InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Was die aktuell am weitesten verbreiteten Viren Emotet, Trickbot und Ryuk verbindet? Sie treten gerne gemeinsam auf – und verursachen dadurch besonders grossen Schaden. In diesem Blogartikel gehen ich und mein Cyber Security Analysten-Team darauf ein, was es mit dem Trio auf sich hat und wie Sie sich vor dieser Bande schützen können.
Unsere Cyber Security-Analysten, Forensiker und Incident Responder bei InfoGuard waren über die letzten Monate immer wieder mit diesen drei Viren konfrontiert – unter anderem im Fall Offix, der kürzlich in den Medien publik wurde. Unser Team war dabei jeweils unmittelbar zur Stelle, um zusammen mit Kunden im Rahmen von Incident Response den IT-Betrieb so schnell wie möglich wieder auf die Beine zu stellen. Dabei fiel uns auch auf, dass Emotet, Trickbot und Ryuk oftmals gemeinsam auftreten. Wieso? Jeder dieser Akteure hat eine andere Funktion beim Angriff, die sich (leider) ideal ergänzen.
Als Emotet 2014 zum ersten Mal auftrat, war die Schadsoftware eigentlich als E-Banking-Trojaner konzipiert. Dabei installierte sich Emotet auf dem angegriffenen Computer-System und versuchte Login-Daten für das E-Banking abzugreifen. Heute hat sich Emotet primär auf die initiale Kompromittierung von Systemen spezialisiert. Dabei geht der Trojaner so weit, dass ganze E-Mail-Verläufe gestohlen werden und sich in diese einklinkt, um sich anschliessend via E-Mail weiterzuverbreiten – sogenannter «Malspam». (Zu diesem Thema haben wir übrigens bereits in diesem Artikel ausführlich berichtet.) Weiter kann sich Emotet innerhalb eines Unternehmens durch verschiedene Methoden wurmartig weiter ausbreiten. Emotet wird also heute vor allem als Einstieg in ein Unternehmsnetzwerk verwendet. Der Zugang wird dann entweder im Darknet weiterverkauft, oder von den Angreifern benutzt, um weitere Viren nachzuladen – in der Regel Trickbot.
Trickbot ist ebenfalls ein E-Banking-Trojaner, der 2016 entwickelt wurde. Dieser klaut sich Zugangsdaten zu E-Banking-Konten mittels so genannten «WebInjects». WebInjects sind Codestellen, welche lokal im Browser originale Codestellen auf dem echten E-Banking-Portal ersetzen. Trickbot hat zudem die Möglichkeit, E-Mails zu stehlen und Login-Daten vom Windows-Netzwerk mit Hilfe von Mimikatz zu entwenden. Seit dem Aufkommen beobachten wir, dass sich der Virus laufend weiterentwickelt, wobei der Fokus immer auf dem Entwenden von Daten liegt. Die Angreifer sitzen so teilweise über Monate hinweg in einem Firmennetzwerk und entwenden Daten, ohne entdeckt zu werden. Die Angreifer werten diese Daten laufend aus, wodurch sie ein ziemlich klares Bild vom Unternehmen, den Abläufen und der internen IT-Landschaft erhalten. Zum Beispiel erfahren die Cyberkriminellen so, wie viel Geld ein Unternehmen hat und von welchen Daten das Unternehmen abhängig ist. Und wie Sie sich nun sicher denken können, werden diese Informationen für den finalen, zerstörerischen Schritt verwendet – dem Angriff durch Ryuk.
Dank Trickbot kennen die Angreifer das Unternehmen nun gut genug, um mit Ryuk die letzte Phase einzuleiten. Der Verschlüsselungstrojaner Ryuk ist spezialisiert auf sehr gezielte Attacken. So können beispielsweise nun diejenigen Daten verschlüsselt werden, die besonders schützenswert sind – quasi die Kronjuwelen des Unternehmens. Dank Trickbot kennen die Angreifer diese schliesslich ziemlich genau. Natürlich wissen sie ebenso, wo die Backups zu diesen Daten abgelegt sind und verschlüsseln diese gleich mit. Und da die Angreifer auch über die finanziellen Verhältnisse des Unternehmens Bescheid wissen, fallen die Lösegeldforderungen natürlich möglichst hoch aus…
Cyberattacken durch das Trio werden leider oft erst im letzten und verheerendsten Schritt entdeckt. Nämlich dann, wenn die IT-Systeme aufgrund der Verschlüsselung durch Ryuk stillstehen – und es leider oft schon zu spät ist. Hat ein Unternehmen dazu noch schlecht vorgesorgt und zum Beispiel kein Offline-Backup erstellt, bleibt oft nur die Bezahlung der Lösegeldforderung, um das Unternehmen vor einer Katastrophe – oder gar dem Ruin – zu bewahren. Aber es muss nicht so weit kommen! Ich und mein Team haben aufgrund unserer Erfahrungen die wichtigsten Learnings für Sie zusammengefasst:
Die Wahl des passenden Dienstleisters ist nicht einfach. Was jedoch gerade bei so komplexen, gezielten Angriffen zählt, ist die Erfahrung. Setzen Sie daher auf einen Partner mit einem ausgewiesenen, erfahrenen Spezialisten-Team wie bei InfoGuard. Wir haben langjährige Erfahrung und Expertise in verschiedensten Themenbereichen und mit unzähligen Arten von Cyberattacken. In unserem Cyber Defence Center (CDC) in Baar arbeiten über 35 Mitarbeitende und sorgen für maximale Cyber Security unserer Kunden – und das 24x7. Mehr Informationen zu unseren Cyber Defence Services erfahren Sie hier:
Worauf ich schlussendlich hinauswill? Nehmen Sie mit uns Kontakt auf – und zwar nicht erst, wenn es zu spät ist!