IHK warnt vor „Erpresser“-Schadsoftware

Die IHK Ostwestfalen warnt derzeit vor Hackerangriffen auf Unternehmen durch Computersabotage mithilfe der Schadsoftware "CryptoWall" - auch private PCs betroffen

Hacker schleusen „CryptoWall“ auf den Computer, verschlüsseln systematisch empfindliche Dateien und geben diese eventuell erst wieder frei, wenn ein Lösegeld gezahlt wurde – Symbolfoto: iAmMrRob/pixabay CC0

Derzeit komme es auch in Ostwestfalen zu Fällen von Computersabotage, bei denen Unternehmen mithilfe der Schadsoftware „CryptoWall“ zu Lösegeldzahlungen erpresst werden, ansonsten würden alle Daten unwiederbringlich verschlüsselt, meldet die Industrie- und Handelskammer (IHK) Ostwestfalen zu Bielefeld. Potenziell gefährdet sei dabei jedes Unternehmen, das über eine Internetanbindung und eine weitreichende Netz-Infrastruktur verfüge.

Der Trojaner „CryptoWall“ nistet sich dabei auf Rechnern ein, die gleichzeitig mit dem Internet und dem internen Firmennetzwerk verbunden sind. Die Herkunft dieses Schadprogramms ist derzeit unklar. Denkbar ist, dass das Anklicken eines Links in einer E-Mail zum Download der Datei führte. Ebenso ist eine Infektion durch einen sogenannten „drive-by-download“ beim Surfen auf einer Website mit manipulierten Werbebannern möglich. Dabei kann es sich durchaus um eine grundsätzlich seriöse Website handeln. Eine vorhandene Sicherheitssoftware konnte in den bekannten Fällen eine Infektion nicht verhindern.

„Das Programm beginnt nach der Infektion, das Firmennetzwerk zu durchsuchen und schließlich bestimmte oder sogar alle Dateien zu verschlüsseln, sodass sie nicht mehr geöffnet werden können“, erläutert Lars Henning Döhler, Rechtsreferent und Ansprechpartner für das Thema „Sicherheit in der Wirtschaft“ bei der IHK Ostwestfalen. Nach und nach verhindere die Schadsoftware den Zugriff auf die Daten oder sogar auf komplette Server des Unternehmens.

„Möchte man dann eine verschlüsselte Datei öffnen, erhält man auf dem Bildschirm ein Erpresserschreiben mit einer Anleitung, wie man die Daten nach Zahlung einer bestimmten Geldsumme an eine anonyme Adresse mittels der virtuellen Währung ‚bitcoin‘ angeblich wieder entschlüsseln kann“, so Döhler weiter. Eine eigene Entschlüsselung der Daten sei nicht möglich.

Durch den Verlust der Daten kam es in einigen der bisher betroffenen Unternehmen zu tagelangen Produktionsausfällen mit entsprechenden finanziellen Schäden. „Wir empfehlen unseren Mitgliedsunternehmen dringend, regelmäßige Backups ihrer Daten vorzuhalten“, erklärt Döhler.

Der IHK-Jurist empfiehlt: „Zum Surfen im Internet sollten nur Rechner verwendet werden, die nicht mit dem Firmennetzwerk verbunden sind. Daneben gelten die grundlegenden Sicherheitstipps, keine E-Mail-Anhänge oder Internetlinks unbekannter Absender zu öffnen, E-Mails bekannter Absender auf Plausibilität zu prüfen und, wenn möglich, beim Besuch von Webseiten die Ausführung von Java oder Flash zu deaktivieren.“

Unternehmen, die eine Infektion ihres Netzwerkes feststellen, sollten in jedem Fall die Polizei informieren.

Wir haben weiter recherchiert

Die Schadsoftware „CryptoWall“ (eine sog. „Ransomware“ – siehe Wikipedia) nutzte bisher Sicherheitslücken bei installiertem Adobe Flash Player®. Hier sollte das neueste Update aufgespielt werden oder das Programm komplett deinstalliert bzw. deaktiviert werden. Erst ab der Flash-Version 18.0.0.160 sei das Programm geschützt vor der neuesten Trojaner-Variante (was aber nicht garantiert wird). Aktuell wird die Version 18.0.0.209 von Adobe® zum kostenlosen Download angeboten.

Wie lukrativ Cyber-Erpressungen sind, zeigt eine Studie von Trustwave® in einem Bericht von com!professional.

Im Übrigen betrifft diese Meldung natürlich nicht nur Unternehmen. Jeder, der über einen Computer ins Internet geht, ob über einen Browser oder per E-Mail-Programm, kann mit dem Schadprogramm auf dem Rechner infiziert werden.

Fast stündlich werden Meldungen im Internet verzeichnet, wo (insbesondere Windows®-) Rechner mit diesem Trojaner infiziert werden.

Schadsoftware entfernen

Wer sich mit diesem Thema beschäftigt, hat wahrscheinlich schon die rote Erpressermeldung von „CryptoWall“ vor sich auf dem Computerbildschirm. Wird das Lösegeld übrigens innerhalb sieben Tagen nicht gezahlt, erscheint eine neue Forderung mit einem höheren Betrag. Was Sie jetzt nicht dazu animieren soll, die Forderung zu begleichen. Es gibt nämlich keine Garantie, dass man anschließend den benötigten Decodierungs-Schlüssel erhält, um wieder an die eigenen Daten gelangen zu können.

Zuguterletzt können wir leider keine bestimmte Vorgehensweise oder Software benennen, die diesen Trojaner entfernen kann. Zu groß ist die Gefahr, dass mit einem zusätzlichen Anti-Viren- oder Anti-Spyware-Programm, das angeblich „CryptoWall“ entfernen kann, die Schadsoftware mit aufgespielt wird. Daher können wir auch nur den oben genannten Empfehlungen der IHK Ostwestfalen zustimmen.


Diesen Bericht teilen: