Lösegeldforderungen in Rekordhöhe mit Clop-Ransomware


Die Presse bezeichnet Clop schon als den “Schrecken des deutschen Mittelstands“. Grund dafür ist, dass die Gruppe hinter der Clop-Ransomware eine hohe Anzahl an Phishing-Attacken fährt und damit auf die Schwachstelle Mensch abzielt.

Was ist Clop?

Clop ist eine Ransomware, die im Frühjahr 2019 entdeckt wurde und 2020 zu den Top 5 der aktivsten Schadprogramme zählte. Offenbar sind deutsche Unternehmen besonders im Fokus der Erpressergruppe hinter Clop. Das perfide, sie zielen insbesondere auf Unternehmen, deren Existenz extrem gefährdet wird, wenn wichtige Unternehmensdaten verschlüsselt werden oder wenn der Angriff zu einem Betriebsstillstand führt. Grund: Solche Unternehmen lassen sich häufiger auf Lösegeldforderungen ein.

So läuft die Attacke mit Clop ab

Wie so häufig bei Ransomeware, beginnt der Angriff mit einer Phishing-Mail. Wird der Anhang jener E-Mail geöffnet, hat Clop Zugriff auf das Netzwerk und beginnt Dateien zu verschlüsseln. Dazu wird die Erweiterung „.Clop“ (manchmal auch „.ciop“) an jede Datei angehängt und eine Lösegeldnotiz mit dem Namen “ClopReadMe.txt“ hinterlassen. Die zugehörigen Schlüssel werden dann auf einem versteckten Server hinterlegt. 

Warum ist Clop etwas Besonderes?

Den Platz in den Top 5 der aktivsten Schadprogramme hat sich die Ransomware vor allem durch die ungewöhnlich hohe Anzahl an versendeten Phishing-Mails erarbeitet. Diese hohe Zahl erklärt sich dadurch, dass die Erpressergruppe ausschließlich auf die “Schwachstelle Mensch” abzielt, anstatt auch technische Sicherheitslücken auszunutzen. Eine weitere Besonderheit ist die Höhe der Lösegeldforderungen, welche ungewöhnlich hoch ausfallen.

Deutscher Mittelstand im Fokus der Clop-Gruppe

Warum genau deutsche Unternehmen vermehrt das Ziel der Angriffe sind, ist nicht bekannt. Es könnte aber daran liegen, dass sie im Vergleich zu Firmen in anderen Ländern finanziell relativ gut aufgestellt sind. Des Weiteren wird Cyberkriminalität weiterhin unterschätzt und daher immer noch viel zu wenig für die eigene IT-Sicherheit getan.

Das führte dazu, dass im Jahr 2020 acht mittelständige Unternehmen Opfer eines solchen Angriffes wurden. Die Dunkelziffer jedoch könnte wesentlich höher sein, denn oftmals versuchen betroffenen Firmen das Bekanntwerden der Attacke, aus Angst negativer Reaktionen, zu vermeiden.

Wie kann man sich vor Clop schützen?

Um sich vor Clop schützen zu können, gilt für kleine, mittelständische und große Unternehmen dasselbe: Sie müssen unbedingt in die Cybersicherheit ihres Netzwerks investieren. Wichtige Punkte dabei sind unter anderem externe Backups, ein vernünftigen Schutz ihres Netzwerkes und nicht zuletzt die Mitarbeiter für solche Phishing-Mails zu sensibilisieren. Als kleines oder mittelständiges Unternehmen wenden Sie sich dafür am Besten an einen IT-Fachmann oder eine Firma mit Schwerpunkt IT-Sicherheit.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Merry Christmas and a Happy New Year

Wir

wünschen

nach einem sehr

außergewöhnlichem 2020

kuschelig warme himmlisch ruhige

engelsschöne rentierstarke kalorienbombige

Weihnachten und einen guten Start ins neue Jahr!

Danke für die vertrauensvolle und gelungene Zusammenarbeit!

Mit freundlichen Grüßen, Ihr JK-EDV Team

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Warnung vor neuen Fake E-Mails zu Corona-Hilfspaket

Ein Corona-Weihnachtsbonus für kleine und mittelständige Unternehmen? Das hört sich vor dem Hintergrund des offiziellen Corona-Hilfspakets gar nicht so abwegig an. Ist es aber leider. Das Landeskriminalamt warnt vor einer neuen Betrugsmasche.

Corona-Weihnachtsbonus: Hilfe für Unternehmen?

Die Corona-Pandemie hat in der Wirtschaft ihre Spuren hinterlassen. Auch hierzulande verbuchen tausende Unternehmen immense Verluste. Vor allem Kleinunternehmen und mitttelständische Betriebe sind besonders stark betroffen. Vor diesem Hintergrund klingt die E-Mail mit dem Betreff „Corona-Weihnachtsbonus für kleine und mittelständige Unternehmen“ sowohl plausibel als auch vielversprechend. Dementsprechend locker sitzt der Finger, und mit einem raschen Linksklick ist die verheißungsvolle E-Mail schnell geöffnet.

Corona-Weihnachtsbonus ist Fake

Die schlechte Nachricht den Corona-Weihnachtsbonus existiert nicht. Die E-Mail dient nur als Köder um an Unternehmensdaten zu gelangen. Zum Glück ist mit dem Öffnen der E-Mail, die im Namen der Europäischen Kommission versendet wird, aber noch nicht viel passiert. Die Gefahr lauert stattdessen im Anhang. Darin befindet sich eine Datei mit dem Namen „1_Antrag_Corona_Weihnachtsbonus_ 2020_EK“, in der eine gefälschte E-Mail-Empfangsadresse enthalten ist. Das Ziel der Kriminellen ist, dass Sie den Antrag ausfüllen, ihn danach an die falsche Mailadresse schicken und auf diese Weise vertrauliche Firmendaten verraten. Mit diesen Daten wollen die Hintermännern dann anschließend falsche Anträge bei den verschiedenen Subventionsstellen einreichen.

Auf was Sie achten sollten

Die Masche ist alles andere als neu, in den vergangenen Monaten kam es immer wieder zu Fällen, die thematisch mit dem Coronavirus zusammenhingen. Es ging sogar so weit, ein Bundesamt für Krisenschutz und Wirtschaftshilfe zu erfinden um in dessen Namen Fake E-Mails zu versenden.

Die Hintermänner solcher Phishing-Kampagnen versuchen eine legitime Absenderadresse vorzutäuschen, oft von vertrauenswürdigen Institution. Allerdings lassen sich solche Adressen relativ leicht manipulieren. Seien Sie also vorsichtig und bewerten Sie die Echtheit der E-Mail nicht nur auf Basis des Absenders. Des Weiteren achten Sie auf Formatierung, Satzbau und Rechtschreibung. Oftmals lassen sich so Phishing-Mails als solche entlarven.

Was tun wenn Sie eine solche E-Mail erhalten haben

Antworten Sie nicht auf die E-Mail und öffnen Sie auch nicht den Anhang. Aktuell ist nicht bekann ob die Datei mit einer Schadsoftware behaftet ist. Es ist aber nicht auszuschließen, dass die Hintermänner auch zu diesem Mittel greifen werden und dann wäre ein Öffnen des Anhangs besonders fatal.

Außerdem sollten Sie den Phishing-Angriff zur Anzeige bringen. Besonders wenn Sie den an die Phishing-Mail angehängten Antrag bereits ausgefüllt und versendet haben.

Das LKA gibt außerdem diesen Hinweis: „Wenn Sie Corona-Hilfen von Seiten der Regierung in Anspruch nehmen wollen, nutzen Sie ausschließlich die offiziellen Internetseiten der jeweiligen Behörden.“

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

BKA warnt vor steigenden Cyber-Angriffen

Das Bundeskriminalamt (BKA) schlägt Alarm und warnt vor zunehmenden Cyber-Angriffen. Hacker nutzen die Covid-19 Krise und attackieren bevorzugt Angestellte im Homeoffice.

Wenig Grund zum Optimismus: Die Zahl der Cybercrime-Fälle steigt, die Aufklärungsquote sinkt dagegen laut dem aktuellen Lagebericht des Bundeskriminalamts. Die Sonderauswertung „Cybercrime in Zeiten der COVID-19-Pandemie“ zeigt, dass im Zeitraum März bis August 2020 zahlreiche Webseiten auffielen, die mit Informationen und Beratungsgesprächen zur Corona-Soforthilfe warben. Durch Betätigung von Schaltflächen wurden die Computer der Besucher mit Malware infiziert. Ähnlich erging es Empfängern von E-Mails, die scheinbar von staatlichen Stellen oder Banken stammten und Informationen zum Thema „Corona“ enthielten. Beim Öffnen eines Anhangs wurde der Computer der Betroffenen mit Schadsoftware infiziert.

Während die dezentrale Home Office-Struktur die IT-Abteilungen schwitzen lässt, gibt es längst aus der Cloud eine starke Antwort auf die Hacker. Eine moderne Next-Generation Firewall sichert den gesamten Datenverkehr ab, skaliert ohne Probleme und profitiert von Technologien wie künstlicher Intelligenz. Corona hat in der IT endgültig klargemacht, dass die Cloud eine Vielzahl an Diensten bietet und zentral absichern kann, was eine konventionelle IT-Infrastruktur schlicht nicht leisten kann. Laut der aktuellen IDG Studie “Cyber Security 2020“ sorgen sich die Unternehmen jedoch noch immer nahezu ausschließlich um die Endpoints und Bedrohungen von außen.

Die Prognosen des Bundeskriminalamtes sorgen auch nicht für Entspannung. Die Bedrohungen werden angesichts weiterer technischer Entwicklungen und einer fortschreitenden Digitalisierung weiter zunehmen. Nicht nur die Menge, auch die Qualität der Angriffe wird steigen. Daher gilt es, einen Security-Schutzschirm aufzubauen, der neben dem eigenen Rechenzentrum auch die Kanäle nach außen voll absichert. Und da stehen aktuell die mobilen Arbeitsplätze an erster Stelle.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Ransomware attackiert VPN und RDP

Ransomware wird immer gefährlicher. Hacker nutzen vor allem das Remote Desktop Protocol (RDP) und Virtual Private Networks (VPN) als Einfallstore. E-Mail-Phishing verliert dagegen an Bedeutung.

Ransomware-Angriffe auf Unternehmen, mit denen Lösegeld erpresst werden soll, haben in der ersten Hälfte des Jahres 2020 einen historischen Höchststand erreicht. Jede Hacker-Gruppe hat ihre eigenen Methoden, doch die meisten Lösegeld-Vorfälle im 1. Halbjahr 2020 lassen sich auf eine Handvoll Angriffsvektoren zurückführen. Die drei beliebtesten sind ungesicherte RDP-Endpunkte und VPN-Appliances sowie E-Mail-Phishing, wobei sich RDP eindeutig als die Quelle der meisten Lösegeldvorfälle im Jahr 2020 entpuppt.

Das liegt nicht nur daran, dass im Homeoffice RDP stärker genutzt wird, sondern dieser Trend ist schon seit einem Jahr zu beobachten. Erpresser nehmen immer weniger Privatkunden ins Visier, sondern gehen stattdessen gehäuft auf Unternehmen los. RDP ist eine weitverbreitete Technologie für die Verbindung zu entfernten Systemen. Es gibt eine Vielzahl von Computern mit RDP-Ports, die online zugänglich sind. Das macht RDP zu einem riesigen Angriffsvektor für alle Arten von Cyberkriminellen. Systeme, die schwache Benutzernamen- und Passwort-Kombinationen verwenden, können kompromittiert und dann in so genannten „RDP-Shops“ zum Verkauf angeboten werden.

Auch VPN wird immer beliebter

Im Jahr 2020 ist mit der Nutzung von Virtual Private Networks (VPN) Appliances ein weiterer wichtiger Vektor für das Eindringen in Unternehmensnetzwerke aufgekommen. Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5. Während im vergangenen Jahr einige wenige Fälle von Lösegeldforderungen gemeldet wurden, stiegen die Zahlen im Jahr 2020 deutlich an.

Es ist also dringend notwendig, dass Administratoren diese Vektoren genau beobachten, Systeme patchen und Sicherheitsupdates installieren. Es ist eine Sache, wenn ein Angestellter einer geschickt getarnten Spear-Phishing-E-Mail zum Opfer fällt, und eine andere, wenn Sie Ihr VPN oder Ihre Netzwerkausrüstung über einen längeren Zeitraum ungepatcht lassen oder mit schwachen Benutzername und Passwörtern versehen.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.