Outbreak-Warnung: Cyber-Attacken auf Österreich

10. März, 2016

IKARUS Spam-Filter: Bis zu 200 Outbreaks täglich mit neuester Ransomware

Vor einigen Tagen sorgte „Locky“ mit haarsträubenden Infektionszahlen und prominenten Beispielen wie der Verschlüsselung zweier Krankenhäuser in Deutschland für Schlagzeilen.
Nun scheint auch Österreich stärker ins Visier der Cyber-Erpresser geraten zu sein: Die Mail-Security-Filter von IKARUS zählen derzeit bis zu 200 Outbreaks täglich. Rund 20 dieser Outbreaks erreichen Dimensionen von mehreren Tausend infizierten E-Mails, die größten Angriffswellen prasseln aktuell mit mehr als 20.000 infizierten E-Mails auf Österreich ein. Vergleichbare E-Mail-basierte Attacken in dieser Größenordnung und Häufigkeit liegen schon mehr als zehn Jahre zurück.

Verdächtige Anhänge sind überholt

Die Schadcodes sind längst nicht mehr (nur) in Rechnung.zip-Dateien verpackt, auch Office-Dateien oder PDFs sind anfällig. Die neuesten Generationen der Ransomware kommen ganz ohne Anhänge aus und verwenden direkt in die E-Mail eingebettete JavaScripts, welche viel schwieriger zu erkennen sind und meist nur als „Erstinfektor“ (Dropper) fungieren, um die eigentliche Malware nachzuladen.
Pro neuer Angriffswelle wird außerdem neuer Viren-Code verwendet, was die lokal eingesetzten AntiViren-Systeme in vielen Fällen an ihre Grenzen führt. Am schnellsten reagieren zentral vorgelagerte  Mail-Security-Services, die solche Outbreaks auch generisch erkennen, ohne den neuen Virus vorab überhaupt zu Gesicht bekommen zu haben.

Vorsicht walten lassen und Neugierde zähmen

Sind Computer bzw. Netzwerk erst einmal  verschlüsselt, gibt es kaum Chancen, die Daten zu dechiffrieren: „Cerber“, „Locky“, „Cryptowall“ oder „Tesla Crypt“ verwenden sowohl symmetrische als auch asymmetrische Schlüssel und sind nach anfänglichen Startschwierigkeiten mittlerweile leider so sauber programmiert, dass die von Ihnen verschlüsselten Systeme mit vertretbaren Mitteln nicht mehr entschlüsselt werden können.

Nur aktuelle Backups retten die Daten, das Einspielen bedeutet für größere Firmen und Organisationen allerdings einen nicht zu unterschätzenden Aufwand. Wir empfehlen daher dringend, besonders vorsichtig mit (möglichen) Viren-Mails umzugehen und im Zweifelsfall die Neugierde zu zähmen.

Darüber hinaus raten wir zu folgenden Maßnahmen:

  • Installieren und aktualisieren Sie Antiviren-Software, Spam-Filter, Firewall und IPS so oft wie möglich.
  • Konfigurieren Sie Spam-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen geblockt werden.
  • Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen (direkt im Spam-Filter oder am Mailserver bzw. im E-Mail-Programm).
  • Löschen Sie Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete Nachrichten im Zweifelsfall.
  • Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.
  • Hindern Sie die Verzeichnisse AppData und Startup am Ausführen von unbekannten Executables.
  • Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.
  • Informieren Sie sich und Ihre Mitarbeiter über die aktuellen Gefahren.
  • Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.
Zahlen oder nicht zahlen?

Wenn es dennoch einmal passiert, die Daten bereits verschlüsselt sind und keine Backups vorliegen, stellt sich für viele Betroffene die Frage, wie es nun weitergehen könnte.  Joe Pichlmayr, CEO von IKARUS Security Software: „Würde niemand zahlen, wäre der Erpressungs-Trojaner-Spuk gar nicht erst entstanden – nachdem aber viele bezahlen, um wieder an Ihre Daten zu kommen, werden wir wohl noch länger damit konfrontiert sein. Es liegt im Ermessen des jeweiligen Betroffenen, den Wert seiner Daten versus den Zwang der Erpressungssituation abzuwiegen. Wenn bezahlt wird, stehen die Chancen mittlerweile sehr hoch, die Daten mit einem passenden Schlüssel auch wieder entschlüsseln zu können. Die Angreifer haben längst kapiert, dass eine Zahlung ohne Gegenleistung ihr Geschäftsmodel massiv in Frage stellen würde.“ Ungeachtet dessen empfiehlt Pichlmayr, betroffene Systeme jedenfalls neu aufzusetzen, da sonst nicht gewährleistet ist, dass der einmaligen Zahlung nicht bald regelmäßige folgen könnten.

Sofort-Hilfe im Ernstfall

Sollten Sie bereits infiziert sein, bewahren Sie ruhigen Kopf. Das IKARUS Support-Team steht Ihnen mit Rat und Tat zur Seite, um weitere Schäden zu vermeiden und die Gefahr einzudämmen:

Tel. +43 1 58995-400 | E-Mail: support@ikarus.at

Managed Security Service für E-Mail-Sicherheit und Spam-Schutz: IKARUS mail.security

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download