahlreiche Cyberangriffe auf die Ukraine
Seit Donnerstag greifen russische Truppen die Ukraine an. Schon in den Tagen zuvor - unter anderem auf der Münchner Cyber-Sicherheitskonferenz - hatten IT-Sicherheitsexperten vermutet, dass es zusätzlich zu Angriffen im Cyberspace kommen könnte.
Und genau das scheint nun eingetreten zu sein - auch wenn nicht klar ist, wer hinter den Cyberattacken steckt.
Mehrere Regierungswebsites der Ukraine lahmgelegt
Am Donnerstagmorgen berichtete der ukrainische Minister für digitale Transformation Mychailo Fedorow auf Telegram, dass "Angriffe auf alle grundlegenden Informationsquellen stattgefunden haben und ununterbrochen stattfinden". Man habe jedoch den "Cyberspace verteidigt", jetzt sei "alles stabil". Fedorow machte keine Angaben zur Herkunft der Angriffe.
Am Mittwoch hatte Fedorow in Kiew gesagt, die Ukraine sei erneut zum Ziel eines "massiven" Cyberangriffs geworden. Betroffen von der Attacke seien Websites der Regierung und mehrerer Banken, sagte Fedorow, der auch Vize-Regierungschef ist. So ließen sich am Nachmittag unter anderem die Homepages des ukrainischen Kabinetts und des Außenministeriums nicht öffnen. Auslöser seien sogenannte Denial-of-Service-Angriffe, bei denen Server gezielt mit Anfragen überschwemmt und so teilweise zum Absturz gebracht werden.
Der ukrainische Parlamentspräsident Ruslan Stefantschuk berichtete am Mittwoch auf seinem Facebook-Account von einem mutmaßlichen Cyberangriff auf seine Familie. Hacker hätten versucht, die Konten seiner Familie und ihre Bankkarten zu sperren.
Malware auf hunderten Rechnern entdeckt
Am Mittwochabend berichtete das US-amerikanische Sicherheitsunternehmen ESET auf Twitter, dass es auf hunderten ukrainischen Rechnern eine Malware namens "HermeticWiper" gefunden habe, mit der Daten beschädigt oder gelöscht werden können.
Die Malware trage einen Zeitstempel vom 28. Dezember 2021, was laut ESET ein Hinweis darauf ist, dass die Attacke seit längerer Zeit vorbereitet worden sei. Laut ESET wurde "HermeticWiper" offenbar mit einem Zertifikat digital signiert, das auf ein zyprisches Unternehmen namens Hermetica Digital Ltd. ausgestellt wurde.
In keinem dieser Fällen werden explizit russische Akteure beschuldigt, für diese Cyberangriffe verantwortlich zu sein - auch wenn dieser Verdacht vermutlich mitschwingt.
Litauen: Cyber-Maßnahmen gehören zum russischen Instrumentarium
Konkreter wird das litauische Verteidigungsministerium: "Wir sehen, dass Cyber-Maßnahmen ein wichtiger Teil des russischen hybriden Instrumentariums sind", schrieb das Ministerium auf Twitter. Mit hybrider Taktik ist gemeint, dass in modernen Konflikten "Angreifer auf eine Kombination aus klassischen Militäreinsätzen, wirtschaftlichem Druck, Computerangriffen bis hin zu Propaganda in den Medien und sozialen Netzwerken setzen", wie das Bundesverteidigungsministerium auf seiner Website schreibt.
EU unterstützt Ukraine mit Cybersicherheits-Experten
Die Europäische Union wird auf Ersuchen der Ukraine ein Team von Cybersicherheits-Experten aktivieren, um das Land bei der Abwehr von Cyberangriffen zu unterstützen, hieß es in dem Tweet weiter. Litauen koordiniert das Cyber Rapid Response Team (CRRT) der EU, das aus etwa 10 nationalen Cyber-Sicherheitsbeamten aus Litauen, Kroatien, Estland, den Niederlanden, Polen und Rumänien. Es wird der erste Einsatz für das Team sein, das im Rahmen der EU-Verteidigungskooperationsprogramm PESCO geschaffen wurde.
