Kryptoviren wie Locky sind derzeit eines der zentralen IT-Security-Themen. Weshalb sind sie so gefährlich, wie können sich Unternehmen dagegen schützen und welche Maßnahmen ergreifen Security-Anbieter wie Hornetsecurity, um ihren Kunden einen optimalen Schutz zu bieten? Wir haben hierzu Daniel Hofmann ein paar Fragen gestellt, um etwas Licht ins Dunkel zu bringen.

 

Seit kurzem ist der Locky-Virus in aller Munde: Worum handelt es sich eigentlich dabei, und was macht ihn so gefährlich?

Den Locky-Virus, wie er aktuell im Umlauf ist, gibt es in ähnlicher Form bereits seit Anfang Dezember. Dabei handelt es sich um ein Office-Dokument im Anhang von E-Mails, bei dem ein Makro ausgeführt wird, wenn der Empfänger die Datei öffnet. Bei den zunächst im Umlauf befindlichen Makro-Viren handelte es sich um Online-Banking-Trojaner, die Zahlungen auf fremde Konten umleiteten. Bei der aktuellen Virenwelle werden die Inhalte der gesamten Festplatte verschlüsselt, aber auch Netzlaufwerke und sogar Backups.

Die Gefährlichkeit des Virus liegt darin, dass die E-Mail als Träger sehr professionell gemacht ist und es ziemlich schwierig ist, zu erkennen, ob es sich hierbei um eine reguläre E-Mail handelt. Durch den Inhalt der E-Mail wird dem Empfänger zum Beispiel vermittelt, dass er eine Rechnung nicht bezahlt hätte. Öffnet dieser das Dokument, aktiviert sich das Makro sofort und verschlüsselt die Rechnerinhalte. Möchte ein Geschädigter seine Daten wieder entschlüsselt haben, wird er aufgefordert, ein Lösegeld zu bezahlen. Prinzipiell rate ich jedoch davon ab, da nicht sicher ist, ob der Geschädigte den Entschlüsselungscode überhaupt erhält.

 

Wie konnte es dazu kommen, dass sich dieser Schädling so verbreiten und solche Schäden verursachen konnte?

Das Besondere an dieser Art von Virus ist, dass die Angreifer täglich 2-3 neue Macharten entwickeln. Diese testen die Virenentwickler so lange an den bekannten Virenscannern, bis sie von diesen nicht mehr erkannt werden. Anschließend versenden sie die Viren. Dabei achten die Malware-Spezialisten darauf, den Versand schnell und kompakt durchzuführen, zudem spielt der regionale Aspekt eine große Rolle: Die Virenmails sind auf Zeitzonen und lokale Sprachen abgestimmt, zudem werden die E-Mails inhaltlich vermeintlich von einem Absenderunternehmen gesendet, das der Empfänger kennt. Versendet werden diese Mails meist tagsüber zwischen Montag und Donnerstag.

Wenn man sich die aktuell kursierenden Makro-Viren betrachtet, lässt sich feststellen, dass hier eine Gruppe am Werk ist, die den gesamten Zyklus von der Entwicklung über den Versand bis hin zur Zahlungsabwicklung äußerst professionell geplant hat. Sie bietet Zahlungswilligen sogar einen Live-Chat an!

 

Worauf sollten Anwender und Unternehmen generell achten, um sich so gut wie möglich vor Malware wie Locky und Konsorten zu schützen?

Da gibt es mehrere Maßnahmen, die regelmäßig vorgenommen werden sollten, um sich vor Angriffen zu schützen. Zunächst einmal sollte jeder Benutzer und jedes Unternehmen stets die aktuellsten Software-Updates durchführen. Zudem ist es sinnvoll, ein regelmäßiges Backup vorzunehmen, entweder auf ein externes Speichermedium oder auf einen Cloud-Speicherdienst wie Hornetdrive, der eine Versionierung anbietet, wodurch Vorgängervarianten einer Datei wiederhergestellt werden können. Die Haupt-Einfallstore für Malware – E-Mail und das Internet – müssen mit einem seriösen und effizienten Spamfilter- und Webfilter-Service geschützt werden. Zu guter Letzt jedoch trägt auch der Anwender selbst eine Verantwortung, indem er jede E-Mail kritisch prüfen sollte, ob etwa der Absender stimmt und was für Dateianhänge sich an der E-Mail befinden. Zur Not sollte eine E-Mail immer gelöscht werden.

 

Kann Hornetsecurity Locky erkennen und herausfiltern und wenn ja, wie?

Anfang Dezember, als die ersten Makro-Virus-Angriffe im Umlauf kamen, haben wir sofort neue Filter-Methoden entwickelt. Hierzu war ein ganzes Paket an Maßnahmen notwendig: So haben wir sieben bis acht Virenscann-Methoden entwickelt, die speziell auf Office-Dokumente mit darin enthaltenen Makros spezialisiert sind. Die Scanner setzen verschiedene Reputationsmechanismen ein, um festzustellen, ob es sich um ein harmloses oder um ein schädliches Makro handelt. Dies geschieht vollautomatisch und in Sekundenschnelle. Ist ein Schadcode gefunden, passen sich die Filter automatisch an, so dass keine weiteren Makro-Viren durch die Filtersysteme schlüpfen können.

 

Wie funktionieren generell die Virenfilter von Hornetsecurity?

Wir entwickeln unsere Virenscanner ständig weiter. Mittlerweile sind wir bei 18 verschiedenen Virusscannern angekommen, die den E-Mail-Verkehr überprüfen. Die Zahl wächst auch laufend an: So kommen pro Jahr mehrere neue hinzu. Dabei haben wir, wie nun auch bei den Makro-Viren, spezialisierte Scanner für die unterschiedlichen Angriffsszenarien und Attacken. Der eine sucht zum Beispiel nach kompromittierten Dateien, der andere wiederum analysiert Weblinks, über die anschließend Viren nachgeladen werden. Zudem spielt auch eine Rolle, woher die Angriffe kommen, ob Weblinks auf bekannte, auf einer Blacklist stehende Website führen usw. Wir arbeiten darüber hinaus auch mit bekannten Antiviren-Herstellern zusammen, um die Erkennung bereits bekannter Viren sicherzustellen.

 

Um eine Einschätzung zu erhalten – wie viele neue Virensignaturen erkennen die Filter pro Tag?

Virensignaturen täglich

Anzahl täglich neu entwickelter Virensignaturen

Das variiert sehr stark. Es gibt Tage, da registrieren wir nur einige wenige neue Varianten, und an anderen Tagen sind es mehrere Tausend. In den vergangenen drei Monaten lag der Durchschnitt bei knapp 400 neuen Virenvarianten täglich, wobei die höchste Zahl bei 2732 neuen Virentypen lag, die unsere Filter erkennen und herausfiltern mussten.

 

Was passiert bei einem großen Virenangriff?

Die Anpassung einzelner Filterregeln erfolgt bei uns automatisiert, in Sekundenschnelle und dauerhaft im laufenden Betrieb. Zudem überwachen Automatismen die Arbeit der Filter zum Abfangen der Viren auf Basis der Reaktionszeit zwischen Eintreffen und Erstellen einer Filterregel. Wird diese zum Beispiel bei einer Virenwelle überschritten, greifen unsere Security-Experten manuell ein. Diese führen sofort eine Tiefenanalyse durch, optimieren die automatische Erkennung oder setzen neue Filterwerkzeuge ein, bis die Reaktionszeit wieder auf den erwünschten Wert gesunken ist.

 

Wie lassen sich denn überhaupt neue Viren erkennen?

Am schnellsten und besten funktioniert dies über unsere Honeypots, also bestimmte E-Mail-Adressen, die nur einem einzigen Zweck dienen, nämlich Spam- und Virenmails einzufangen. Diese werten wir rund um die Uhr aus. Unsere Systeme reagieren außerdem auf bestimmte Arten von E-Mails und bewerten diese automatisch, bevor wir überhaupt wissen, dass es sich um eine schädliche E-Mail handelt. Eine Beurteilung erfolgt dabei auf Basis des „Verhaltens“ einer E-Mail oder des Anhangs, sprich, möchte sie zum Beispiel einen Shell-Code im System ausführen oder Dateien aus dem Internet nachladen. Weitere Kriterien sind die Häufigkeit der E-Mail oder ob sie von verschiedenen Absendern kommt.