Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet aktuell eine starke Zunahme von Angriffen per E-Mail.
Wie finden die Angriffe statt?
Genau wie schon bei Emotet verteilen die Angreifer über vermeintliche Antworten auf tatsächlich getätigte E-Mail Konversationen Schadsoftware-Links. Das Fatale daran: Die gefälschten E-Mails werden über die Mailserver der Absender selbst verschickt. Für den Empfänger ist damit noch weniger ersichtlich, dass es sich hier um einen Angriff handelt.
Wie ist die Schwachstelle zu bewerten?
Hinter den Links verbergen sich verschiedene Schadsoftware-Varianten, die allesamt einen Ransomware-Vorfall zur Folge haben können. Das BSI geht davon aus, dass für die Angriffe Exchange-Server verwendet werden, die bereits seit längerem kompromittiert wurden. Und zwar über kritische Schwachstellen aus der Vergangenheit. Selbst ein aktueller Patch-Stand auf Exchange-Servern ist daher kein sicherer Indikator dafür, dass eine Kompromittierung ausgeschlossen werden kann.
Was Sie jetzt tun sollten:
- Prüfen Sie noch mal Ihren Exchange Server: Sind die aktuellen Updates auf Ihren Exchange-Servern eingespielt?
- Wie groß waren die Zeitfenster zwischen dem Bekanntwerden von Exchange-Server Schwachstellen und dem Ausrollen der Patches?
- Kam es in der Vergangenheit bereits zu Auffälligkeiten beim Exchange-Betrieb?
- Sensibilisieren Sie Ihre Mitarbeiter:innen zum Thema IT-Sicherheit, z. B. durch Schulungen
- Informieren Sie Ihre Mitarbeiter:innen über die aktuelle Bedrohungslage
