Sicherheitslücken und Schwachstellen bei KMU

 

Hacker nutzten vermehrt Sicherheitslücken und Schwachstellen in KMU's. Jüngst fiel Acer zum Opfer! Die Ransomware-Bande namens Revil konnten Hacker erfolgreich ins Microsoft Exchange eindringen und somit in das System von Acer eingreifen. Die Hacker forderten ein Lösegeld in Höhe von 50 Millionen Dollar.
Was ist eine Ransomware?

Ransomware sind Schadprogramme mit deren Hilfe Eindringlinge eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirken. Dabei werden private Daten auf einem fremden Computer verschlüsselt, um für die Entschlüsselung oder Freigabe ein «Lösegeld» zu fordern.


Wie macht sich Ransomware bemerkbar?

Das Erste was der Nutzer von der Ransomware mitbekommt, ist in der Regel der blockierte Bildschirm oder der Erpresserbrief, die sich nicht mehr schliessen lassen.

Ebenfalls kommt es vor, dass Daten nicht mehr geöffnet werden können, da diese als eine Art Geisel genommen wurden – Die Dateiendungen werden dabei geändert. (Bsp.: vvv)

Einige Ransomware-Varianten haben eine Inkubationszeit. Das heisst, dass die schädliche Wirkung erst eintritt, sobald sich der User nicht mehr daran erinnern kann; wann und wo er sich eventuell einen Erpressungstrojaner eingefangen hat.


Welche Arten von Ransomware gibt es?

Im Prinzip gibt es verschiedene Arten von Ransomware:

  • Screenlocker und File-Encrypter
  • Screenlocker sperren den Bildschirm
  • File-Encrypter verschlüsseln die Daten auf dem Computer und nehmen Fotos, Text- Dateien und wichtige Ordner in Geisel.

 Wie fängt man sich Ransomware ein?

Ihre Verbreitungswege unterscheiden sich kaum von anderer Malware: Oft gelangt diese über eine manipulierte Website, einen Link aus einer Spam-Mail oder einer Nachricht über ein soziales Netzwerk. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern Schadcode.

Massnahmen nach einem erfolgreichen Angriff

Im Falle einer Infektion empfehlen wir die sofortige Netzwerk-Trennung ihres Computers. Die Neuinstallation des Systems sowie alle Passwortänderungen sind ein weiterer notwendiger Schritt. Nach erfolgreicher Computersäuberung können auch jegliche Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern. Später können Sie diese entschlüsseln, falls eine Lösung gefunden wird. Ignorieren Sie Lösegeldforderungen. Wenn Sie bezahlen, stärkt dies die kriminellen Infrastrukturen und ermöglichen den Kriminellen weitere Opfer zu erpressen. Ausserdem gibt es keine Rückgabegarantie, dass man die Daten entschlüsselt, zurückbekommt.