Mehrstufige Netzwerkkompromittierungen führen zu Ransomware-Vorfällen

TLP:GREEN

                               SCHWACHSTELLE | GEFÄHRDUNG | VORFALL | IT-ASSETS

                               Mehrstufige
                               Netzwerkkompromittierungen führen
                               zu Ransomware-Vorfällen
                               Ungezielte Malware-Kampagnen werden bei ausgewählten Zielen manuell
                               ausgeweitet
                               CSW-Nr. 2019-190561-1033, Version 1.0, 24.04.2019
                                                     IT-Bedrohungslage*: 2 / Gelb
                                Achtung: Für die schriftliche und mündliche Weitergabe dieses Dokumentes und der darin enthaltenen Informationen gelten
                                gemäß dem Traffic Light Protokoll (TLP) die folgenden Einschränkungen:

                                TLP:GREEN: Organisationsübergreifende Weitergabe
BSI-Cyber-Sicherheitswarnung

                                Informationen dieser Stufe dürfen innerhalb der Organisation und an deren Partner frei weitergegeben werden. Die Informationen
                                dürfen jedoch nicht veröffentlicht werden.

                                Das Dokument ist durch den Empfänger entsprechend den vereinbarten „Ausführungsbestimmungen zum sicheren
                                Informationsaustausch mit TLP“ zu verarbeiten, aufzubewahren, weiterzugeben und zu vernichten. Weitere Informationen zum TLP
                                finden Sie am Ende dieses Dokumentes.

                               Sachverhalt
                               Derzeit registriert das BSI verstärkt Netzwerkkompromittierungen von Unternehmen, die mit der
                               manuellen Ausführung einer Ransomware-Komponente enden. Bei dieser Art des Angriffs verschaffen
                               sich die Angreifer zunächst Zugang zum Netzwerk des Opfers (z.B. durch eine breit-angelegte Kampagne)
                               und breiten sich dann, teilweise durch das Nachladen weiterer Malware, darin aus (Lateral Movement).
                               Durch manuelle Interaktion forschen sie das Netzwerk und die Systeme aus, versuchen Backups
                               zu manipulieren bzw. zu löschen und führen dann, sofern es sich um ein vielversprechendes Ziel
                               handelt, gezielt und koordiniert Ransomware auf allen Systemen aus. Im Vergleich zu breit-angelegten
                               automatisierten Ransomware-Kampagnen, bei denen die Angreifer viele eher kleine Lösegeldbeträge
                               zu erpressen versuchen, ermöglicht dieses Vorgehen es den Angreifern größere und lukrativere Ziele zu
                               erreichen und höhere Lösegeldforderungen zu stellen. Davon sind einzelne Unternehmen, aber auch IT-
                               Dienstleister mit vielen Kunden betroffen. Die Angreifer versuchen über diese Dienstleister auch die Systeme
                               der Kunden zu kompromittieren.

                               * 1 / Grau: Die IT-Bedrohungslage ist ohne wesentliche Auffälligkeiten auf anhaltend hohem Niveau.
                                 2 / Gelb IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs.
                                 3 / Orange Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.
                                 4 / Rot Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.

                               CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                                  Seite 1 von 7

BSI-Cyber-Sicherheitswarnung                       TLP:GREEN

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet
werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen (z.B. mit Emotet [BSI2018d],
[BSI2019c]) beobachten, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft
versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware
(z.B. "Trickbot") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die
Systeme auszuwerten (vgl. [Bru2019]). Um die dadurch erlangten Zugänge zu monetarisieren, haben die Angreifer bei
lukrativen Zielen dann selektiv Ransomware, wie "Ryuk", zur Ausführung gebracht und teilweise sehr hohe Bitcoin-
Beträge gefordert (vgl. [Fis2019], [GKNG2019], [Han2019]).
Ein weiteres prominentes Beispiel hierfür stellt die Ransomware "LockerGoga" dar, die u.a. bei den Angriffen auf die
norwegische Firma "Norsk Hydro" sowie die beiden amerikanischen Chemie-Unternehmen "Hexion" und "Momentive"
zum Einsatz kam. Initial verschafften sich die Angreifer mit erbeuteten Nutzerdaten Zugriff auf mit dem Internet
verbundene Systeme. Danach breiteten sie sich unter Verwendung des Windows Remote Desktop Protocol (RDP)
im Netzwerk aus und verschafften sich privilegierte Accounts in der Domäne des Opfers. Erst als die Angreifer sich
bereits im Netzwerk des Opfers festgesetzt hatten, wurde die Ransomware manuell durch die Angreifer mittels
Administrator-Funktionalitäten von Windows-Domänen ausgerollt. "LockerGoga" besitzt keine eigenen Funktionen
zur Verbreitung oder zur Command & Control (C2) Kommunikation. Bei den bisher bekannten Vorfällen wurde die
Schadsoftware auf einem Netzwerkshare abgelegt und mittels verschiedener Skripte an andere Systeme verteilt, auf
denen sie automatisiert gestartet wurde. Die Kommunikation mit einem C2-Server erfolgte dann mittels etablierter
Tools aus dem Penetrationstesting-Umfeld wie "Cobaltstrike" oder "Meterpreter" (vgl. [Fra2019], [Bea2019], [Ada2019],
[Abu2019]).
Gerade in Deutschland kann das BSI diese Vorgehensweise nun auch verstärkt in Verbindung mit der Ransomware
"GandCrab" beobachten. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP,
RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine
Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht
(vgl. [LKA2019a], [LKA2019b]). Die manuelle Ausführung von "GandCrab", koordiniert auf allen Systemen im Netzwerk,
im Zuge eines Angriffs stellt eine Veränderung zu den in den letzten Monaten beobachteten automatisiert ausgeführten
Ransomware-Infektionen mit dieser Schadsoftware dar (siehe z.B. [BSI2018a], [BSI2018b], [BSI2018c], [BSI2019a],
[BSI2019b]).

Bewertung
Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren
derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind
insbesondere die folgenden drei Aspekte zu berücksichtigen.
   1. Jede einfache Infektion kann zu einem gezielten Angriff führen
      Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann
      jede Primär-Infektion (z.B. mit "Emotet") später wesentlich weitreichendere Folgen haben. Daher sollte jede
      Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen
      sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.
   2. Es droht ein kompletter Datenverlust
      Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese
      opportunistischen und manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer.
      Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass
      diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich
      höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem
      Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle
      bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung
      einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.
   3. Gefahr für deutsche Unternehmen steigt
      Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden
      Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.

Aufgrund der aktuellen Zunahme solcher Vorfälle möchte das BSI auf die bestehende besondere Bedrohung hinweisen.

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                      Seite 2 von 7

BSI-Cyber-Sicherheitswarnung                       TLP:GREEN

Maßnahmen
Da die hier beschriebene Vorgehensweise der Täter mehrere Schritte umfasst, sollten auch die Maßnahmen alle
relevanten Bereiche berücksichtigen.
1. Schutz vor Primär-Infektionen (z.B. "Emotet")
Die nachfolgend aufgeführten Maßnahmen basieren auf Erfahrungen des BSI bei der Bearbeitung von
Sicherheitsvorfällen, die durch Infektionen mit Schadprogrammen ausgelöst wurden. Eine Umsetzung dieser
Maßnahmen hätte in den meisten Fällen das Ausmaß des eingetretenen Schadens deutlich reduziert. Die Listen der
Maßnahmen sind nicht abschließend. Es existieren zahlreiche ergänzende oder alternative Maßnahmen.
Die folgenden Maßnahmen MÜSSEN für eine grundlegende Sicherheit der IT-Infrastruktur umgesetzt sein:
   • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und
     Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen,
     PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
   • Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf
     allen Clients ausgerollt werden.
   • Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups.
     Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
   • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit
     Alarmierung bei schwerwiegenden Anomalien.
   • Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur
     Aufgabenerfüllung notwendigen Berechtigungen verfügen.
   • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen
     mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder
     Regionen [Mic2019a].
   • Regelmäßige Information und Sensibilisierung von Nutzern, auch bei vermeintlich bekannten Absendern nur mit
     Vorsicht Dateianhänge von E-Mails zu öffnen (insbesondere auch Office-Dokumente) oder in den Nachrichten
     enthaltene Links anzuklicken. Im Zweifelsfall ("Warum sendet mir mein Kollege eine Steuererklärung?") sollten
     Nutzer Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.

Die folgenden Maßnahmen SOLLTEN umgesetzt sein, um Infektionen mit Schadprogrammen und deren
Ausbreitung im internen Netz weiter zu erschweren:
   • Je weniger Programme zum Öffnen von unbekannten Dateien zur Verfügung stehen, desto weniger
     Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollte nicht
     benötigte Software generell deinstalliert werden. In Web-Browsern sollte insbesondere die Ausführung aktiver
     Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) sowie nicht zwingend
     benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) entfernt werden.
   • Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die
     generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der
     Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen
     Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden [Mic2015][Mic2017a].
   • Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH).
   • Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker [Mic2019b].
   • Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator
     Password Solution (LAPS) [Mic2017b].
   • Deaktivierung administrativer Freigaben (Admin$, IPC$) [Mic2012].
   • Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden
     (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
   • Verwendung von Zwei-Faktor-Authentisierung zur Anmeldung an Systemen. Dies verhindert die automatisierte
     Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
   • Dateiendungen sollten standardmäßig angezeigt werden. Dadurch können Nutzer doppelte Dateiendungen wie
     bei "Rechnung.pdf.exe" einfacher erkennen.

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                      Seite 3 von 7

BSI-Cyber-Sicherheitswarnung                           TLP:GREEN

   • Verwendung von Plain-Text statt HTML für E-Mails. Viele E-Mails werden heutzutage im HTML-Format
     versendet. Damit diese im E-Mail-Client korrekt dargestellt werden können, nutzt dieser die gleichen
     Mechanismen zur Darstellung wie ein Web-Browser. Aufgrund der Größe der Darstellungskomponenten und
     der Vielzahl an Funktionen, enthalten diese jedoch häufig Schwachstellen, welche bei Web-Browsern durch
     zusätzliche Sicherheitsmaßnahmen eingedämmt werden. Dieser umgebende Schutz ist bei E-Mail-Programmen
     in der Regel weniger ausgeprägt. Die größte Schutzwirkung bietet in diesem Fall die Darstellung von E-Mails als
     Textdarstellung (oft als "Nur-Text" bzw. "Reiner Text" bezeichnet). Ein weiterer sicherheitstechnischer Vorteil
     dieser Darstellung ist, dass URLs in der Textdarstellung nicht mehr verschleiert werden können (in einer HTML-
     E-Mail könnte eine als "www.bsi.bund.de" angezeigt URL z. B. tatsächlich auf "www.schadsoftwaredownload.de"
     verweisen). Mindestens sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt
     werden.
   • Angreifer fälschen häufig die Absenderangabe in E-Mails, um dem Empfänger einen bekannten
     (vertrauenswürdigen) internen oder externen Absender vorzutäuschen. Oft wird dabei der gefälschte Absender
     inkl. Mailadresse in den Anzeigenamen (Realnamen) eingetragen, während die eigentliche Absenderadresse der E-
     Mail einen kompromittierten und zum Versand der E-Mail missbrauchten Account enthält. E-Mail-Clients sollten
     daher so konfiguriert werden, dass sie nicht nur den Anzeigenamen, sondern auch die vollständige Mailadresse
     des Absenders anzeigen.
   • E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sowohl im
     Envelope- als auch im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne verschieben oder
     mindestens im Betreff deutlich markieren.
   • E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang – auch
     in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für
     manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein,
     sollten entsprechende E-Mails deutlich im Betreff markiert werden.
   • Verschlüsselung von E-Mails mittels PGP oder S/MIME, um ein Ausspähen potenziell vertraulicher E-Mail-
     Inhalte zu verhindern. Ein durchgängiger Einsatz von digitalen Signaturen hilft zudem bei der Validierung
     bekannter E-Mail-Absender. Dazu müssen dieses Informationen einfach erreichbar auf der Website unter
     Kontakten einsehbar sein.

Reaktive Maßnahmen
   • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der
     Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel
     ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inkl. Speicherabbild
     für spätere Analysen (durch Dienstleister, BSI oder Strafverfolgungsbehörden) erstellen.
   • Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonto) auf einem potenziell
     infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
   • Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von
     Antivirus-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante)
     Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt
     daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
   • Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene
     Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
   • Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen
     (wenn möglich verschlüsselt, z.B. mittels PGP). So können Angreifer nicht direkt erkennen, dass sie entdeckt
     wurden.
   • Stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem
     Bundesland [ACS2019].
   • Bedenken Sie die Mitarbeiter-Kommunikation. Unterrichten Sie zeitnah über die Gründe des "Stillstands".
     Sensibilisieren Sie die Mitarbeiter für den "Neuanlauf". Warnen Sie vor abzusehenden nachfolgenden Gefahren
     wie z. B. erhöhtes Aufkommen gefälschter E-Mails mit vermeintlich internen Absendern nach Abfluss von
     Kommunikationsbeziehungen. Informieren Sie zu potenzieller privater Betroffenheit der Nutzer, wenn eine
     Nutzung der IT für private Zwecke erlaubt ist und auf infizierten Systemen eingegebene oder gespeicherte
     Zugangsdaten abgeflossen sein könnten.

2. Überprüfung von Verbindungen von Dienstleistern zu Kunden

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                               Seite 4 von 7

BSI-Cyber-Sicherheitswarnung                         TLP:GREEN

Sollten Sie selbst eine Malware-Infektion erlitten haben, informieren Sie Ihre Geschäftspartnern oder Kunden zeitnah
proaktiv über den Vorfall und weisen Sie auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten
Absenderadressen Ihrer Organisation hin.
Um sicherzugehen, dass Sie nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten
Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst
Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über existierende VPN-Verbindungen in das
eigene Firmennetzwerk eindringen.
3. Schutz vor Ransomware
Grundsätzlich gilt: Obwohl Einzelfälle bekannt sind, bei denen die Opfer nach Verhandlungen mit den Angreifern
und Zahlung eines Lösegelds ihre Systeme wiederherstellen konnten, rät das BSI dringend davon ab auf etwaige
Forderungen der Täter einzugehen.
Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme
verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese
zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.
Ausführlichere Informationen zum grundsätzlichen Schutz vor Ransomware-Angriffen können den weiteren
Publikationen des BSI entnommen werden (vgl. [ACS2018], [BSI2016a], [BSI2016b]).

Links
Abu2019 - Abuse.io: Sammeldokument zu LockerGoga Vorfällen mit Indikatoren (Englisch). http://abuse.io/
lockergoga.txt
ACS2018 - Allianz für Cybersicherheit: "Schutz vor Ransomware v2.0". https://www.allianz-fuer-cybersicherheit.de/
ACS/DE/_/downloads/BSI-CS_124.html
ACS2019 - Allianz für Cybersicherheit: "Zusammenarbeit mit der Polizei". https://www.allianz-fuer-cybersicherheit.de/
ACS/DE/Meldestelle/ZAC/polizeikontakt.html
Ada2019 - Alexander Adamov: "Analysis of LockerGoga Ransomware". https://www.nioguard.com/2019/03/analysis-
of-lockergoga-ransomware.html
Bea2019 - Kevin Beaumont: "How Lockergoga took down Hydro - ransomware used in targeted attacks aimed at
big business". https://doublepulsar.com/how-lockergoga-took-down-hydro-ransomware-used-in-targeted-attacks-
aimed-at-big-business-c666551f5880?gi=21d2b99ca71b
Bru2019 - Edmund Brumaghin: "Emotet re-emerges after the holidays". https://blog.talosintelligence.com/2019/01/
return-of-emotet.html
BSI2016a - Bundesamt für Sicherheit in der Informationstechnik: "Ransomware - Bedrohungslage, Prävention &
Reaktion". https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf?
__blob=publicationFile&v=2
BSI2016b - Bundesamt für Sicherheit in der Informationstechnik: "Lagedossier Ransomware". https://www.bsi.bund.de/
SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf?__blob=publicationFile&v=3
BSI2018a - Bundesamt für Sicherheit in der Informationstechnik: "Ransomware trickst Virenschutzprogramme aus".
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/GandCrab_08112018.html
BSI2018b - Bundesamt für Sicherheit in der Informationstechnik: Twitter-Meldung. https://mobile.twitter.com/
BSI_Bund/status/1072134521636773889
BSI2018c - Bundesamt für Sicherheit in der Informationstechnik: Twitter-Meldung. https://twitter.com/certbund/
status/1072134718307618816
BSI2018d - Bundesamt für Sicherheit in der Informationstechnik: "Schadprogramm-Infektionen mit Emotet/Trickbot
führen zu komplettem Ausfall der IT-Infrastruktur". https://www.allianz-fuer-cybersicherheit.de/ACS/DE/CUG/CUG2/
_/aktuelle_risiken/warnmeldungen/CSW-2018-252439-1033_Emotet.pdf?__blob=publicationFile&v=3

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                          Seite 5 von 7

BSI-Cyber-Sicherheitswarnung                        TLP:GREEN

BSI2019a - Bundesamt für Sicherheit in der Informationstechnik: Twitter-Meldung. https://twitter.com/certbund/
status/1084817259204362240
BSI2019b - Bundesamt für Sicherheit in der Informationstechnik: Twitter-Meldung. https://twitter.com/certbund/
status/1112127373007310848
BSI2019c - Bundesamt für Sicherheit in der Informationstechnik: "Schädliche E-Mails mit passwortgeschützten
Anhängen". https://www.allianz-fuer-cybersicherheit.de/ACS/DE/CUG/CUG2/_/aktuelle_risiken/warnmeldungen/
CSW-2019-189847_EMails_passwortschutz.pdf?__blob=publicationFile&v=2
Fis2019 - Dennis Fisher: "The Unholy Alliance of Emotet, TrickBot and the Ryuk Ransomware". https://duo.com/
decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware
Fra2019 - Lorenzo Franceschi-Bicchierai: "Ransomware Forces Two Chemical Companies to Order Hundreds of New
Computers". https://motherboard.vice.com/en_us/article/8xyj7g/ransomware-forces-two-chemical-companies-to-
order-hundreds-of-new-computers
GKNG2019 - Kimberly Goody, Jeremy Kennelly, Jaideep Natu, Christopher Glyer: "A Nasty Trick: From Credential
Theft Malware to Business Disruption". https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-
credential-theft-malware-to-business-disruption.html
Han2019 - Alexander Hanel: "Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware". https://
www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
LKA2019a - Landeskriminalamt Baden-Württemberg: "Warnmeldung für Unternehmen und Behörden. Hintertür (sog.
Backdoor) in mehreren Unternehmen festgestellt". https://lka.polizei-bw.de/wp-content/uploads/sites/14/2019/04/
Warnmeldung-Backdoor.pdf
LKA2019b - Landeskriminalamt Baden-Württemberg: "Anlage - Indikatoren". https://lka.polizei-bw.de/wp-content/
uploads/sites/14/2019/04/Anlage-zur-Warnmeldung-Backdoor-vom-18.-April-2019.pdf
Mic2012 - Microsoft: "How to remove administrative shares in Windows Server 2008". https://support.microsoft.com/
en-us/help/954422/how-to-remove-administrative-shares-in-windows-server-2008
Mic2015 - Microsoft: "Planen von Sicherheitseinstellungen für VBA-Makros in Office 2016". https://
docs.microsoft.com/de-de/deployoffice/security/plan-security-settings-for-vba-macros-in-office
Mic2017a - Microsoft: "Steuern der Blockierung von OLE/COM-Komponenten in Microsoft Office 365-Abonement".
https://support.microsoft.com/de-de/help/4032364/how-to-control-the-blocking-of-ole-com-components-in-
microsoft-office
Mic2017b - Microsoft: "Local Administration Password Solution". https://docs.microsoft.com/en-us/previous-versions/
mt227395(v=msdn.10)
Mic2019a - Microsoft: "Active Directory-Verwaltungsebenenmodell". https://docs.microsoft.com/de-de/windows-
server/identity/securing-privileged-access/securing-privileged-access-reference-material
Mic2019b - Microsoft: "AppLocker". https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-
defender-application-control/applocker/applocker-overview

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                    Seite 6 von 7

BSI-Cyber-Sicherheitswarnung                           TLP:GREEN

Anlagen
Kontakt
Bitte wenden Sie sich bei allen Rückfragen zu diesem Dokument an denjenigen Kontakt, der Ihnen das Dokument zugesendet
hat. Dadurch bleibt der Informationsfluss kanalisiert. Die Single Points of Contact (SPOCs) welche das Dokument direkt vom
Nationalen IT-Lagezentrum des BSI erhalten haben, können sich direkt an die bekannten Kontaktdaten des Nationalen IT-
Lagezentrums im BSI wenden.

Erklärungen zum Traffic Light Protokoll (TLP)
Dieses Dokument und die darin enthaltenen Informationen sind gemäß dem TLP eingestuft:
1)       Was ist das Traffic Light Protokoll?
         Das TLP ist ein von der OECD entworfenes Protokoll, welches die Weitergabe von sensitiven Informationen
         innerhalb eines Informationsverbundes regelt. Die vom Autor adressierten Empfänger dieses Dokumentes
         haben sich im Vorfeld schriftlich verpflichtet das TLP zu beachten und das Dokument entsprechend den
         „Ausführungsbestimmungen zum sicheren Informationsaustausch mit TLP“ zu verarbeiten, aufzubewahren,
         weiterzugeben und zu vernichten.
2)       Welche Einstufungen existieren?
     -   TLP:WHITE: Unbegrenzte Weitergabe
         Abgesehen von urheberrechtlichen Aspekten dürfen Informationen der Stufe TLP:WHITE ohne Einschränkungen
         frei weitergegeben werden.
     -   TLP:GREEN: Organisationsübergreifende Weitergabe
         Informationen dieser Stufe dürfen innerhalb der Organisationen und an deren Partner frei weitergegeben werden.
         Die Informationen dürfen jedoch nicht veröffentlicht werden.
     -   TLP:AMBER: Eingeschränkte interne und organisationsübergreifende Verteilung
         Informationen dieser Stufe darf der Empfänger innerhalb seiner Organisation auf Basis „Kenntnis nur wenn nötig“
         weitergeben. Der Empfänger darf die Informationen zudem an Dritte weitergeben, soweit diese die Informationen
         zum Schutz des Empfängers oder zur Schadensreduktion beim Empfänger benötigen. Hierfür muss er sicherstellen,
         dass die „Dritten“ das TLP kennen und die damit verbundenen Regeln einhalten. Der Informationsersteller kann
         weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen. Diese müssen eingehalten
         werden.
     -   TLP:RED: Persönlich, nur für benannte Empfänger
         Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/Audiokonferenz
         bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. Meistens
         werden TLP:RED-Informationen mündlich oder persönlich übergeben.
3)       Was mache ich, wenn ich das Dokument an jemanden außerhalb des im TLP vorgegebenen
         Informationsverbundes weitergeben will?
         Sollte eine Weitergabe an einen nicht durch die Einstufung genehmigten Empfängerkreis notwendig werden, so
         ist diese vor einer eventuellen Weitergabe durch den Informationsersteller nachvollziehbar zu genehmigen. Bei
         ausnahmsweiser Weitergabe im Rahmen einer bestehenden gesetzlichen Verpflichtung ist der Informationsersteller –
         nach Möglichkeit vorab – zu informieren.
4)       Was passiert, wenn ich die Einstufung nicht beachte?
         Bei Verstoß gegen die Regeln zur Weitergabe von Informationen erhält der Verpflichtete zukünftig nur noch
         TLP:WHITE eingestufte Informationen aus dem Kreis der Verpflichteten.

CSW # 2019-190561-1033 | Version 1.0 vom 24.04.2019                                                             Seite 7 von 7