Bedrohung auch für KMUs

28.09.2017

Immer mehr sind auch KMU von Internetkriminalität betroffen. Aktuelle Malware kann sich auf ihre Umgebung einstellen und so auch in Unternehmen schnell grossen Schaden anrichten. Der folgende Artikel gibt eine kurze Übersicht über die Bedrohung und stellt einige einfache Massnahmen vor, mit denen sich ein Unternehmen besser schützen kann.

Internetkriminalität ist ein Phänomen, das sich in den vergangenen Jahren rasant weiterentwickelt hat. Während die Bankentrojaner ursprünglich gegen Online-Banking-Aktivitäten von Privatpersonen gerichtet waren, greift die neuste Malware-Generation auch kleine und mittlere Unternehmen an. Das macht sie hauptsächlich über zwei Kanäle: via E-Mail und Webseiten.

Oft verteilt sich die Malware über Malspam-Wellen, die entweder ein Attachment (etwa eine Worddatei mit einem Makro) oder ein ZIP-File enthalten. Teilweise ist auch nur ein Download-Link einer solchen Datei vorhanden. Der andere Weg sind Drive-By-Infektionen durch infizierte Webseiten oder mit Hilfe von Werbung, die mit Malware verseucht ist. Durch den Besuch solcher Seiten, infiziert sich der Computer mit Malware. Dabei platziert der Angreifer auf einer Website eine Weiterleitung auf einen anderen Server, auf dem das sogenannte Exploit-Kit platziert ist. Dieses sucht auf dem weiterleitenden Gerät eine passende Verwundbarkeit und infiziert es.

Trojaner in der Schweiz

In der Schweiz beobachtet die Melde- und Analysestelle Informationssicherung MELANI momentan folgende Bankentrojaner, die zu grösseren Schäden führen:

  • Dridex: Ein Banking-Trojaner, der weit entwickelt ist und auch KMU angreift. Er verbreitet sich vor allem via Malspam. Dridex verfügt über die Möglichkeit, weitere Malware herunterzuladen, um gezielt KMU anzugreifen.
  • Gozi: Ein Banking-Trojaner, der in verschiedenen Varianten existiert und sich sowohl via Malspam als auch mit Hilfe von Drive-By-Infektionen verbreitet.
  • Retefe: Ein Banking-Trojaner, der sich via Malspam verbreitet. Er installiert ein gefälschtes Zertifikat, manipulierte Proxysettings sowie einen Socks- und TOR-Client. Dadurch kann er einen Man-In-The-Middle-Angriff auf die Online-Banking-Session machen. Eine Variante von Retefe existiert auch für MacOS.

Bei der Schadsoftware Dridex versendet der Eindringling seriös wirkende E-Mails mit Attachements wie etwa gefälschte Rechnungen. Dridex enthält eine Detektionsmöglichkeit für installierte Offline-Zahlungs-Software z.B. Mammut, Crealogix oder Abacus. Findet Dridex keine solche Software, versucht das Programm, allfällige Online-Banking-Sessions anzugreifen. Wird sie aber fündig, installiert der Angreifer zusätzliche Malware auf dem Gerät (Carbanak und weitere Werkzeuge). Mit Hilfe dieser Malware kann er einen zweiten Account übernehmen, der Zahlungen bestätigen kann und auf diese Weise beliebig Leistungen auslösen.
Carbanak ist im Rahmen von gross angelegten Angriffen auf Banken in Osteuropa bekannt geworden. Nun wird diese Malware ebenfalls bei Angriffen gegen KMU eingesetzt. Darüber hinaus wurde auch der Einsatz von Mimikatz beobachtet. Mimikatz ist ein Werkzeug, das in einem Active Directory die Zugangsdaten der Benutzer stiehlt.

Quelle: www.melani.admin.ch

Dridex hat zu grossen Schäden in der Schweiz geführt, da die Zahlungslimiten bei KMU bedeutend höher sind als bei Endbenutzern. Mehr Details zum Infektionsvektor von Dridex enthält der Blog von GovCERT.ch.

Generelle Schutzmassnahmen gegen Malware

Nebst den üblichen und wichtigen Sicherheitsvorkehrungen wie Backups (ein oder mehrere Backups vom Netz getrennt aufbewahren), Einspielen von Patches oder sicheren Passwörtern, gibt es weitere Möglichkeiten, das Risiko im Firmenumfeld zu reduzieren:

  • Verwenden Sie einen dedizierten Computer für die Buchhaltung und das Bezahlen von Rechnungen. Dieser Computer darf nicht für das Surfen oder für E-Mails benutzt werden.
  • Für das Bestätigen der Zahlungen sollte ein zweiter Kanal verwendet werden, zum Beispiel Crontosign.
  • Entfernen Sie allfällige Hardware Tokens wie eine Smartcard nach jedem Gebrauch von Ihrem Computer.
  • Verwenden Sie für das Management der Server eigene Geräte, die nicht für das Surfen oder Mailen gebraucht werden.
  • Blockieren Sie möglichst viele potenziell gefährliche Attachmentypen auf den Mail Gateways. Achten Sie darauf, dass diese Filetypen auch blockiert werden, wenn sich diese in ZIP-Dateien befinden.
  • Für das Öffnen von Javascript-Dateien (.js) sollten Sie einen Texteditor konfigurieren und niemals den Browser.
  • Regeln Sie, welche Benutzer welche Anwendungen ausführen dürfen (zum Beispiel mit Windows AppLocker).
  • Sehr wirksam ist auch der Einsatz von Mikrovirtualisierung oder das Surfen und Mailen via virtualisierten Desktops oder Terminal Services.
  • Damit Ihre Website nicht von Angreifern missbraucht werden kann, halten sie das verwendete Content Management System (CMS) immer auf einem aktuellen Stand und sichern sie es möglichst gut ab.

Stetige Weiterentwicklung

Die Landschaft der Bankentrojaner unterliegt einem konstanten Wandel. Laufend kommen neue Familien und Versionen dazu und verschwinden wieder. Darüber hinaus gibt es auch immer wieder finanzielle Schäden, die nicht durch Malware verursacht sind, sondern durch einfachen Betrug (CEO Fraud). Es ist deshalb auch für kleinere und mittlere Unternehmen sinnvoll, sich über neuste Entwicklungen zu informieren.

Hinweise für KMUs

Hinweise für Endbenutzer


Reto Inversini ist technischer Analytiker bei MELANI / GovCERT und Dozent an der BFH-TI für IT-Sicherheit in den CAS Software Architecture und Security Incident Management