Schutz vor DoppelPaymer - der aktuellsten Ransomware-Bedrohung

Der erste Ransomware-Angriff hat bereits 1989 stattgefunden. Delegierte der AIDS-Konferenz der Weltgesundheitsorganisation in Stockholm erhielten Disketten mit schädlichem Code, der sich auf ihren MS-DOS-Systemen selbst installierte.

Nachdem die infizierten Rechner 90 Mal hochgefahren wurden, verbarg der Trojaner alle Verzeichnisse und verschlüsselte alle Namen der auf den Festplatten gespeicherten Dateien. Die Opfer erhielten eine Nachricht, dass eine Softwarelizenz abgelaufen sei und sie per Post 189 Dollar senden sollten, um wieder auf ihre Systeme zugreifen zu können.
Die Zeiten der Diskette sind lange vorbei, aber die Methode, Lösegeld für den Zugriff auf manipulierte Daten und Systeme zu erpressen, hat sich bis heute nicht geändert. Ransomware zählt zu den schwerwiegendsten Bedrohungen für die Cybersicherheit überhaupt und der jüngste DoppelPaymer-Angriff hat gezeigt, dass mit einer Minderung dieser Bedrohung kaum zu rechnen ist.

Was ist DoppelPaymer?

DoppelPaymer ist eine Weiterentwicklung der Ransomware BitPaymer, die erstmals im Sommer 2019 auftauchte. BitPaymer selbst verwendete Dridex für Lateral Movement und die Verbreitung innerhalb von Netzwerken. 

Mit DoppelPaymer wurde Ransomware nun auf ein neues Level gehoben. Während die Daten bei früheren Ransomware-Angriffen nur verschlüsselt wurden, um vom Eigentümer ein Lösegeld zu erpressen, wird bei DoppelPaymer zusätzlich damit gedroht, dass sie veröffentlicht werden könnten. Dies hat schwerwiegende Folgen für die Eigentümer der Daten, da sie nun auch eine Datenschutzverletzung riskieren.

Der jüngste Angriff dieser Art auf Visser erregte viel Aufsehen. Dies lag zum einen an der Prominenz des geschädigten Unternehmens – Visser ist ein wichtiger Teilelieferant für bedeutende Marken wie Boeing, Tesla und SpaceX – und zum anderen an der Struktur von DoppelPaymer.

Die Malware zur Verschlüsselung von Dateien extrahiert zunächst die Unternehmensdaten und deckt den Diebstahl erst dann auf, wenn das Unternehmen die Ransomware-Webseite aufruft, um das Lösegeld zu bezahlen. Dies bedeutet, dass Unternehmen den Datendiebstahl möglicherweise nicht einmal bemerken, was eine erhebliche Sicherheitslücke öffnet.

DoppelPaymer zielt darauf ab, dass Angestellte eine E-Mail öffnen, die ein Word-Dokument und ein Passwort zum Öffnen dieser Datei enthält. Sobald ein Nutzer die Datei geöffnet hat, kann die Ransomware in das Netzwerk eindringen und auf beliebige Daten zugreifen.

Wirksame Abwehr von DoppelPaymer

Die von DoppelPaymer ausgehende Bedrohung beunruhigt die Cyber Security-Teams vieler Unternehmen. Die Bekämpfung von Ransomware umfasst viele verschiedene Maßnahmen, angemessene Cybersicherheit ist allerdings einer der wichtigsten Faktoren. Viele unserer Kunden nutzen unsere Funktionen der Adaptive Data Loss Prevention (A-DLP) Features, um sich vor Ransomware-Angriffen zu schützen. Dies umfasst auch Structural Sanitization, um schädlichen (aktiven) Code und verborgene Payloads zu erkennen und zu entfernen.

Im Fall von DoppelPaymer kann Structural Sanitization jedoch nicht erkennen, was sich innerhalb der Datei befindet, sodass wir nur die Tatsache nutzen können, dass sie verschlüsselt ist. Unternehmen können per Policy festlegen, dass passwortgeschützte Dokumente ausschließlich von vertrauenswürdigen Absendern zulässig sind, was die Bedrohung durch DoppelPaymer weitreichend eindämmen kann. Idealerweise sollten Nutzer die E-Mail-Verschlüsselung verwenden, da dies wesentlich sicherer ist.
Die Bedrohungen durch Ransomware werden zweifellos zunehmen, denn Cyber-Kriminelle gehen immer nachhaltiger und zielgerichteter vor, auch werden die Konzepte immer ausgefeilter. Unternehmen hingegen setzen ihre IP-Adressen, Daten und ihre Reputation einem erheblichen Risiko aus, wenn sie die Gefahr durch Ransomware nicht angemessen eindämmen, ganz zu schweigen von den unglaublichen Lösegeldforderungen, die offenbar zur Norm werden.

Wie gut wäre Ihr Unternehmen auf einen DoppelPaymer-Angriff vorbereitet? Wenn Sie nicht sicher sind, kontaktieren Sie einen unserer Ransomware-Experten, um zu erfahren, wie Clearswift Ihnen helfen kann, sich dagegen zu schützen.