LKA warnt vor aktuellen Schadsoftware-Angriffen: Insbesondere die Gesundheitsbranche in Form von Krankenhäusern und Pflegeeinrichtungen betroffen
LKA warnt vor aktuellen Schadsoftware-Angriffen: Insbesondere die Gesundheitsbranche in Form von Krankenhäusern und Pflegeeinrichtungen betroffen (Pressemitteilung).
Die Ferienzeit und der Beginn des neuen Ausbildungsjahres werden von Tätern ausgenutzt, um gezielt Betriebe und Einrichtungen anzuschreiben, die nach neuen Mitarbeitern suchen. Aufgrund bestehender Sicherheitslücken in den EDV-Systemen
gelingt es den Tätern Zugang zur IT-Infrastruktur zu erhalten. Hiervon ist
aktuell insbesondere die Gesundheitsbranche in Form von Krankenhäusern und
Pflegeeinrichtungen betroffen.
Eine Variante von Cyber-Erpressungen erfolgt gegenwärtig mittels Ransomware.
Hierbei wird Schadsoftware eingesetzt, die Computersysteme verschlüsseln oder
dem Nutzer nur eine teilweise Nutzung des Computers und den dort hinterlegten
Daten ermöglicht.
Die Schadprogramme werden häufig über massenhaft versandte E-Mails als
Dateianhang und manipulierte Webseiten verbreitet. Erst durch das Öffnen des
E-Mail-Anhangs wird die eigentliche Schadsoftware heruntergeladen. Die Malware
verschlüsselt hauptsächlich Office-Dokumente, Bilder und Videodateien, gepackte
Archive sowie eingebundene Netzlaufwerke. Die von den Tätern verwendete
Schadsoftware wird teilweise täglich - in Einzelfällen sogar stündlich -
aktualisiert und erschwert somit das Erkennen des Schadcodes durch seriöse
Anti-Viren-Programme.
Es gibt unterschiedliche Varianten der Schadsoftware. Teilweise werden
Textdokumente erzeugt, die eine Anleitung zum Erwerb eines individuellen
Dekryptierungsschlüssels enthalten. In anderen Fällen erhält das Opfer eine
E-Mail, in der ein Entschlüsselungs-Key gegen Zahlung einer virtuellen Währung
(z.B. Bitcoins) angeboten wird. In wiederum anderen Fällen wird ein
Pop-up-Fenster mit ähnlichem Inhalt auf dem Bildschirm angezeigt. In jedem Fall
wird gegen eine Zahlung in einer virtuellen Währung, die Entschlüsselung der
betroffenen Systeme in Aussicht gestellt. Um die eigene Seriosität zu
untermauern, werden die IP-Adresse des betreffenden Rechners, dessen
Betriebssystem sowie der verwendete Browser in der Meldung angezeigt.
Das Landeskriminalamt Rheinland-Pfalz empfiehlt keinesfalls auf diese
Forderungen zu reagieren, da eine Zahlung keine Garantie für eine
Entschlüsselung darstellt.
Betroffen sind sowohl Privatpersonen als auch Unternehmen. Darüber hinaus
wurde eine Sicherheitslücke im Remote Desktop Protocol (RDP) bekannt. Das
Remote Desktop Protocol (RDP) ist ein proprietäres Netzwerkprotokoll von
Microsoft für den Fernzugriff auf Windows-Computer. Es ermöglicht das
Darstellen und Steuern des Bildschirminhalts eines entfernten Computers.
Unbekannte Täter gelangen über einen von außen erreichbaren Terminalserver in
das Netzwerk des Geschädigten. Der Täter verfügt hierbei über
Administratorrechte. Das Eindringen des Täters wird durch bestehende
Sicherheitslücken im RDP ermöglicht. Im Nachgang werden die Daten
verschlüsselt.
Es liegen aktuelle Erkenntnisse vor, dass seit Kurzem zu der bereits am
14.05.2019 durch Microsoft kommunizierten kritischen Schwachstelle "BlueKeep"
im Remote Desktop Protocol (RDP) ein kommerziell erhältlicher Exploit zur
Verfügung steht. Exploits sind kleine Programme, die Sicherheitslücken auf
Ihrem Computer ausfindig machen und ausnutzen.
Mit Hilfe des Exploits ist es Angreifern aus der Ferne und ohne Zutun des
eigentlichen Systemnutzers möglich, Daten zu verändern oder zu löschen,
Programme zu installieren oder neue Benutzerkonten mit privilegierten Rechten
einzurichten. Unter anderem das BSI warnte bereits vor dieser kritischen
Sicherheitslücke. Entsprechende Sicherheitspatches wurden inzwischen durch
Microsoft bereitgestellt.
Handlungsempfehlungen:
Es wird empfohlen, betroffene Systeme schnellstmöglich mit den zur Verfügung
gestellten Patches zu aktualisieren. Sollte eine Aktualisierung nicht möglich
sein, wird das Blockieren des RDP Ports (3389) oder das Abschalten des Remote
Desktop Services empfohlen.
Quelle: Pressemitteilung, 01.08.2019
