In der Welt der Cybersicherheit bleibt Ransomware eine der größten Bedrohungen für mittelständische Unternehmen. Eine neue Ransomware-Kampagne namens Shrinklocker nutzt das in Windows integrierte Verschlüsselungstool Bitlocker, um die Daten ihrer Opfer zu verschlüsseln und Lösegeld zu fordern. Bitlocker, das eigentlich zum Schutz von Daten bei Verlust oder Diebstahl des Datenträgers entwickelt wurde, wird hier auf böswillige Weise missbraucht.
Funktionsweise der Shrinklocker-Ransomware
Angriff über VB-Skript
Die Sicherheitsforscher von Kaspersky haben herausgefunden, dass Shrinklocker ein fortschrittliches VB-Skript verwendet, um den Verschlüsselungsprozess zu steuern. Das Skript startet mit einer Analyse des Zielsystems und führt verschiedene Prüfungen durch, um die Kompatibilität sicherzustellen. Sollte das Skript Betriebssysteme wie Windows XP, 2000, 2003 oder Vista erkennen, beendet es sich automatisch und löscht seine Spuren, um Entdeckung zu vermeiden.
Verschlüsselung der Daten
Findet das Skript geeignete Bedingungen vor, modifiziert es die Größe der lokalen Systemlaufwerke und manipuliert das Boot-Setup. Anschließend aktiviert es den Bitlocker-Dienst, sofern dieser noch nicht läuft, um die Daten auf den Laufwerken zu verschlüsseln. Dadurch wird sichergestellt, dass der Zugriff auf die Daten ohne das entsprechende Passwort nicht möglich ist.
Tarnung und Spurenverwischung
Schutzmechanismen umgehen
Das Shrinklocker-Skript deaktiviert die standardmäßigen Schutzmechanismen zur Sicherung des Bitlocker-Schlüssels. Dies verhindert, dass das Opfer den Schlüssel zur Datenwiederherstellung nutzen kann. Ein zufällig generiertes Passwort wird erstellt und an die Angreifer übermittelt. Gleichzeitig wird sichergestellt, dass das Skript mit den unterschiedlichen Eigenheiten der verschiedenen Windows-Versionen umgehen kann.
Spurenbeseitigung
Um die Entdeckung zu erschweren, hinterlässt das VB-Skript keine auffälligen Spuren. Es entfernt erstellte Tasks und löscht Systemprotokolle. Zudem hinterlässt es in neu angelegten Boot-Partitionen die Kontakt-E-Mail-Adresse der Angreifer, damit das Opfer eine Lösegeldzahlung arrangieren kann. Am Ende des Prozesses wird das Zielsystem heruntergefahren, und der Nutzer wird beim nächsten Start mit der Meldung begrüßt, dass keine Bitlocker-Wiederherstellungsoptionen verfügbar sind.
Schutzmaßnahmen gegen Ransomware
Sicheres Passwort und Aufbewahrung der Schlüssel
Um sich vor derartigen Angriffen zu schützen, empfehlen die Kaspersky-Forscher die Verwendung sicherer Passwörter für bestehende Bitlocker-Verschlüsselungen und die sichere Aufbewahrung der Wiederherstellungsschlüssel. Diese sollten niemals auf demselben System gespeichert werden, das verschlüsselt ist.
Regelmäßige Backups
Regelmäßige Backups sind essenziell, um Datenverluste zu vermeiden. Diese sollten automatisiert und auf einem separaten, sicheren Medium gespeichert werden, das nicht permanent mit dem Netzwerk verbunden ist.
Erfahre hier, wie wir deine IT mit unseren Managed Backups nachhaltig absichern, sodass du im Ernstfall schnell wieder einsatzbereit bist.
Minimierung von Benutzerberechtigungen
Es ist ratsam, Benutzer nur mit den notwendigsten Berechtigungen auszustatten, um das Risiko von Ransomware-Angriffen zu minimieren. Durch die Einschränkung der Zugriffsrechte können Angreifer nicht so einfach auf kritische Systembereiche zugreifen.
Überwachung und Monitoring
Ein kontinuierliches Monitoring der Systeme und Netzwerke auf verdächtige Aktivitäten ist unabdingbar. Hier kommen die Managed Service Angebote eines IT-Dienstleisters ins Spiel. Insbesondere Patch Management und Monitoring sind wichtige Komponenten, um Sicherheitslücken zu schließen und frühzeitig auf Bedrohungen reagieren zu können.
Die Rolle von Managed Services im Kampf gegen Ransomware
Patch Management
Patch Management ist ein wesentlicher Bestandteil der IT-Sicherheit. Durch regelmäßige Updates und Patches schließen wir bekannte Sicherheitslücken, die von Angreifern ausgenutzt werden können. Ein professioneller IT-Dienstleister stellt sicher, dass alle Systeme auf dem neuesten Stand sind und überwacht diese Prozesse kontinuierlich.
Proaktives Monitoring
Durch proaktives Monitoring können wir Anomalien und verdächtige Aktivitäten in Echtzeit erkennen. Dies ermöglicht es, schnell auf potenzielle Bedrohungen zu reagieren und Schäden zu minimieren. Ein IT-Dienstleister kann hierbei unterstützen, indem er rund um die Uhr Überwachungsdienste anbietet und bei Bedarf sofort eingreift.
Keine Lust mehr auf Update-Stress und regelmäßige Sicherheitslücken? Unser Patch Management nimmt dir das alles vollautomatisiert ab!
Mit Systempartner Hagen gegen Ransomware & Co.
Dein Unternehmen sollte proaktive Maßnahmen ergreifen, um sich optimal zu schützen. Dies umfasst die Verwendung sicherer Passwörter, regelmäßige Backups, die Minimierung von Benutzerberechtigungen und kontinuierliches Monitoring der Systeme. Systempartner Hagen als Managed Services Provider in der Region Hagen und Dortmund kann hierbei eine wichtige Rolle spielen, indem wir durch Patch Management und Monitoring helfen, Sicherheitslücken zu schließen und Bedrohungen frühzeitig zu erkennen. Durch eine ganzheitliche Sicherheitsstrategie können Unternehmen das Risiko von Ransomware-Angriffen erheblich reduzieren und ihre Daten sicher schützen.
Du möchtest deine IT auch gerne vollautomatisiert absichern, damit du dich mehr auf dein eigentliches Business konzentrieren kannst? Du möchtest am liebsten gar nichts mehr mit deiner IT am Hut haben? Dann lass uns doch einfach mal telefonieren. Gemeinsam finden wir eine geeignete Strategie, um dein Geschäft perfekt abzusichern und noch effizienter zu machen.
Bild: ©zimmytws @ Getty Imagesa
