Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit eine signifikante Zunahme von Angriffen per E-Mail. Wie schon in der Vergangenheit bei Emotet nutzen die Angreifenden
vermeintliche Antworten auf tatsächlich getätigte E-Mail-Konversationen der Betroffenen, um Schadsoftware-Links zu verteilen.
Neu ist allerdings, dass die gefälschten E-Mails dabei über die legitimen Mailserver der Absender selbst verschickt werden, sodass technische Detektion und Erkennung durch den Leser deutlich erschwert werden. Es ist also davon auszugehen, dass die Angreifenden Zugriff auf den Mailserver haben, welcher dann selbst “ordnungsgemäß” als Absender fungiert. Die Links verweisen auf verschiedene Schadsoftware-Varianten, wie Qakbo, DanaBot und SquirrelWaffle. Eine Infektion zum Beispiel mit QakBot führt meist zur Kompromittierung des gesamten Netzwerks und schlussendlich zu einem Ransomware-Vorfall bei den Betroffenen. Allerdings kann auch eine Infektion mit DanaBot oder SquirrelWaffle einen Ransomware-Vorfall nach sich ziehen. Wie die Täter Zugriff auf den Mailverkehr erhalten, ist zum aktuellen Zeitpunkt noch unklar.
Bewertung
Das BSI geht davon aus, dass für die Angriffe seit längerem kompromittierte Exchange-Server verwendet werden. Anlass für diese Einschätzung sind die im Laufe des Jahres immer wieder erfolgreichen Angriffe über kritische Schwachstellen in diesen Systemen. Vor diesen Angriffen hatte das Bundesamt bereits damals gewarnt (u.a. im März, Oktober ). Gleichzeitig ist nicht klar, welche Schwachstelle konkret für diese derzeitigen Attacken genutzt wird. Selbst ein aktueller Patch-Stand auf Exchange-Servern ist kein sicherer Indikator dafür, dass eine Kompromittierung ausgeschlossen werden kann. Oftmals bestand die akute Gefahr, dass das System sehr schnell, also bereits vor dem Einspielen eines Updates, kompromittiert wurde. Zugangsdaten für diese infizierten Systeme werden aktuell auf Untergrund-Marktplätzen im Internet gehandelt (Access Broker / Access-as-a-Service). Bei dem Verdacht auf Kompromittierung des Exchange-Servers empfiehlt das BSI, den Server neu aufzusetzen und nötige Daten wiederherzustellen.
Bei einer Infektion mit Qakbot kommt es in der Folge häufig zu einer vollständigen Kompromittierung des ganzen Netzwerks. Aufgrund der zumeist weitreichenden Infektion muss in der Regel das ganze Netzwerk neu aufgesetzt werden! Derart massive Vorfälle, wie bei Kompromittierungen mit QakBot, konnten unabhängig von der jetzt beobachteten Kampagne auch bei der Malware DanaBot beobachtet werden. SquirrelWaffle ist eine relativ neue Malware, welche als Loader auch weitere Malware nachladen kann und somit ebenfalls einen Einstiegspunkt für Ransomware-Angreifer darstellen kann. So wurde bereits beobachtet, dass über SquirrelWaffle die Malware QakBot nachgeladen wurde, denn all diese Netzkompromittierungen sind i.d.R. Grundlage für den dann anschließenden Einsatz von Ransomware.
Aus Sicht des BSI muss grundsätzlich davon ausgegangen werden, dass diese gefälschten E-Mails mit ihrer erweiterten Vortäuschmethodik erfolgreicher sein könnten, als damals Emotet. Noch ist die Anzahl der versandten / geharvesteden E-Mails aber viel geringer, wodurch das akute Schadenspotenzial derzeit relativiert wird.
Mögliche Auswirkungen
Der geschilderte Vorfall kann grundsätzlich alle Internetnutzenden treffen und die dargestellten Konsequenzen haben:
- vollständige Kompromittierung von einzelnen IT-Systemen oder ganzen Netzen
- Kompromittierung von IT-Systemen und ganzen Netzen bei Kunden, Lieferanten und anderen Partnern durch E-Mails, die im Namen der eigenen Institution versandt wurden
- Verschlüsselung und Datenverlust durch den anschließenden Einsatz von Ransomware
- Offenlegung von vertraulichen Daten durch Angreifende
- weitere Druckmaßnahmen
Fragen an IT-Sicherheitsverantwortliche
- Sind die aktuellen Updates auf Exchange-Servern eingespielt?
- Wie groß waren die Zeitfenster zwischen dem Bekanntwerden von Exchange-Server Schwachstellen und dem Ausrollen der Patches?
- Kam es in der Vergangenheit bereits zu Auffälligkeiten beim Exchange-Betrieb?
- Wurden die vom BSI bereitgestellten Empfehlungen umgesetzt?
www.bsi.bund.de