Seit einiger Zeit wildert die neue Ransomware PonyFinal im Internet rum und macht vor allem Organisationen im Gesundheitsbereich das Leben schwer. Über Twitter hat das Sicherheitsteam von Microsoft regelmäßig Tweets über die neue Bedrohung abgesetzt und gibt auch Tipps, wie man sich schützen kann.
Das Besondere an dieser Ransomware ist, dass sie Java-basiert ist und diese Art von Bedrohung eigentlich nur bei nationalstaatlichen Angriffen genutzt wird. Immer häufiger nutzen aber auch Internetkriminelle diese Art der Bedrohung, um an ihr Geld zu kommen.
Wie bei jeder Ransomware ist auch bei PonyFinal am Schluss eine Zahlungsaufforderung gegeben, um wieder an die alten Dateien zu kommen. Dabei ist bei den verschlüsselten Daten die Endung .enc zu finden, wobei die Aufforderung zur Zahlung eine simple Textdatei ist. Und natürlich muss auch hier wieder mit Bitcoins (300 Bitcoins, entspricht circa 2.431.600 Euro) bezahlt werden, um den erlösenden Schlüssel zu erhalten.
Passend zur Corona-Krise kamen die ersten Meldungen über diese neue Ransomware aus Ländern wie USA, Iran und Indien. Diese Art der Bedrohungslage ist typisch für Ransomware, da die Effektivität höher wird, desto mehr Nutzungslast im Internet zu finden ist. Die Corona-Krise scheint hier wohl den Machern hinter PonyFinal in die Hände gespielt zu haben. Natürlich liegt es da nur Nahe, dass auch die Opfer aus systemkritischen Dienstleistungen wie dem Gesundheitswesen stammen.
Um die Ransomware zielsicher an den Mann zu bringen, verwenden die Angreifer Fehlkonfigurationen und nutzen Sicherheitslücken aus oder verwenden auch gestohlene Anmeldeinformationen. Bei PonyFinal wird vorwiegend mit Brute-Force-Angriffen gearbeitet, die auf die Unternehmensserver der Systemverwaltung zielen. PowerShell-ReverseShell sowie Datendumps werden ausgeführt, indem ein VB-Skript bereitgestellt wird. Damit die Ereignisprotokollierung umgangen werden kann, nutzen die Angreifer zudem Remote-Manipulator-Systeme. Haben sie ihr Ziel erreicht, infizieren sie natürlich auch sehr schnell andere Systeme, wie eine Krake, die ihre Arme nach allen Seiten ausstreckt.
Aktuell gibt es noch keine Möglichkeit, die Dateien ohne Bezahlung wiederherzustellen und PonyFinal ist auch nur eine von mehreren Ransomware, die während der Corona-Krise gezielt auch im Gesundheitssektor eingesetzt wurde.
Von Ransomware sind aber nicht nur Unternehmen und Organisationen betroffen. Auch Privatbürger geraten immer wieder in die Fänge von Kriminellen und kommen erst wieder an ihre Daten, wenn sie der Lösegeldforderung nachgeben.
Deswegen ist es so wichtig, dass sich Unternehmen, Organisationen und Privatpersonen vor Ransomware schützen. Mithilfe folgender Schritte kann man es den Angreifern sehr schwer machen.
Datenverkehr verschlüsseln
Es ist wichtig, den Datenverkehr wie WLAN oder Funk zu verschlüsseln. Hier ist natürlich das Passwort für den Router entscheidend, aber auch die Verbindung selbst kann geschützt werden. Mithilfe von VPN können sichere und verschlüsselte Verbindungen hergestellt werden. Aber was ist VPN? Das „Virtuelle Private Netzwerk” wird zwischen Sender und Empfänger aufgebaut und kann so die versendeten Daten schützen, ohne dass Unbefugte sich Zutritt verschaffen können.
Sichere Passwörter
Nicht nur das Passwort für den Router ist für die Sicherheit entscheidend. Passwörter sind das A und O und sollten entsprechend auch regelmäßig geändert werden. Hier ist entscheidend, dass die Passwörter lang sind, aus Buchstaben und Zahlen bestehen und im optimalen Fall auch noch Sonderzeichen besitzen. Passwörter sollten auch regelmäßig geändert und erneuert werden.
Updates & Upgrades
Jede Sicherheitslücke in Programmen und Betriebssystemen wird mit Updates und Upgrades geschlossen. Aufgrund dessen ist es so wichtig, dass alle Updates zeitnah eingespielt werden. Entweder stellt man dies an Computer und Smartphones automatisch ein oder man macht die Updates manuell, aber eben sehr regelmäßig.
Datensicherung
Auch, wenn man sich vor dem Angriff nicht schützen kann, so sollte man zumindest darauf achten, dass die Daten auf dem Computer gesichert werden. Ein geringerer bis kein Datenverschluss hält den Schaden aber in Grenzen und weitere Arbeiten, die von diesen Daten abhängig sind, können weiterverfolgt werden. Hinzu kommt hier auch, die Lese-/Schreibberechtigung der Datenzugriffsrechte regelmäßig zu überprüfen und je nach Wichtigkeit der Daten auch festzulegen.
Keine unbekannten Anhänge öffnen
Weder auf dem privaten Computer noch am Arbeitscomputer sollten E-Mails geöffnet werden, von denen der Absender nicht bekannt ist. Entsprechend sollten auch Anhänge nicht heruntergeladen oder geöffnet werden. Auch bei vermeintlich bekannten Absendern wie Freunde, Familie, Kollegen oder der Bank kann es sich um Schad-E-Mails und Schadsoftware handeln. Gerade am Arbeitscomputer sollten keine unbekannten oder privaten E-Mails genutzt oder gelesen werden. Dasselbe gilt natürlich auch für Links, die sich in E-Mails befinden, auch diese sollten auf keinen Fall angeklickt werden.
