You have been hacked!

Haben Sie sich auch schon gefragt, wie sicher Ihre Daten auf dem eigenen Computer sind? Oder wie es Hacker überhaupt schaffen an Daten zu gelangen? Und was diese mit Daten anrichten?

Eigentlich ganz einfach, wie das Beispiel von der Stadt Baltimore (USA) zeigt. Denn seit Anfang Mai 2019 kämpft die Stadt mit einem lähmenden Ransomware-Angriff. Vermutlich ist ein Hacker über eine Phishing-E-Mail in die Systeme der Stadt gelangt. Einmal eingedrungen, verschlüsselte er die Daten von Baltimore, sodass diese nicht mehr zu benutzen waren. Unglücklicherweise gibt es nur von wenigen Daten ein Backup. Optimal für den Hacker oder das Hackerkollektiv, die von der Stadt ein Lösegeld für die Herausgabe des Schlüssels bzw. das Entschlüsseln wollen. Die Stadt weigert sich bisher standhaft gegen die Erpressung. Der mittlerweile angerichtete Schaden durch die blockierten Daten ist jedoch enorm.

Laut Medienberichten, wie zum Beispiel der New York Times, wurde der Angriff durch eine Malware mit dem Namen RobbinHood, gepaart mit EternalBlue durchgeführt. EternalBlue ist ein leistungsstarkes, sich selbst ausbreitendes Hacking-Tool, welches auf (inzwischen veraltete) Microsoft Windows Software zuzugreift. Der Code hinter EternalBlue wurde im Jahr 2017 bekannt, und durch nationalstaatliche Akteure als Waffe benutzt, um Cyberangriffe zu starten – darunter die Varianten WannaCry und NotPetya. Der Gesamtschaden weltweit beträgt etliche Milliarden Franken für Unternehmen, Regierungen und Bürger.

Sollte EternalBlue wirklich der Schlüssel zum Angriff auf Baltimore gewesen sein, legt dies den Verdacht nahe, dass jahrelang versäumt wurde, die Computersysteme zu aktualisieren und mit den verfügbaren Sicherheitsupdates zu versehen, um sich gegen bekannte und kritische Schwachstellen zu schützen. Microsoft veröffentlichte bereits Anfang 2017 ein Sicherheitsupdate. Der sogenannte Exploit (Code zum Ausnutzen einer Schwachstelle) funktioniert nämlich nur auf Maschinen, welche mit seit zwei Jahren veralteter Windows Software betrieben werden. Die harte Wahrheit: Es bestand genug Zeit sich auf die Angriffe der letzten Zeit vorzubereiten. Stattdessen wurde die IT vernachlässigt und «verstaubte».

EternalBlue ist längst nicht die einzige Bedrohung. Eine der aktuell populärsten Bedrohungen für Unternehmen ist die Schadsoftware Emotet (möglicherweise benannt nach einem ägyptischen Baumeister der Antike, Imhotep, altägyptisch für „der in Frieden kommt“). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet seit einiger Zeit vor allem für den Versand von Spam-E-Mails, sowie für das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten mittels Social-Engineerings den Empfänger zum Öffnen des Word-Dokuments, sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.

Emotet hat sich auch den Ruf erworben, eine der am schwersten zu behebenden Infektionen zu sein, sobald es in das Netzwerk eines Unternehmens eingedrungen ist. Seine wurmartigen Eigenschaften, seine modulare, polymorphe Form und die Fähigkeit, mehrere, sich ändernde Payloads abzusetzen führen zu einer sich schnell ausbreitenden, netzwerkweiten Infektion, die schwer zu bekämpfen ist.

Emotet begann 2014 als Online-Banking-Trojaner, der sensible Finanzinformationen auf infizierten Systemen suchte. Im Laufe der Zeit entwickelten sich Emotet und das angewendete Geschäftsmodell zur Monetarisierung weiter. Die Bedrohung, welche ursprünglich auf bestimmte Ziele ausgerichtet war, wurde zu einem sogenannten Botnet, welches mehrere Malware-Nutzlasten an Unternehmen und Organisationen verschiedenster Branchen, sowie an Regierungen bis hin zu Schulen verteilte.

Die moderneren Versionen begannen, neuere und anspruchsvollere Nutzlasten (Payloads) zu implementieren, die Ransomware d.h. Verschlüsselungstrojaner enthielten, personenbezogene Daten stahlen, andere Benutzer mit Phishing-E-Mails überhäuften und sogar Kryptowährungs-Wallets ausräumten.

Ein beträchtlicher Teil von Emotet-E-Mails wird durch das eigene Spam-Modul der Malware erzeugt, das bösartige E-Mails an die Kontakte sendet, die es auf einem infizierten System findet. Dadurch erscheinen die E-Mails so, als ob sie von einem bekannten Absender stammen. Empfänger von E-Mails öffnen eher den Anhang eher, wenn er von einem Bekannten zu stammen scheint und werden so zum nächsten Opfer einer klassische Social-Engineering-Taktik.

Die Popularität von Ransomware als finanziell motivierter Cyberangriff ist in den letzten Jahren deutlich gestiegen und wird durch die Entwicklung von Kryptowährungen wie z.B. Bitcoin weiter gestärkt. Angreifer nutzen nämlich die von Kryptowährungen gebotene Anonymität, die einen weitaus besseren Schutz der Identität eines Zahlungsempfängers bietet als konventionelle Zahlungswege im Internet.

Zwar sind alle Transaktionen und Kontostände quasi öffentlich in der Blockchain einsehbar, aber die Zuordnung zu einer realen Person ist damit noch nicht gegeben. Um Kryptowährungen zu handeln wird nur der sogenannte „öffentliche Schlüssel“ des Empfängers benötigt. Dieser ist Teil eines Verschlüsselungsprozesses zwischen dem Sender und dem Empfänger, der von aussen nur mit grossem Aufwand abzuhören ist. Zwar kann über den Schlüssel und mit langfristigen Ermittlungen festgestellt werden, zu wem der Schlüssel gehört, aber es ist genauso möglich, ständig neue Schlüssel zu verwenden und seine Identität weiterhin zu verschleiern.

Idealerweise kommt man gar nicht erst mit infizierten Dokumenten und Dateien in Kontakt. Leider kann dies nicht immer verhindert werden. ;-). Kennen Sie Ihre Sicherheitslücken? Wie schützen Sie sich? Geteilte Erfahrungen sind ein exzellenter Schutz.