Datenverschlüsselung durch GandCrab: Der Countdown läuft!

von Florian Egert

Warum ein rückspielbares Backup für Unternehmen so wichtig ist – ein Praxisbeispiel des Allgeier CORE Response & Emergency Teams

Seit Jahresbeginn rollt eine neue Ransomware-Welle auf Unternehmen zu: Eine neue Version der GandCrab Ransomware verschickt gefälschte Bewerbungen an Personalabteilungen, um deren IT-Systeme mit Schadcode anzugreifen. Die Schadsoftware kann sich hierbei in einer verschlüsselten Archiv-Datei (RAR oder ZIP), in einer als PDF-Datei getarnten EXE-Datei oder auch in einem Word-Dokument mit Makros verstecken. Beim Öffnen des Dokumentes im Anhang wird im Hintergrund der Trojaner ausgeführt und damit die Verschlüsselung von Dateien des betroffenen Unternehmens erreicht.

Auch ein mittelständisches Unternehmen mit mehr als 150 Angestellten meldete sich jüngst beim Response & Emergency (R&E) Team der Allgeier CORE.
Die Schadsoftware gelang durch das Öffnen einer vermeintlichen E-Mail-Bewerbung in deren Unternehmensnetzwerk und verschlüsselte nicht nur den lokalen Rechner des Mitarbeiters, sondern auch noch den mittels Dateifreigabe angebundenen Server. In diesem Zuge wurden alle wichtigen Datenbanken mit Dateien des Tagesgeschäftes verschlüsselt. Eine Betriebsfähigkeit des Unternehmens war zu diesem Zeitpunkt nicht mehr gegeben.

Die Erpresser forderten ein Lösegeld in Höhe von 1.500 USD für die Entschlüsselung der Daten, zahlbar in Bitcoin:

In diesem Zusammenhang ist zu bedenken, dass Cyberkriminellen niemals vertraut werden darf: Sie ignorieren ihre Opfer oft, nachdem gezahlt wurde oder legen nach der Entschlüsselung einiger weniger Dateien ein noch höheres Lösegeld fest.

Da es darüber hinaus für die neueste Version von GandCrab aktuell noch kein Entschlüsselungs-Tool gibt, empfahl das R&E Team von Allgeier CORE seinem Kunden zunächst, das letzte Backup zurückzuspielen.

Leider stellte sich heraus, dass das existierende Backup ca. drei Jahre alt war und somit dem Unternehmen keine andere Möglichkeit belieb, als die geforderte Lösegeldsumme zu zahlen. Die Website des Erpressers beinhaltete einen Countdown, der anzeigte, wann sich die Lösegeldsumme verdoppeln würde. Somit war Eile geboten.
Die R&E-Experten von Allgeier CORE wurden mit dem Kauf von Bitcoins, der Abwicklung des Zahlungsvorgangs und der Entschlüsselung der Daten beauftragt.

Die erste Herausforderung bestand in dem Kauf der Bitcoins. Es mussten Kursschwankungen und die Miner-Gebühr mit eingerechnet werden, denn die zu transferierende Anzahl Bitcoins, denen ein Wert von 1.500 USD gegenüberstand, wurden durch den Erpresser alle zwei Stunden neu berechnet.

Nachdem unsere Experten die Zahlung von 0.45646352 BTC auf die Wallet des Erpressers gesendet hatten, waren die Beteiligten gezwungen zu warten. Die Transaktion muss von verschiedenen Bitcoin-Minern verifiziert und in den Transaktionsblock gesetzt werden.*

Bevor dies abgeschlossen werden konnte, erhöhte sich auf der Erpresser-Webseite plötzlich durch Kursschwankung die zu zahlende Menge Bitcoin. Dem R&E Team fehlte von einer Minute auf die andere plötzlich umgerechnet 10ct, um das Entschlüsselungsprogramm zu erhalten. Zu diesem Zeitpunkt, nachts um 1:00 Uhr, waren es nur noch 6 Stunden, bis das Lösegeld sich auf 3.000 USD verdoppelte. Es blieb eine geringe Hoffnung, dass der Bitcoin-Kurs wieder stieg. Nach 2 Stunden erfolgte die nächste Anpassung auf der Webseite des Erpressers - der Bitcoin-Kurs war mittlerweile wieder gestiegen. Die Anspannung fiel von allen Beteiligten ab, als die Nachricht: „Paid 1.500 USD – Download Decryptor“  auf dem Bildschirm erschien.

Nach dessen Download wurde mit Spannung erwartet, ob damit auch die Dateien entschlüsselt werden konnten. Nach weiteren Stunden des Entschlüsselns stand fest, dass alle Dateien des Kunden wieder lesbar waren.

Das Thema GandCrab verfolgt Allgeier CORE jedoch auch nach erfolgreichem Projektabschluss weiter, denn das Telefon klingelte erneut – ein weiteres Unternehmen konnte nicht arbeiten und ein vorhandenes Backup war nicht lesbar...

Wie schützen Sie sich und Ihr Unternehmen am wirkungsvollsten vor einem Ransomware-Angriff?

Hier kommen die 8 wichtigsten Tipps unseres Response & Emergency Teams

  1. Sichern Sie Ihre Daten! Denken Sie daran, den Datenträger nach Erstellen des Backups nicht am Computer zu belassen, da sonst die Gefahr besteht, dass auch Ihr Backup verschlüsselt wird.
  2. Testen Sie regelmäßig, ob das Backup auch lesbar ist und zurückgespielt werden kann. Ein nicht funktionsfähiges Backup ist so viel wert wie kein Backup.
  3. Halten Sie die komplette Software auf Ihrem Computer auf dem neuesten Stand.
  4. Verwenden Sie robuste Antivirensoftware.
  5. Aktivieren Sie die Option 'Dateierweiterungen anzeigen' in den Windows-Einstellungen auf Ihrem Computer: Windows blendet standardmäßig bekannte Datei-Endungen aus, was von Cyberkriminellen ausgenutzt werden kann. Lautet dann beispielsweise der ein Dateiname einer per E-Mail empfangenen Datei „Bewerbung.pdf“, so identifiziert der Empfänger diese als vermeintliche "pdf"-Datei. In der Realität handelt es sich jedoch um die Datei „Bewerbung.pdf.exe“ und wäre somit eine ausführbare Datei, die beim Öffnen evtl. Schadsoftware installiert.
  6. Trauen Sie niemandem und überprüfen Sie den Absender einer E-Mail mehrmals. Grundsätzlich sollte man einigen Dateitypen in E-Mails misstrauisch gegenüberstehen. Hierzu gehören u.a: .asf, .exe, .avi, .mov, .mpg, .bat, .scr, .zip, .rtf, .doc, .pif, .reg sowie .vbs
  7. Sollten Sie bemerken, dass Dateien auf Ihrem Computer verschlüsselt werden, so trennen Sie diesen sofort vom Internet und anderen Netzwerk-Verbindungen (WLAN), um den Prozess zu beenden.
  8. Wir empfehlen, kein Lösegeld zu zahlen – zumindest nicht selbstständig und ohne Überprüfung von alternativen Lösungsmöglichkeiten durch IT-Sicherheitssxperten. Es gibt niemals eine Garantie, dass Sie einen Entschlüsselungscode erhalten! Je häufiger Geld an Cyberkriminelle überwiesen wird, umso mehr verbreitet sich unter diesen die Überzeugung, dass Erpressung mittels Ransomware funktioniert.

* Hier gibt es einen Einblick in aktuelle, unbestätigte Transaktionen:
https://www.blockchain.com/de/btc/unconfirmed-transactions

Zurück