So zerstörerisch sind die Wiper-Schadprogramme in der Ukraine
Im Cyberkrieg, der die russische Invasion der Ukraine flankiert, kommt besonders destruktive neuartige Malware zum Einsatz: HermeticWiper für die Datenlöschung, HermeticWizard für die Verbreitung im lokalen Netzwerk und HermeticRansom als Lockvogel-Ransomware. Thomas Uhlemann, Security Specialist & Evangelist bei Eset, erklärt, wie gross das Risiko ausserhalb der Ukraine ist und wie man sich schützt.
Welche Gefahr geht von den neu entdeckten Wiper-Malware-Familien aus?
Thomas Uhlemann: Die Gefahr ist weit höher als bei "klassischer Ransomware". Bei Wiper Malware wird in der Regel der gesamte Festplatteninhalt erst mehrfach überschrieben und anschliessend gelöscht. Die Daten sind somit kaum bis gar nicht wiederherstellbar. Ausserdem ist zu befürchten, dass Cyberkriminelle diese Art von Attacken als Bedrohungsszenario oder Eskalationsstufe für Ransomware-Angriffe implementieren werden.
Wer steckt hinter diesen Attacken?
Wer genau hinter den Attacken steckt, kann zum jetzigen Zeitpunkt nicht zuverlässig beantwortet werden. Klar ist, dass keine der Komponenten genügend Ähnlichkeiten zu bereits bekannten Kampagnen aufweist, als dass eine Attribution möglich wäre. Das Ziel ist jedoch klar, dass Systeme der Infrastruktur der Ukraine komplett unbrauchbar gemacht werden sollen.
Welche Auswirkungen hatten die Schadprogramme auf die Ukraine?
In der aktuellen Situation Auswirkungen auf die Ukraine nur einer Attacke im Cyberraum zuzuschreiben, ist schlicht unmöglich. Dazu ist einerseits die Informationslage im Kriegsgebiet zu ungenau und andererseits stehen das Land und seine Wirtschaft im Krieg und somit auch unter physischen Attacken seitens russischer Truppen. Unsere Schutzlösungen, und mittlerweile auch die anderer Anbieter (sofern sie auf ukrainischen Systemen laufen), erkennen jedoch die Attacken, mögliche Varianten davon und auch künftige Neuentwicklungen.
Gemäss Eset deuten die Analyseergebnisse darauf hin, dass die Angriffe seit mehreren Monaten geplant wurden. Woran erkennen Sie das?
Das missbrauchte Code-Signatur-Zertifikat, ausgestellt auf Hermetica Ltd., ist bereits im April 2021 erstellt worden. Wir haben starke Hinweise darauf, dass die Angreifer selbst sich gegenüber DigiCert als Hermetica ausgaben. Ausserdem sind die Zeitstempel, also der digital festgehaltene Zeitpunkt der Erstellung des Schadcodes, bereits Monate alt. Im Falle von HermeticWiper ist das der 28.12.2021, IsaacWiper wurde am 19.10.2021 kompiliert. Das und die Tatsache, dass die Angreifer in mindestens einem Fall Zugriff auf das Active Directory einer späteren Opfer-Organisation hatten und dort zum Zeitpunkt X per Windows-Gruppenrichtlinie die Attacke starten konnten, deutet auf monatelange "Vorarbeit" der gesamten Kampagne hin.
HermeticRansom wird als Lockvogel-Ransomware bezeichnet. Was ist damit genau gemeint?
HermeticRansom ist ein schlecht implementierter Verschlüsselungstrojaner, der Daten verschlüsselt und eine Lösegeldforderung anzeigt. Das soll IT-Teams von der eigentlichen und parallel stattfindenden Wiper-Attacke ablenken und Ressourcen binden.
Wurden die Schadprogramme bereits ausserhalb der Ukraine entdeckt? Bzw. wie wahrscheinlich ist es, dass diese Schadprogramme ausserhalb der Ukraine auftauchen werden?
Aktuell haben wir keine Kenntnis über HermeticWiper-Attacken in anderen Ländern. Die gleichen Schadprogramme sind zudem für einen weiteren Einsatz "verbrannt", da mittlerweile fast jede Schutzlösung auf sie reagiert. Es ist allerdings mehr als wahrscheinlich, dass sämtliche Cybercrime-Akteure zukünftig Wiper ins Arsenal aufnehmen werden.
Wie kann man sich davor schützen?
Schutz ist wie bei jeder anderen Cyberattacke möglich. Grundsätzlich gehört dazu:
eine gute Schutzlösung, lokal und in der Cloud,
zeitnahes Einspielen von Updates & Patches,
2-Faktor-Authentifizierungen überall, wo es möglich ist,
eine konsequente Umsetzung von "Zero Trust"
und eine gut geplante und getestete Backup-Strategie.
Das gepaart mit regelmässigen Informationen und Awareness-Übungen mit dem gesamten Personal setzt die Hürden für einen erfolgreichen Angriff schon recht hoch. 100-prozentige Sicherheit ist allerdings leider illusorisch.
Mehr zum Cyberkrieg in der Ukraine können Sie hier im Onlinedossier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Softwareone-Aktionäre wechseln fast alle Verwaltungsräte aus
Luzerner Kantonsspital digitalisiert die Dienstplanung
Rauchende Köpfe und Küchen beim Swico
Meta präsentiert die nächste Llama-Generation
visiONstage – wo Business auf Zukunft trifft
United Security Providers bekommt neuen Chef
Swisspro-Gruppe wird Opfer eines Ransomware-Angriffs
Immer weniger Ransomware-Opfer zahlen Lösegeld
Noser Group wächst weiter
