Erpressungsversuche durch Kryptotrojaner

03.12.2019

Im September wurden PCs der Uni Würzburg mit einem Kryptotrojaner infiziert, das Rechenzentrum konnte den Schaden jedoch in Grenzen halten. Was sollten Mitarbeitende der Uni im Umgang mit E-Mails verstärkt beachten?

Mit einem Kryptotrojaner werden Dateien verschlüsselt. In der Regel wird dann ein Lösegeld für diese Dateien verlangt. (Bild: Pixabay)

Im September 2019 wurden über Nacht tausende von Mails mit einem darin enthaltenen Link an Mitarbeiterinnen und Mitarbeiter der Julius-Maximilians-Universität Würzburg (JMU) verschickt. Wurde dieser Link angeklickt, öffnete sich ein Word-Dokument, welches nach einem weiteren Bestätigungsklick ein sogenanntes Makro ausführte. Dieses lud Schadsoftware auf den Rechner und verschlüsselte anschließend die lokalen und im Netz verfügbaren Dateiverzeichnisse, darunter persönliche Laufwerke oder Institutslaufwerke.

Matthias Funken, CIO und Leiter des Rechenzentrums der JMU, erklärt im Gespräch, was genau vorgefallen ist und was User mit einem Uni-Account beim Umgang mit ihren E-Mails beachten sollten.

Herr Funken, der Vorfall im September 2019 war nicht der erste Angriff auf das IT-Netz der Universität. Aber er hatte schwerere Folgen? Ja. Zum einen nimmt die Anzahl der Angriffe auf unsere Universitäts-IT kontinuierlich zu. Zum anderen haben bei diesem Vorfall erstmals in größerem Umfang Mitarbeiter den Trojaner aktiviert, indem sie den Anhang der Mail geöffnet und das darin enthaltene Makro gestartet haben. Die große Herausforderung bei den heutigen Angriffsmustern ist, dass sie dezentral und über den Menschen laufen. Zentrale und rein technische Maßnahmen reichen zum Schutz unserer Infrastruktur und Daten leider nicht mehr aus, was uns dieser Vorfall deutlich gezeigt hat.

Was ist passiert? Der aktivierte Trojaner hinterließ auf den 136 betroffenen Rechnern eine Datei mit dem Namen ‚ALL YOUR FILES ARE ENCRYPTED‘ in den bereits verschlüsselten Verzeichnissen, der die Nutzer dazu aufforderte, eine der verschlüsselten Dateien an eine spezielle E-Mail-Adresse zu schicken. Die Erpresser entschlüsseln diese Datei im Anschluss zum Beweis, dass sie dazu in der Lage sind. In der Folge wird mit der entschlüsselten Datei eine Lösegeldforderung überstellt, die sich nach der Größe der betroffenen Einrichtung richtet. Von vergleichbaren Fällen wissen wir, dass eine Universität wie die JMU mit einer Lösegeldforderung im sechsstelligen Bereich zu rechnen hätte. Es stellte sich im Nachgang heraus, dass es sich bei dem Trojaner um eine sogenannte Ransomware (Erpressungstrojaner, Anmerk. d. Red.) namens ‚Buran‘ handelt.

Wie konnten die Forderungen der Erpresser verhindert werden? Das Rechenzentrum reagierte sofort nach Bekanntwerden der ersten Meldungen aus dem Nutzerkreis. Nach Rücksprache mit Präsidium und Datenschutz fuhren wir die Mail- und Datenserver herunter. Außerdem wurde die Verbindung zum Angreifersystem auf der Firewall der Universität gesperrt und die Datensicherungen sofort gestoppt.

Was wurde dadurch erreicht? Einerseits konnte eine weitere Ausbreitung der Verschlüsselung auf weitere Rechner und auf Netzlaufwerke verhindert werden. Andererseits konnten die betroffenen Rechner relativ schnell neu installiert und durch die Datensicherung des Vortages wieder in einen halbwegs aktuellen Stand gebracht werden. Insgesamt hat die Beseitigung der Folgen allerdings rund drei Wochen gedauert.

Wie können Mitarbeiterinnen und Mitarbeiter der Uni Gefahren durch Trojaner und Viren im Arbeitsalltag erkennen oder minimieren? Es gibt ein paar einfache Regeln, die man sich in unklaren Fällen immer wieder in Erinnerung rufen muss. Keine zweifelhaften E-Mails bearbeiten und beantworten. Fragen Sie sich, ob Ihnen der der Adressat einer E-Mail bekannt ist. Seien Sie bei Dateianhängen besonders kritisch. Verwenden Sie Software und Daten aus sicheren Quellen. Verwenden Sie sichere Passwörter. Und natürlich: Geben Sie keine sensiblen Informationen, wie Login und Passwort, preis. Darüber hinaus wird das Rechenzentrum in der nächsten Zeit weitere Maßnahmen einleiten, um Zahl und Auswirkungen solcher Angriffe möglichst gering zu halten.

Das heißt, die Gefahr ist vorüber? Keineswegs. Wir können alle nur versuchen, die Wahrscheinlichkeit erfolgreicher Angriffe zu minimieren. Gänzlich verhindern lassen sie sich bei weiter steigenden Aktivitäten von Erpressern im Netz leider nicht.