Zu Hauptinhalt springen
Kontakt Impressum Datenschutz
Startseite UR

Aktuelles

Krypto-Trojaner-Angriffswelle an der UR vom 01.10.2019

01. Oktober 2019 | von Elena Maria Kellinghaus

Am Dienstag den 01. Oktober 2019 starteten Cyber-Kriminelle eine Angriffswelle gegen die Universität Regensburg, indem sie Tausende von E-Mails mit einem darin enthaltenen Link verschickten. Die E-Mails wiesen die Benutzer auf ein vorgetäuschtes „eFax“ hin, welches heruntergeladen werden konnte.

Jedoch wurde beim Anklicken dieses Links anstatt eines „eFax“ Schadsoftware heruntergeladen, die anschließend die lokalen und im Netz verfügbaren Verzeichnisse (privates Laufwerk und Institutslaufwerke) verschlüsselte.

Abbildung 1: E-Mail mit vorgetäuschten „eFax“ (Screenshot: RZ)

Die Universität Würzburg ereilte die Angriffswelle eine Woche vorher am 23.09.2019, sodass unser Rechenzentrum vorgewarnt war. Unsere Mitarbeiter des Supports erkannten rechtzeitig die E-Mail und informierten die IT-Sicherheitsbeauftragte und die entsprechenden Techniker. Diese wiederum starteten daraufhin den Abwehrprozess, welcher aus technischen und organisatorischen Maßnahmen bestand, um die Verbreitung des Erpressungstrojaners („Buran“) zu verhindern.

Auf der technischen Seite wurden nach Erkennen der Gefahrenlage zunächst die Eingangsfilter mehrmals vom E-Mail Server angepasst und zeitgleich durchgeschlüpfte Versionen der E-Mails aus allen betroffenen Accounts nachträglich gelöscht. Der aktive Angriff dauerte mehrere Stunden an, während unsere Techniker aufgrund von Mutationen 6-mal die Filter anpassen mussten. Die Firewall wurde der Bedrohungslage entsprechend konfiguriert.

Währenddessen wurden auf der organisatorischen Seite alle verantwortlichen Stellen (Universitätsleitung, Datenschutz etc.) über den Vorfall informiert. Die Mitglieder der UR wurden durch eine Sicherheitswarnung über den Cyber-Angriff auf Facebook und der UR- und RZ-Homepage aufmerksam gemacht. Darüber hinaus stand das RZ mit zuständigen externen Behörden (CAZ, BSI und weitere) in Kontakt.

Abschließend kann man sagen, dass die Maßnahmen optimal gegriffen haben und ein großer Schaden für die Universität abgewendet werden konnte. Grundsätzlich muss aber darauf hingewiesen werden, dass solche Angriffe jeder Zeit wieder auftreten können und dass die Cyber-Kriminellen bei „Buran“ nur einen geringen Teil der ihnen zur Verfügung stehenden technischen Möglichkeiten genutzt haben.

Verschlüsselungstrojaner sind eine neue, massive Bedrohung für Universitäten. Aktuell ist nur eine sehr eingeschränkte Reaktion auf solche Angriffe wie „Buran“ möglich. Aus diesem Grund wird das RZ mit verschiedenen Maßnahmen versuchen, die IT-Sicherheit auf neue Bedrohungslagen auszurichten. Die IT-Sicherheitsbeauftragte des RZ erarbeitet in Zusammenarbeit mit dem Datenschutz ein Informationssicherheitmanagement-System (ISMS), damit die Universität in den Bereichen der Prävention, Detektion und Reaktion besser positioniert sein wird.

Für Sie als Benutzer ist es wichtig eine beständige und erhöhte Wachsamkeit zu haben, vor allem das kritische Hinterfragen bei unbekannten Mailsendern.

Weitere Informationen zu Krypto-Trojanern erhalten Sie hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

IT-Sicherheitsbeauftragte - 20.07.2020 10:09

Elena Kellinghaus - 06.11.2023 07:39

  1. Universität

Informationssicherheit

IT-Sicherheit

Datenschutz