Die Ausgangslage kommt uns bekannt vor: Hacker dringen unbefugt ins System ein und erpressen das Opfer um Lösegeld. Bei Nichtzahlung wandern vertrauliche Informationen öffentlich ins Netz. Der neuste Fall betrifft das amerikanische Unternehmen „Visser Precision“. Der Zulieferer des US-Militärs wurde von der Hacker-Gang „DoppelPaymer“ erpresst und weigerte sich, zu zahlen. Daraufhin fanden sich streng geheime Unterlagen zu einem Mörsergranaten-Abwehrsystem im Internet.
Wie kann es sein, dass sogar Grosskonzerne, die innerhalb ihrer Branche doch eigentlich prädestiniert in Sachen Sicherheit sein müssten, Opfer von Hackern sind? Wir begeben uns auf Spurensuche und beleuchten sowohl Methodik als auch Hintergründe solch erfolgreicher Hacker-Gangs genauer, denn „Wissen ist bereits die halbe Miete“.
Der Fall Visser Precision
Der amerikanische Konzern produziert Präzisionsbauteile unter anderem für die Luft- und Raumfahrtindustrie. International bekannte Brands wie etwa Tesla und Boeing gehören ebenfalls zum Kundenstamm. Dass auch das US-Militär zum Kundenkreis zählt, spricht für die Gewährleistung höchster Sicherheitsstandards in allen Spannen der Arbeitsprozesse.
Trotzdem ist es Hacker-Gang DoppelPaymer irgendwie gelungen, das Unternehmen zu infiltrieren. Sie gelangten an gut gehütete Daten über Spezifikationen zur Abwehr von Mörsergranaten, auch weitere militärische Unterlagen wie Zulieferer-Informationen und Rechnungen sollen sich unter der Datendiebstahl-Sammlung befinden. Die Hacker forderten ein hohes Lösegeld von Visser, doch die weigerten sich, zu zahlen. Daraufhin wanderten alle gestohlenen Informationen für die Welt gut sichtbar auf die Website von DoppelPaymer.
Die Geschichte der Hacker-Gang
Im Zusammenhang mit Ransomware-Angriffen tritt DoppelPaymer immer öfter in Erscheinung. Die Verbrecherbande hat mit einem eigenen Eintrag im offiziellen Malware-Wiki traurige Berühmtheit erlangt. Als Teil der BitPaymer-Familie zählt sie zu der Kategorie der sogenannten Cryptolocker.
DoppelPaymer trat im April 2019 erstmals auf die Bildfläche der Hacker-Szene und nennt sich mittlerweile nachweislich als Urheber von mindestens 8 Malware-Varianten vom Typ Trojaner und Ransomware. Die bevorzugte Angriffsplattform ist Windows. Ende 2019 erpressten sie eine mexikanische Ölgesellschaft um 4,9 Millionen US-Dollar. Im Februar 2020 ging erstmals deren Homepage zur Veröffentlichung gestohlener Daten online, kurz darauf wurde am 26.02.2020 Cloudservice-Anbieter „Bretagne Telekom“ gehackt.
Alle Machenschaften der DoppelPaymer-Gang haben gemeinsam, dass die Erpressung auf Public Shaming setzt. Wenn die Opfer nicht zahlen, sollen die gestohlenen Informationen dergestalt veröffentlicht werden, dass das betroffene Unternehmen einen grösstmöglichen Schaden an Ruf und Vertrauen erleidet. Teilweise wird auch damit gedroht, Daten an die Konkurrenz oder im Darknet zu verkaufen.
Cryptolocker
Hier handelt es sich um ein Exemplar von Ransomware, bei dem der Computer mit einem Trojaner infiziert wird. Nach der Installation verschlüsselt der Cryptolocker bestimmte Dateien, sodass diese unbrauchbar oder der Zugriff darauf gesperrt werden. Beim Aufruf treten an Stelle des gewohnten Startbildschirms die Lösegeld-Forderungen. Die Verschlüsselung kann angeblich nur rückgängig gemacht werden, indem man das geforderte Lösegeld an die Erpresser zahlt – das Opfer erhält dann den richtigen Entschlüsselungscode.
Solche Trojaner verbreiten sich am häufigsten mittels infizierter Email-Anhänge. Klickt der Empfänger den enthaltenen Link an oder öffnet die beigefügte Datei, führt sich der Cryptolocker aus. Die tatsächlich schädliche Datei bleibt dabei gut versteckt, denn im Windows-Standardverhalten sind Namenserweiterungen ausgeblendet.
Hacker verteilen Ransomware grossflächig
Emails sind zwar die beliebteste Methode, allerdings bei weitem nicht die einzige, mit der sich Malware rege verbreitet. Zum besseren Verständnis listen wir nachfolgend alle bekanntesten Wege auf, die auch namhafte Hacker-Gangs wie DoppelPaymer gerne gehen.
- Spam- oder Phishing-Mails mit infizierten Anhängen
- Botnets
- Exploits
- Adware
- Web-Injects
- gefälschte Updates
- infizierte Installationsprogramme
Egal, auf welchem Weg der Schädling letztendlich auf den Rechner gelangt (de facto können sich mehrere identische Programme zeitgleich ausbreiten oder aber unterschiedliche Vertreter über denselben Weg auf den PC wandern), es existieren ein paar Unterkategorien von Ransomware, die jeder kennen sollte. Sie unterscheiden sich vor allem in ihrer Funktionalität, so ist auch die beste Behebung von der Art abhängig.
Botnets
Eine Gruppe von automatisierten Schadprogrammen verteilt sich über alle vernetzten Rechner. Je grösser das Netzwerk, desto höher ist die schädliche Wirkung und desto schneller findet die Ausbreitung statt. Sie erlangen ohne Einverständnis des Administrators Zugriff auf alle Ressourcen und Daten.
Exploits
Ins Deutsche übersetzt bedeutet das Wort Exploit „ausnutzen“. Genau das tut der Übeltäter aus der Gruppe Ransomware auch: Systematisch nutzt er sämtliche Schwachstellen von Programmen aus. Bekannte Fehlfunktionen, Sicherheitslücken und Co werden auf die Weise mit Hacker-Codes infiltriert.
Adware
Am besten lässt sich dieser Begriff als „bösartige Werbung“ übersetzen. Hier ist die Gefahr besonders gross, denn im Grunde kann Jeder im Internet Anzeigen schalten. Wird man Opfer von einer schädlichen Werbeanzeige, richtet Adware auf unterschiedliche Weise Schaden an: Sie verändert die Startseite des Browsers, variiert eingetippte Suchen oder leitet ohne aktive Eingabe auf URLs um.
Web-Injects
Eine solche „Injektion“ hat ein wenig Ähnlichkeit mit einem Exploit. Sie befindet sich auf einer infizierten Website und verändert deren Informationsgehalt beziehungsweise übliche Funktionsweise gemäss eigenen Hacker-Zwecken. Es sind besonders Webseiten betroffen, die an Bugs leiden, Programmierfehler beinhalten oder deren Client bereits von Schadsoftware infiziert ist.
Gefälschte Updates
Auch hier kann man auf vielfältige Weise an das schädliche Produkt gelangen. Sei es per Mail-Anhang, über einen gefälschten Link oder eine gehackte Website, das geladene Update wird nicht den Zweck erfüllen, für den der Nutzer es installieren wollte. Klares Indiz für Fälschungen sind häufig Pop-Ups, die den Nutzer darauf hinweisen, dass die genutzte Software veraltet ist und dringend auf den neusten Stand gebracht werden muss. Die Pop-Ups tarnen sich geschickt als Windows-eigene Meldungen. Auch eine Nachricht zu angeblichem Virenbefall, die jedoch gar nicht von der installierten Virensoftware stammt, kann eine Falschmeldung sein.
Infizierte Installationsprogramme
Wer gerne und oft Freeware nutzt, kann hiermit in die Falle tappen. Auch als „Cranchit“ bekannt, sind in kostenlosen und frei beziehbaren Installationsprogrammen manchmal Zusatzoptionen enthalten, die weit über die eigentliche Grundfunktion der Software hinausgehen. Bei Aktivierung besagter Zusatzfunktionen erhält der Cranchit weitreichende Zugriffsrechte, die man ursprünglich nur der Standardversion einräumen wollte.
Dasselbe Wissen nutzen
Spätestens jetzt wissen wir also, wie Hacker agieren und welcher Mittel sie sich bedienen. Was können wir aus diesen Erkenntnissen machen? Lockheed Martin, Mitarbeiter von Visser Precision (zudem auch Erfinder des Abfangsystems, dessen Spezifikationsdaten DoppelPaymer stahl), sagte in einer Pressemitteilung: „Wir folgen unseren Standardabläufen für die Reaktion auf potenzielle Cyberangriffe.“ Wie besagter Standardablauf genau aussieht, wollte er allerdings nicht verraten.
Wenn wir unser bis dato gesammeltes Wissen aber bündeln und gezielt einsetzen, haben wir bereits einige Ideen zur erfolgreichen Hacker-Abwehr. Wir sollten nicht vergessen: Wir kennen die Bösewichte unter den Hackern, wir kennen ihre Mittel und wir wissen, wie sie arbeiten. Daraus lässt sich bereits eine ausreichende Methodik entwickeln, um nicht selbst Opfer zu werden und es letztlich auch den Hackern zunehmend schwerer zu machen, neue zu finden.
Einen Standardablauf definieren
Erinnern Sie sich noch an unseren Blog-Artikel zum Trojaner-Befall in Neustadt? Falls nicht, empfehlen wir ein neues Lesen vor allem des letzten Abschnitts „Aus Fehlern der Vergangenheit lernen“. Neben Schulung der Mitarbeiter, Definition von Sicherheitsrichtlinien und Wählen eines Ansprechpartners für den Notfall gibt es darüber hinaus Tipps, um sich vor Hacker-Angriffen zu schützen.
- Haben Sie keine Angst vor Public Shaming. Wenn Sie Angst zeigen oder gar auf Lösegeld-Forderungen eingehen, bieten Sie den Hackern eine noch grössere Angriffsfläche.
- Informieren Sie Ihren Kundenstamm, falls Ihr System gehackt ist. Nutzen Sie dafür alternative Kommunikationswege, um die Schadsoftware nicht noch weiter zu verbreiten.
- Melden Sie Erpressungsversuche unverzüglich Ihrer Strafbehörde. Viele Behörden haben eigene Abteilungen für Cyberkriminalität und stehen Ihnen mit Rat und Tat zur Seite.
- Stellen Sie einen Befall fest, trennen Sie den betroffenen Rechner sofort vom restlichen Netzwerk.
- Verwenden Sie für die Installation und Updates von Software ausschliesslich offizielle Webseiten und direkte Links.
- Lassen Sie sich nicht von Pop-Ups oder Bannern irreführen. Einzig Ihre Antiviren-Software und das Betriebssystem selbst sind dafür zuständig, Ihnen Befall oder erforderliche Aktualisierungen anzuzeigen.
- Beim Bezug von Freeware wählen Sie ebenfalls offizielle beziehungsweise durch Prüfsiegel verifizierte Webseiten und nutzen darüber hinaus Virenscanner, die den Download prüfen – vor Installation.
- Wenn Sie plötzlich Werbung auf sonst werbefreien Flächen oder vertrauten Websites sehen, kann das bereits ein Indiz für einen Befall sein.
- Öffnen Sie keine Email-Anhänge von fremden Absendern, die im Textinhalt ein Passwort mitliefern, welches zum Öffnen des Anhangs erforderlich ist. Dieses Verschlüsselungsverfahren sollte ausschliesslich für Ihre bestehenden und bereits verifizierten Kundenkontakte gelten.
