Das besondere: im Vergleich zu bisherigen Trojanern legt sich «SODINOKIBI» in den Hintergrund – häufig unauffällig für lokale Virenschutzlösungen, späht als „Schläfer“ Zugänge, Passwörter und Freigaben im lokalen Netzwerk aus.
Bereits weit vor dem erkennbaren Ausbruch der Infektion war der Trojaner meist schon im Netzwerk, hat damit auch die wichtigen Back-ups infiziert und wertlos gemacht hat. Auch Datensicherungsplatten (NAS) sind betroffen.
Im Anschluss: verlangen die Erpresser mit hoher krimineller Energie eine Menge Geld. Doch eine Garantie für die Entschlüsselung gibt keiner.
Diese Dynamik macht den Trojaner so schmerzhaft und bringt aktuell viele IT-Sicherheitsdienstleister um den Schlaf. Alle gegenwärtigen Sicherheitsstrategien stehen auf dem Prüfstand, neue Strukturen und Überwachungsprozesse müssen eingerichtet werden.
Diese Verbreitungswege sind denkbar
- Kritische Windows-Schwachstellen
Gemäß Pressemitteilung des BSI hat Microsoft schwerwiegende Schwachstellen in den Remote-Desktop-Services (RDS) für sein Betriebssystem Windows veröffentlicht. Mindestens zwei davon sind wurmfähig. Bedeutet: die Angreifer erstellen per Zufallsprinzip Kombinationen aus Benutzernamen und Kennwort und versuchen den richtigen RDP-Zugang in Ihr Netzwerk zu finden.
→ PC CADDIE://online hat zum Schutz die neuen Windows Patches für alle Netwatch-Kunden eingespielt und überwacht gleichzeitig die RDP-Angriffe in den Cloud-Installationen.
Brisant: auf dem Server eines Kunden sind in den letzten 48 Stunden 500 RDP-Angriffsversuche eingegangen. - SPAM-Kampagnen und Mailvertising
Der Trojaner kann auch über Phishing-Mails kommen, also Nachrichten mit verstecktem Schadcode, die sich als wichtige Botschaften von bekannten Kunden oder Geschäftspartnern tarnen. Die E-Mails sind perfekt auf die Zielgruppe angepasst, z.B. Bewerbungen an Personalbeauftragte oder Mahnungen an Buchhaltungs-Abteilungen. Ein falscher Klick, und die Angreifer sind im System.
Das BSI rät allen Windows-Nutzerinnen und Nutzern, die bereitgestellten Updates umgehend einzuspielen.
Die PC CADDIE://online IT-Administratoren empfehlen ihren Kunden als Schutzmaßnahme, zusätzlich zur lokalen Sicherung, eine komplette Spiegelung der Daten in die PC CADDIE://online Cloud zu beauftragen. Zurzeit ist das die einzige Alternative, um nach so einer kriminellen Verschlüsselung auf die Daten zugreifen zu können.
› PC CADDIE://online Newsletter | Bedrohung durch neueste Generation von Crypto-Malware
Allen Golfclubs und Golfbetrieben, die ihre Datensicherung über einen eigenen IT-Dienstleister beauftragt haben, möchten wir raten, auf dem schnellstem Weg nachzufragen, wie für so einen Fall vorgesorgt ist.
Bleiben Sie bitte weiterhin wachsam!
Ihre Fragen senden Sie gern an unsere IT-Administratoren per E-Mail an support (at) pccaddie-online.de. Unsere Quellen mit Informationen, wie Sie sich schützen können:
› https://www.heise.de/security/meldung/Sodinokibi-aka-REvil-der-neue-Shooting-Star-der-Ransomware-Szene-4483691.html (zuletzt abgerufen am 16.08.2019)
› https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html (zuletzt abgerufen am 16.08.2019)
› https://www.heise.de/security/meldung/Emotet-bei-Heise-Fachgespraech-zum-Schutz-vor-Cybercrime-4476253.html (zuletzt abgerufen am 16.08.2019)
› https://www.sueddeutsche.de/digital/ransomware-service-sodinokibi-1.4554518 (zuletzt abgerufen am 16.08.2019)
