Was die aktuell am weitesten verbreiteten Viren Emotet, Trickbot und Ryuk verbindet? Sie treten gerne gemeinsam auf – und verursachen dadurch besonders grossen Schaden. In diesem Blogartikel gehen ich und mein Cyber Security Analysten-Team darauf ein, was es mit dem Trio auf sich hat und wie Sie sich vor dieser Bande schützen können.
Unsere Cyber Security-Analysten, Forensiker und Incident Responder bei InfoGuard waren über die letzten Monate immer wieder mit diesen drei Viren konfrontiert – unter anderem im Fall Offix, der kürzlich in den Medien publik wurde. Unser Team war dabei jeweils unmittelbar zur Stelle, um zusammen mit Kunden im Rahmen von Incident Response den IT-Betrieb so schnell wie möglich wieder auf die Beine zu stellen. Dabei fiel uns auch auf, dass Emotet, Trickbot und Ryuk oftmals gemeinsam auftreten. Wieso? Jeder dieser Akteure hat eine andere Funktion beim Angriff, die sich (leider) ideal ergänzen.
Schritt 1: Initial Compromise mit Emotet
Als Emotet 2014 zum ersten Mal auftrat, war die Schadsoftware eigentlich als E-Banking-Trojaner konzipiert. Dabei installierte sich Emotet auf dem angegriffenen Computer-System und versuchte Login-Daten für das E-Banking abzugreifen. Heute hat sich Emotet primär auf die initiale Kompromittierung von Systemen spezialisiert. Dabei geht der Trojaner so weit, dass ganze E-Mail-Verläufe gestohlen werden und sich in diese einklinkt, um sich anschliessend via E-Mail weiterzuverbreiten – sogenannter «Malspam». (Zu diesem Thema haben wir übrigens bereits in diesem Artikel ausführlich berichtet.) Weiter kann sich Emotet innerhalb eines Unternehmens durch verschiedene Methoden wurmartig weiter ausbreiten. Emotet wird also heute vor allem als Einstieg in ein Unternehmsnetzwerk verwendet. Der Zugang wird dann entweder im Darknet weiterverkauft, oder von den Angreifern benutzt, um weitere Viren nachzuladen – in der Regel Trickbot.
Schritt 2: Ausspionieren mit Trickbot
Trickbot ist ebenfalls ein E-Banking-Trojaner, der 2016 entwickelt wurde. Dieser klaut sich Zugangsdaten zu E-Banking-Konten mittels so genannten «WebInjects». WebInjects sind Codestellen, welche lokal im Browser originale Codestellen auf dem echten E-Banking-Portal ersetzen. Trickbot hat zudem die Möglichkeit, E-Mails zu stehlen und Login-Daten vom Windows-Netzwerk mit Hilfe von Mimikatz zu entwenden. Seit dem Aufkommen beobachten wir, dass sich der Virus laufend weiterentwickelt, wobei der Fokus immer auf dem Entwenden von Daten liegt. Die Angreifer sitzen so teilweise über Monate hinweg in einem Firmennetzwerk und entwenden Daten, ohne entdeckt zu werden. Die Angreifer werten diese Daten laufend aus, wodurch sie ein ziemlich klares Bild vom Unternehmen, den Abläufen und der internen IT-Landschaft erhalten. Zum Beispiel erfahren die Cyberkriminellen so, wie viel Geld ein Unternehmen hat und von welchen Daten das Unternehmen abhängig ist. Und wie Sie sich nun sicher denken können, werden diese Informationen für den finalen, zerstörerischen Schritt verwendet – dem Angriff durch Ryuk.
Schritt 3: Verschlüsselung und Lösegeldforderung mit Ryuk
Dank Trickbot kennen die Angreifer das Unternehmen nun gut genug, um mit Ryuk die letzte Phase einzuleiten. Der Verschlüsselungstrojaner Ryuk ist spezialisiert auf sehr gezielte Attacken. So können beispielsweise nun diejenigen Daten verschlüsselt werden, die besonders schützenswert sind – quasi die Kronjuwelen des Unternehmens. Dank Trickbot kennen die Angreifer diese schliesslich ziemlich genau. Natürlich wissen sie ebenso, wo die Backups zu diesen Daten abgelegt sind und verschlüsseln diese gleich mit. Und da die Angreifer auch über die finanziellen Verhältnisse des Unternehmens Bescheid wissen, fallen die Lösegeldforderungen natürlich möglichst hoch aus…
4 Tipps, damit Emotet, Trickbot und Ryuk keine Chance haben
Cyberattacken durch das Trio werden leider oft erst im letzten und verheerendsten Schritt entdeckt. Nämlich dann, wenn die IT-Systeme aufgrund der Verschlüsselung durch Ryuk stillstehen – und es leider oft schon zu spät ist. Hat ein Unternehmen dazu noch schlecht vorgesorgt und zum Beispiel kein Offline-Backup erstellt, bleibt oft nur die Bezahlung der Lösegeldforderung, um das Unternehmen vor einer Katastrophe – oder gar dem Ruin – zu bewahren. Aber es muss nicht so weit kommen! Ich und mein Team haben aufgrund unserer Erfahrungen die wichtigsten Learnings für Sie zusammengefasst:
- Initiale Infektion verhindern: Natürlich ist es am besten, wenn die Infektion gar nicht erst stattfindet. Daher liegt in erster Linie das Augenmerk auf Schritt 1 – Emotet. Hauptsächlich verbreitet sich Emotet über E-Mails mit infizierten Word-Dokumenten. Um dem entgegenzuwirken, empfehlen wir zwei sehr effektive Massnahmen: Zum einen das Einschränken von Makros, zum anderen Security Awareness Trainings der Mitarbeitenden zur Sensibilisierung im Umgang mit E-Mails.
- Offline-Backups: Emotet, Trickbot und Ryuk sind gerade aufgrund ihrer Kombination sehr effektiv und ermöglichen einen gezielten Angriff. Die einzige wirkliche Überlebensversicherung für Unternehmen ist, regelmässig Offline-Backups zu erstellen. Denn offline ist der einzige Ort, wo Cyberkriminelle nicht hinkommen.
- Überwachung der Endpunkte und Server mittels EDR: Bei unseren Incident Response-Einsätzen geht es zu Beginn immer darum, die Kontrolle über jegliche Computer und Server im Unternehmen zurückzuerlangen. Dazu setzen wir spezialisierte EDR-Lösungen (Endpoint Detection & Response) ein, welche wir eigens für den Incident Response-Fall installieren. Damit haben wir die Möglichkeit, gründlich nach infizierten Systemen zu suchen und diese zentral zu bereinigen. Im Idealfall hat das Unternehmen sogar schon eine EDR-Lösung installiert, beispielsweise von Tanium. So kann ein Angriff frühzeitig entdeckt werden, was durch herkömmliche, signaturbasierende Detektionsmechanismen (Antivirus) selten möglich ist.
- Schnelle Einsatzmöglichkeit durch Incident Response Retainer: Trotz der oben genannten Massnahmen kann ein Incident nie vollständig ausgeschlossen werden. Unsere Erfahrung zeigt, dass von der Entdeckung des Angriffs bis zur Bereinigung die meiste Zeit dadurch verstreicht, den richtigen Partner für die Behebung zu finden und diesen zur Lösung des Problems zu befähigen. Das Erstellen von Offerten, Aufträgen und Partner Accounts, das Gewähren von Zugang zu den Systemen, die Zeit, die der Partner zum Einarbeiten und Kennenlernen der Umgebung braucht usw. – alles zeitliche Faktoren, die sich durch die Wahl eines passenden Partners VOR dem Incident eliminieren oder zumindest reduzieren lassen. Alle Vorteile eines Incident Response Retainers erfahren Sie hier:
Setzen Sie auf erfahrene Cyber Defence-Spezialisten
Die Wahl des passenden Dienstleisters ist nicht einfach. Was jedoch gerade bei so komplexen, gezielten Angriffen zählt, ist die Erfahrung. Setzen Sie daher auf einen Partner mit einem ausgewiesenen, erfahrenen Spezialisten-Team wie bei InfoGuard. Wir haben langjährige Erfahrung und Expertise in verschiedensten Themenbereichen und mit unzähligen Arten von Cyberattacken. In unserem Cyber Defence Center (CDC) in Baar arbeiten über 35 Mitarbeitende und sorgen für maximale Cyber Security unserer Kunden – und das 24x7. Mehr Informationen zu unseren Cyber Defence Services erfahren Sie hier:
Worauf ich schlussendlich hinauswill? Nehmen Sie mit uns Kontakt auf – und zwar nicht erst, wenn es zu spät ist!