Alle Jahre wieder: Die Merry Christmas Erpressersoftware

Die Merry Christmas-Erpressungssoftware entspricht nicht dem Geist der Weihnacht. Sie verschlüsselt nicht nur Daten, sondern stiehlt diese auch.

Dez 19, 2022 - 4 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Cyberkriminelle haben sich zur Weihnachtszeit etwas ganz Besonderes ausgedacht. Sie senden ihren Opfern Weihnachtsgrüsse. Allerdings ist das alles andere als ein schönes Geschenk. Denn der Gruss enthält die Nachricht, dass alle Daten verschlüsselt wurden und diese nur mit der Zahlung eines Lösegelds wieder freigegeben werden. Hinter der Cyberattacke steckt die Merry-Christmas-Ransomware, die seit 2017 ihr Unwesen treibt. Aber ein Unheil kommt selten allein: Mittlerweile werden die PCs der Opfer nicht mehr nur mit Ransomware infiziert, sondern die Hacker laden noch ein Schadprogramm nach. Die DiamondFox-Malware stiehlt persönliche Daten, Anmeldedaten und Passwörter. Wie sich Nutzer mit der Schadsoftware infizieren und was Sie dagegen tun können, lesen Sie hier. 

Ein trojanisches Pferd zu Weihnachten

Die Ransomware Merry Christmas oder auch Merry-X-Mas genannt, infiltriert Systeme und verschlüsselt alle darauf befindlichen Dateien. Je nachdem, welche Variante der Malware die Systeme infiziert hat, hängen der Datei unterschiedliche Erweiterungen an, beispielsweise „.PEGS1“, „.MRCR1“, „.RARE1“ oder auch „.MERRY“. Sobald alle Dateien erfolgreich verschlüsselt sind, wird ein Pop-up-Fenster geöffnet, das eine Aufforderung zur Lösegeld-Zahlung enthält. Zeitgleich wird dem User ein Countdown angezeigt, wie lange er Zeit hat das Lösegeld zu zahlen – zumeist in Bitcoin. Sollte das Zeitlimit überschritten werden, drohen die Erpresser, die Daten unwiderruflich zu löschen. 

Betroffen sind nicht nur Unternehmen oder Organisationen, sondern auch Einzelpersonen fallen den Cyberkriminellen zum Opfer. Meist gelangt die Schadsoftware durch einen Social-Engineering-Angriff auf das System. Das heisst, dass eine Spam-E-Mail entweder einen Link bereithält, der, wenn der Betroffene darauf klickt, die Malware herunterlädt. Es werden aber auch PDF-Dateien oder Word-Dokumente im Anhang versendet, die den Schadcode beim Öffnen freisetzen. Die E-Mails machen oft den Anschein, als sei der Absender beispielsweise entweder Mitarbeiter einer wichtigen Behörde oder einer anderen seriösen Organisation. Zudem wird in den Betreffzeilen immer wieder zum „dringenden Handeln“ aufgefordert, sonst würde zum Beispiel eine Strafe drohen oder ein Preis verfallen. 

Es gibt aber auch noch andere Wege, wie die Schadsoftware auf den Systemen landen kann: Neben Phishing-Mails und Social-Engineering Angriffen, sind oft Sicherheitslücken durch fehlende Updates oder Patches ein hohes Sicherheitsrisiko für Unternehmen. Zudem sind auch mangelhafte Firewall-Konfigurationen eine Gefahr. Die Malware kann aber auch über extern angeschlossene Geräte wie USB-Sticks oder Festplatten auf die Systeme gespielt werden oder durch schadhafte Webseiten heruntergeladen werden. 

Wurde die Malware erfolgreich auf einem System implementiert, ist sie oft nicht gleich als solche zu erkennen, da der erweiterte Dateiname oft ausgeblendet ist. Klickt der Nutzer auf die Datei, kann die Schadsoftware im Hintergrund des Systems arbeiten und die Dateien verschlüsseln. Zunächst werden alle Laufwerke und andere Datenträger gescannt und die gesammelten Informationen an die Systeme der Hacker gesendet. Diese können dann gezielt mit Datei-Erweiterungen Systeme und Dateien verschlüsseln. Sind diese einmal encodiert, ist es oft nicht leicht, die Dateien zurückzuerhalten. Der einfachste Weg für Unternehmen besteht oft darin, die Erpresser auszuzahlen, in der Hoffnung, dass sie die Dateien entschlüsseln. Offizielle Stellen und Experten raten aber dringend davon ab, das Lösegeld bereitzustellen. Denn das ist keine Garantie, dass Unternehmen ihre Informationen zurückerhalten. 

Double Extortion 

Neben der Verschlüsselung der Dateien, sind Varianten der Merry-Christmas-Malware im Umlauf, die ein weiteres Schadprogramm nachladen. Mit der DiamondFox-Malware werden sensible Informationen wie Login-Daten, Passwörter und andere vertrauliche Dateien gesammelt. Die Schadsoftware sammelt die Daten unter anderem via Keylogging. So haben Cyberkriminelle die Möglichkeit ihre Opfer doppelt zu erpressen und so ihren Gewinn zu „maximieren“. Oftmals drohen sie den Geschädigten, wenn diese nicht bezahlen, die gesammelten Daten ins Dark Web zu stellen und diese dort zu verkaufen. Aber selbst wenn Unternehmen die Erpresser auszahlen, ist nicht sichergestellt, dass die Cyberkriminellen die Daten nicht doch weiterverkaufen oder für anderen Zwecke nutzen. 

Weiterhin besteht die Gefahr, dass bei der Auszahlung zwar die Dateien wieder entschlüsselt werden, die DiamondFox-Malware aber auf dem Server der Opfer unentdeckt bleibt. So kann auch nach dem ersten Angriff auch ein zweiter erfolgen. 

Vorbereitungen und Massnahmen

Da die Cyberangriffe immer erfolgreicher werden und es meistens nur noch eine Frage der Zeit ist, wann ein Unternehmen getroffen wird, ist eine gute Vorbereitung und resiliente Abwehrmassnahmen sehr wichtig: 

  • Mitarbeiterschulungen und Trainings: Schulungen und Trainings sind unerlässlich, damit im Unternehmen das Bewusstsein für Cyber-Attacken geschaffen wird. Dazu gehört auch, dass Mitarbeiter Schulungen über die DSGVO beziehungsweise die kommende revDSG erhalten. So wird sichergestellt, dass alle Daten nicht nur Compliance-konform gespeichert werden, sondern für die IT-Verantwortlichen ist sichergestellt, dass sie den Überblick über die Daten nicht verlieren.
  • Updates und Patches unverzüglich einspielen: Das Aufspielen von Updates und Patches ist unerlässlich, um Sicherheitslücken in den Systemen schnell zu schliessen. Das sollte nicht herausgezögert werden. Ein Bespiel für diese Notwendigkeit ist der Hafnium-Massenhack auf Exchange-Server Anfang 2021. 
  • Implementierung der gängigen Sicherheitsstandards: Neben der richtigen Verwendung von Passwörtern, sollten Unternehmen weitere Standards implementieren, die einen erweiterten Schutz für die Systeme garantieren. So kann durch den Einsatz der Multi-Faktor-Authentifizierung (MFA) oder die biometrische Authentifizierung ein besserer Schutz bei passwortbasierten Anmeldesystemen gewährleistet werden. Konten, die nicht mehr benutzt werden, sollten zeitnah gelöscht werden. 
  • Die 3-2-1-1-Regel bei systemübergreifenden Backups: Mit der 3-2-1-1-Regel ist gemeint, dass drei Kopien der Daten auf zwei verschiedenen Medien bereitgehalten werden und eine Kopie sich ausserhalb des Firmenstandorts befindet. Die letzte Ziffer bezieht sich auf eine weitere Kopie der Daten, die offline und air-gapped, also unveränderlich (immutable), aufbewahrt wird. Durch das immutable Backup ist sichergestellt, dass dieses nicht mit Malware befallen ist und problemlos aufgespielt werden kann. 
  • Einen Plan für den Ernstfall aufstellen: Wenn es zur Verschlüsselung der Dateien oder gar zu einer doppelten Erpressung kommt, hilft es, wenn vorher Verhaltensregeln festgehalten wurden. Ausserdem müssen die Verantwortlichkeiten in den Teams und die Kommunikation nach innen und nach aussen klar geregelt sein. Auch eine Dokumentation hilft, um später den Verlauf und den Schaden analysieren und auswerten zu können. Der Plan sollte regelmässig überprüft und auf den neuesten Stand gebracht werden. 

Nicht dieses Jahr: Auf Ransomware-Attacken vorbereitet sein 

Von Ransomware getroffen zu werden, ist schwerwiegend. Das Unternehmen verliert nicht nur an Reputation, sondern erleidet zudem schwere finanzielle Verluste. In vielen Fällen bedroht ein solcher Cyberangriff die Existenz eines Unternehmens. Gerade zu Weihnachten ist die Gefahr angegriffen zu werden für Unternehmen gross, wie das BSI im vergangenen Jahr warnte.

Um den Gefahren vorzubeugen, müssen Unternehmen gängige Sicherheitsstandards implementiert haben. In diesem Sinne: Frohe Weihnachten, ganz ohne Ransomware!

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!