Neue Bedrohung der IT durch Phishing-Mails: Sodinokibi

Back­door­pro­gramme und Ran­som­ware wie etwa Emo­tet und Ryuk, die 2019 dafür sorg­ten, dass unter ande­rem die Justus-​​Liebig-​​Universität off­line ging, klauen zwar ab und zu Daten. Ihr Fokus liegt jedoch auf der Ver­schlüs­se­lung und dem „Frei­kau­fen“ durch Unter­neh­men. Sodi­no­kibi („REvil“) stiehlt aller­dings bei jeder Infek­tion sen­si­ble Daten – und erhöht den Druck.

Seit Mitte 2019 treibt ein Ver­schlüs­se­lungs­tro­ja­ner mit dem sper­ri­gen Namen „Sodi­no­kibi“ sein Unwe­sen im World Wide Web. Meist ver­steckt er sich in einer Phishing-​​E-​​Mail, die eine angeb­li­che Bewer­bung ent­hält. Aber auch angeb­li­che E-​​Mails vom Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) kön­nen durch ange­hängte Zip-​​Archive die Ran­som­ware in Unter­neh­mens­netz­wer­ken ein­schleu­sen. So kön­nen Daten nicht nur ver­schlüs­selt, son­dern es kann auch gezielt nach Fir­men­ge­heim­nis­sen gesucht wer­den. Diese ver­trau­li­chen Infor­ma­tio­nen wer­den anschlie­ßend gern von den Cyber­kri­mi­nel­len als Druck­mit­tel gegen das Unter­neh­men ein­ge­setzt, wenn es der Löse­geld­for­de­rung zum Ent­schlüs­seln der Daten nicht nach­kom­men will. Gedroht wird meist mit dem soge­nann­ten „Public Shaming“, also dem öffent­li­chen Anpran­gern des betrof­fe­nen Unter­neh­mens, wobei die geklau­ten Daten laut den Erpres­sern in einem Blog oder auf einer extra ein­ge­rich­te­ten Home­page ver­öf­fent­licht oder auch im Dar­knet ver­kauft wür­den. Gesche­hen ist das bei­spiels­weise kürz­lich erst bei den Tech­ni­schen Wer­ken Lud­wigs­ha­fen und der Anwalts­kanz­lei Grub­man Shire Mei­selas & Sacks (siehe Pres­se­be­richte hier und hier).

Da viele Unter­neh­men aus Angst vor einem Repu­ta­ti­ons­ver­lust einen sol­chen Angriff nicht öffent­lich machen wol­len, kann diese Dro­hung durch­aus gut funk­tio­nie­ren und den Angrei­fern eine Menge Geld in die Kas­sen spü­len. Der angeb­li­che Vor­gän­ger von Sodi­no­kibi, Gan­d­Crab, hat sei­nen Ent­wick­lern wohl 150 Mio. US-​​Dollar ein­ge­bracht. Eine schöne Summe, um sich in den Ruhe­stand zu ver­ab­schie­den – und ein Ansporn für die Nach­fol­ger.

Wie mit einer Ver­schlüs­se­lung­s­at­ta­cke umge­hen?

Da das Aus­spio­nie­ren von Daten und die dar­auf fol­gende Dro­hung, diese zu ver­öf­fent­li­chen eine logi­sche Wei­ter­ent­wick­lung der rei­nen Ver­schlüs­se­lung ist und sich damit sicher­lich wei­ter­hin viel Geld „ver­die­nen“ lässt, wird sich diese Art der Erpres­sung wei­ter aus­brei­ten. Die Kom­mu­ni­ka­ti­ons­po­li­tik in Unter­neh­men kann je nach abge­flos­se­nen Daten unter­schied­lich aus­fal­len und muss vom Unter­neh­men selbst indi­vi­du­ell getrof­fen wer­den. So hat zum Bei­spiel der im Sau­er­land ansäs­sige Auto­mo­bil­zu­lie­fe­rer GEDIA die Zah­lung von Löse­geld nach einer Sodinokibi-​​Attacke Anfang 2020 ver­wei­gert, trotz der Ankün­di­gung der Erpres­ser, Pläne und Daten von Mit­ar­bei­tern sowie Kun­den zu ver­öf­fent­li­chen. Auf diese Weise wurde der unmit­tel­bare mate­ri­elle Scha­den auf die Kos­ten für die Säu­be­rung der Sys­teme, tage­lange Aus­fälle der Pro­duk­tion sowie eine Mel­dung an die Behör­den “begrenzt“. Durch die neue Methode des „Public Shaming“ erhö­hen sich jedoch auch die lang­fris­ti­gen finan­zi­el­len Ein­bu­ßen, die durch eine Cyber­at­ta­cke dro­hen. Diese Neue­rung bie­tet somit einen Anlass, um die Risi­ko­ab­schät­zung für Cyber­at­ta­cken – ins­be­son­dere durch Ran­som­ware – neu zu bewer­ten.

Awareness-​​Maßnahmen und Co. zur Vor­beu­gung

Um diese Kos­ten und Ein­bu­ßen zu ver­mei­den, bleibt letzt­lich nur, in die Prä­ven­tion zu inves­tie­ren: Dabei geht es eben nicht mehr nur um Back­ups, son­dern um den wirk­li­chen Schutz, also tech­nisch (z.B. durch Netzwerk-​​Segmentierung und Sandboxing-​​Systeme), orga­ni­sa­to­risch (Need-​​to-​​know-​​Prinzip) und mensch­lich (wie etwa durch Security-​​Awareness-​​Kampagnen  und die Eta­blie­rung einer Sicher­heits­kul­tur im Unter­neh­men). Weiß ein Mit­ar­bei­ter zum Bei­spiel durch geziel­tes Tra­ning mit Phishing-​​Simulationen, wor­auf er oder sie ach­ten muss und erkennt infolge des­sen eine Phishing-​​Mail, hat die Schad­soft­ware keine Chance, sich im Unter­neh­mens­netz­werk fest­zu­set­zen und zu ver­brei­ten. Es lohnt sich also, Mit­ar­bei­tern durch Tra­nings und Schu­lun­gen ihre Eigen­ver­ant­wor­tung in der Infor­ma­ti­ons­si­cher­heit bewusst zu machen.

Sorab Ham­na­ward
IT-​​Seal GmbH
06151 493 89 90
sorab.​hamnaward@​it-​seal.​de