Aktuelle Sicherheitshinweise zur Bedrohung durch Chimera Ransomware

In: Allgemein / Software | Kommentare 1

Die erpresserischen Angriffe mit Schadprogrammen nehmen derzeit verstärkt zu. Zahlreiche unserer Partner berichten von betroffenen Systemen bei ihren Endkunden, die sich in vielen Fällen nicht mehr retten lassen. Wie sollten Sie als IT-Dienstleister mit dieser Situation umgehen?

Sicherheitshinweise Chimera Ransomware

Ransomware ist kein neues Phänomen in der IT-Welt, schon seit über 20 Jahren versuchen kriminelle Hacker mit der Unbrauchbarmachung von PCs Lösegeldsummen von den Nutzern zu erpressen. Die jüngsten Attacken haben allerdings eine neue Qualität in puncto Aggressivität und Heimtücke erreicht, die gerade im Unternehmensbereich drastische Auswirkungen haben können, sofern im Vorfeld seitens der IT-Sicherheit keine geeigneten Maßnahmen getroffen wurden…

Lösegeldforderungen durch die Hintertür

Aktuell melden viele unserer Partner Angriffe durch die Ransomware Chimera. Der Angriff erfolgt dabei meistens über Anhänge in vermeintlichen Bewerbungsschreiben oder Vertragsangeboten. Der Nutzer soll eine Datei via Dropbox runterladen und installiert dabei die schädliche Software. Die hat es in sich: sämtliche lokalen Dateien als auch Dateien im Netzlaufwerk werden umgehend verschlüsselt und damit unbrauchbar gemacht.

Nach einem Neustart des Rechners erhält der Nutzer in der Regel einen Warnbildschirm, der ihn auffordert innerhalb einer bestimmten Zeit einen Geldbetrag in Form von Bitcoins zu überweisen, andernfalls bleiben die Daten dauerhaft verschlüsselt. Zusätzlich wird damit gedroht, dass sensible Daten veröffentlicht werden. Ist ein System Ihres Kunden erst einmal an diesen Punkt gekommen, sind die Daten nicht mehr zu retten. Auch wenn ein Mitarbeiter des FBI jüngst das Gegenteil empfohlen hat: es ist dringend davor abzuraten den Lösegeldforderungen nachzukommen.

Zum einen wären Zahlungen ein weiterer Anreiz für andere Hacker ebenfalls Ransomware einzusetzen. Je mehr Nutzer sich auf diese Erpressungen einlassen, desto attraktiver wird dieses Modell für Nachahmungstäter (Spezielle Seiten im Netz bieten bereits jetzt Ransomware-as-a-Service für jedermann an). Zum anderen gibt es keine Garantie, dass die betroffenen Daten nach der Zahlung auch tatsächlich wieder entschlüsselt werden. Keiner unserer Partner, der auf die Forderungen eingegangen ist, hatte anschließend wieder Zugriff auf die Daten – dafür aber weniger Geld auf dem Konto.

Im Ernstfall hilft nur das tägliche Backup

Chimera ist ein Hybrid zwischen Screen-Locker und Crypto-Malware. Während sich Crypto-Malware zum Beispiel durch den in allen G DATA-Lösungen enthaltenen Behaviour-Blocker identifizieren lässt, stellt der Hersteller auch eine nachträgliche Cleaning-Lösung gegen Screen-Locker zur Verfügung. Bedingt durch den hohen Verschlüsselungsgrad von Chimera ist eine Entschlüsselung der Dateien derzeit aber nicht möglich.

Sollte das System eines Kunden betroffen sein, dann hilft nur noch ein Neuaufsetzen der Maschine und eine Wiederherstellung durch ein dezentrales Backup. Hierbei ist zu beachten, dass bereits Mutationen der Ransomware im Umlauf sind, die dauerhaft angeschlossene Backups gleich mitverschlüsseln. Somit sind auch diese Datensicherungen im schlimmsten Fall verloren.

Setzen Sie auf einen mehrschichtigen Security-Ansatz

Aktuell ist es wichtiger denn je für die Sicherheit der Unternehmens-IT, so viele Schutzschichten wie möglich einzusetzen. Nur so lässt sich die Gefahr eines Angriffs eindämmen und das Risiko für Ihre Kunden minimieren. G DATA empfiehlt die Verwendung einer Layered-Defense-Taktik mit den passenden Bausteinen, die Sie auch allesamt im Portfolio von EBERTLANG vorfinden:

Das wichtigste Mittel im Kampf gegen Schadsoftware bleibt aber auch im Falle der Chimera Ransomware der wachsame Menschenverstand. Weisen Sie Ihre Kunden auf die aktuelle Bedrohung hin und warnen Sie vor verdächtigen Bewerbungsschreiben und Vertragsangeboten, die einen Download-Link beinhalten. Auch wenn Chimera Ransomware auf neue Techniken setzt um Schaden anzurichten, die Art der Verbreitung ist altbekannt und kann mit den richtigen Vorbereitungen weitestgehend unterbunden werden.

Für weitere Informationen zu unseren Sicherheits- und Backup-Lösungen stehen wir Ihnen gerne jederzeit persönlich unter +49 (0)6441 – 67 11 80 zur Verfügung.

Weitere Hinweise zu diesem Thema finden Sie auf diesen Seiten:

  • Regelmäßige Updates zur Chimera Ransomware auf den Seiten unseres Partners intraService.at
  • Deutscher Blog unseres Lieferanten ESET
  • Blog unseres Lieferanten AppRiver