LKA warnt
Netzwerkzugriffe immer prüfen
Wie machen die Betrüger das?
1. Zunächst überfluten die Angreifer ausgewählte, geschäftliche E-Mail-Postfächer des betroffenen Unternehmens mit einer massiven Welle an SPAM-E-Mails. Hierzu werden durch die Angreifer unter anderem mehrere hunderte bis tausend Newsletter-Abonnements auf die betroffenen E-Mail-Postfächer abgeschlossen. Diese sogenannte E-Mail-Bombe führt dazu, dass die Benutzer der Postfächer stark in ihrer Arbeitsfähigkeit eingeschränkt werden.
2. Im Anschluss, meist nach mehreren Stunden oder Tagen, meldet sich der Angreifer direkt bei den Benutzern der betroffenen E-Mail-Postfächer. Der Angreifer verwendet hierzu in der Regel eine durch das betroffene
Unternehmen genutzte Kommunikations- oder Chat-Plattform. Der Angreifer gibt vor, mit der Beseitigung des Problems beauftragt worden zu sein und verleitet den betroffenen Benutzer dazu, ihm über die genutzte Kommunikations- oder Chatplattform Zugriff auf den Rechner zu gewähren.
3. Sobald die Steuerung des Rechners durch den betroffenen Benutzer freigegeben wurde, versucht der Angreifer, fremde Programme und/oder Schadsoftware auf den betroffenen Rechner nachzuladen und zu installieren. Insbesondere die Installation von Fernzugriff- und Wartungs-Softwarelösungen konnte festgestellt werden. Ziel des Angreifers ist hier die Schaffung eines dauerhaften Zugangs zur IT-Infrastruktur des betroffenen Unternehmens.
Nach Schaffung des Zugangs konnte beobachtet werden, dass durch den Angreifer versucht wird, Unternehmensdaten auszuspähen, zu exfiltrieren sowie weitergehende Nutzerfreigaben einzurichten oder zu verändern. In einem Fall kam es wenige Tage nach dem Vorfall unter Verwendung eines Verschlüssungstrojaners zu einem sogenannten Ransomware-Angriff auf IT-Infrastruktur des betroffenen Unternehmens.
Handlungsempfehlungen für IT-Verantwortliche
Prüfen Sie, ob die Steuerungsfunktionalität der Kommunikations- und Chatplattform global aktiviert ist. Deaktivieren Sie diese, sofern nicht unternehmensrelevant. Unterbinden Sie die Möglichkeit von externen RDP-Verbindungen durch entsprechende Konfiguration der Firewall. Implementieren Sie für RDP-Verbindungen eine Allowlist. Passen Sie die entsprechenden Gruppenrichtlinen an, um die Installation von externer RDP-Software zu verhindern. Stellen Sie sicher, dass Sie auch offline (telefonisch) von Mitarbeitern erreicht werden können. Überprüfen Sie die Einstellungen Ihrer Mail-Server, insbesondere der des SPAM-Filters, bei einer vorliegenden SPAM-Welle.
Und für Mitarbeiter
Kontaktieren Sie proaktiv den oder die firmeninternen IT-Verantwortlichen, falls Ihr Postfach von SPAM-E-Mails überflutet wird.
Seien Sie generell misstrauisch, falls sich eine unbekannte Person meldet und Ihnen bei IT-Problemen helfen möchte. Fragen Sie nach einer Rückrufmöglichkeit, gleichen diese ab und lassen Sie sich den Auftrag von Ihrer IT oder Ihrem Vorgesetzten bestätigen. Sollten Sie einer fremden Person dennoch Zugriff gewährt haben, trennen Sie Ihren Rechner sofort vom Netzwerk, indem Sie das Netzwerkkabel ausstecken und informieren Sie unverzüglich den IT-Verantwortlichen Ihres Unternehmens. Schalten Sie den betroffenen Rechner nicht aus.
Quelle: Landeskriminalamt, Zentrale Ansprechstelle Cybercrime (ZAC)
Zur Übersicht