Check Point warnt vor einer neuen Ransomware namens Pay2Key. Die Malware hat bereits mehrere Unternehmen in Isreal und der EU erwischt. Infiltriert wurden die Systeme der Opfer vermutlich über RDP-Verbindungen – eine altbekannte Schwachstelle in Betriebssystemen, allen voran Windows, über die Check Points Experten bereits mehrfach berichteten.
Neben der Verschlüsselung der Daten setzen die Kriminellen hinter Pay2Key zudem auf die neue Masche der Doppelten Erpressung. Das heißt, sie stehlen vor der Verschlüsselung einige Daten und drohen mit deren Veröffentlichung, um die Lösegeldforderung zu unterstreichen. Dabei handelt es sich um keine leere Drohung, wie bereits drei Firmen aus Isreal erfahren mussten. Zu den Opfern zählten unter anderem eine Rechts-Kanzlei und ein Spiele-Entwickler.
Den Sicherheitsforschern ist es derweil gelungen, mehr Informationen über die Verantwortlichen hinter den Angriffen zu erlangen. Dafür ist man dem Weg des Lösegeldes gefolgt und war in der Lage zu ermitteln, wo die bezahlten Bitcoins eingelöst wurden. Die Indizien deuten darauf hin, dass die Verantwortlichen für die Pay2Key-Attacken aus dem Iran heraus operieren.
Allerdings lässt sich die Ausgangsposition eines Angriffes verschleiern, um die Ermittler auf eine falsche Fährte zu locken, oder andere Gruppierungen ans Messer zu liefern. Mehr Nachforschung ist daher noch nötig.
So schützen sich Unternehmen und Behörden vor Ransomware wie Pay2Key:
- Virtuelles Patching – Obwohl es schwierig ist, stets auf dem neuesten Stand der Software-Updates zu bleiben, darf dies nicht ausbleiben. Unternehmen profitieren hier von einer Sicherheitsarchitektur mit umfassendem Ansatz, der IPS (Intrusion Prevention Systems)-Funktionalität mit einer konzertierten Patching-Strategie kombiniert.
- Intrusion Prevention Systems – Sie erkennen oder verhindern Versuche, die Schwachstellen in anfälligen Systemen oder Anwendungen auszunutzen. Der IPS-Schutz in der Check-Point-Firewall wird automatisch aktualisiert.
- Anti-Ransomware-Lösungen – Eine Anti-Ransomware-Lösung verteidigt Unternehmen gezielt gegen die alle Arten von Lösegeldforderungen und stellt verschlüsselte Daten wieder her, wodurch Geschäftskontinuität und Produktivität gewährleistet werden – und die Erpressung ins Leere läuft.
- Endgerätesicherheit – Eine Sicherheitslösung zum Schutz von Endgeräten, auch von tragbaren, wie SandBlast Agent, identifiziert Ransomware und ihre Versuche, Betriebssystem-Backups zu gefährden. Er stellt ebenfalls automatisch die verschlüsselten Dateien sicher wieder her.