IT-Sicherheit - Schutz vor Hackerangriffen

Die richtigen Mittel gegen Ransomware

26.04.2016
Von 
Ben Herzog ist Sicherheitsforscher bei Check Point Software Technologies. Zuvor hat er ein Mathematik Post-Graduate-Programm und ein Informatikstudium an der Ben Gurion Universität absolviert. Seine Forschungsschwerpunkte sind Malware-Analyse, Kryptographie und lernende Maschinen. Ein Beispiel seiner Forschung ist die automatische Erkennung von Schlüssel-Wiederverwendung in Stromchiffren, automatisches Entpacken von Malware und Kollisionen von bestimmten Arten von schwachen Hash-Funktionen.
Hacker lassen sich nicht lumpen, wenn es darum geht, neue Wege zu finden, um Privatpersonen oder Unternehmen zu schaden. Ein besonders raffinierter Weg ist der Einsatz von Erpressungs-Malware - auch unter der Bezeichnung Ransomware bekannt.
  • Ransomware-Kampagnen sind eine zunehmende Bedrohung für Privatpersonen und Unternehmen.
  • Es gibt eine Reihe präventiver Maßnahmen, um die Gefahr einer Ransomware-Kampagne gering zu halten.
  • Betroffene sollten auf die Lösegeld-Forderungen der Ransomware-Hacker keinesfalls eingehen.

Das Jahr 2015 beginnt mit einem massiven Hackerangriff gegen Sony Pictures Entertainment, der weltweit für Schlagzeilen sorgt. Der Cyberangriff macht die Besessenheit und die Fähigkeiten der Hacker deutlich. Mit Ransomware haben solche Angreifer jetzt einen Weg gefunden, ihre verbrecherischen Attacken in finanziellen Gewinn zu verwandeln und ihren Opfern damit in doppelter Hinsicht zu schaden.

Mit Ransomware versuchen Hacker Geld von Unternehmen und Privatpersonen zu erpressen. Wir sagen Ihnen, wie Sie sich vor solchen Hackerangriffen schützen.
Mit Ransomware versuchen Hacker Geld von Unternehmen und Privatpersonen zu erpressen. Wir sagen Ihnen, wie Sie sich vor solchen Hackerangriffen schützen.
Foto: Carlos Amarillo - shutterstock.com

Ransomware-Trend bedroht Unternehmen

Ransomware-Kampagnen sind finanziell motiviert und jeder kommt als potenzielles Opfer in Frage. Die Hacker selbst sind nicht mehr von Ideologie getrieben und machen auch keine Unterschiede mehr zwischen privaten Computern und den Servern eines großen Unternehmens. In beiden Fällen drohen den Betroffenen nicht nur erhebliche Datenverluste.

"Cryptowall 3.0" ist nur ein Beispiel für den Schaden, der durch Ransomware angerichtet werden kann: Alleine in den Monaten Juni und Juli 2015 stieg die Zahl der mit "Cryptowall" infizierten Unternehmen um rund 50 Prozent (verglichen mit Mai und April desselben Jahres). Die von Ransomware verwendeten Kommunikationsprotokolle waren in der Vergangenheit lange Zeit relativ konstant. Heutzutage verändern sie sich ständig, um die signaturbasierte Erkennung der Kommunikation zu umgehen. Es lässt sich festhalten, dass Ransomware deutlich raffinierter geworden ist.

Zu Beginn nutzen Ransomware-Schreiber lineare Verschlüsselungsmethoden, inzwischen sind sie zur Verwendung von - Lauschangriffen und Forensik gegenüber resistenteren - asymmetrischen Verschlüsselungsverfahren übergegangen. Ein weiterer Entwicklungssprung folgt als die Hacker erkennen, dass der Weg der Schlüsselaustauschphase durchkreuzt worden ist: Nun greifen die Cyberkriminellen auf den "Diffie-Hellman"-Schlüsselaustausch zurück. Bei diesem ist für die Erpressung keine echte Kommunikation zwischen Client und Server erforderlich.

Exploit-Kits: Hacking für Jedermann

Durch den Einsatz von Exploit-Kits hat sich die Situation noch verschlimmert, denn sie ermöglichen die Entwicklung neuer Malware (darunter auch Ransomware) - selbst mit sehr eingeschränkten IT-Fähigkeiten. Ein gutes Beispiel ist das "Angler Exploit-Kit", das Schwachstellen in Adobe Flash ausnutzt. Durch dieses Kit wird Ransomware wie "TeslaCrypt" und "Cryptowall" verbreitet.

Während die Erstellung von Malware sehr viel einfacher geworden ist, wird es für Unternehmen und Privatpersonen immer schwieriger, sich gegen die steigende Zahl der Hackerangriffe zu schützen. Doch es gibt verschiedene Mittel und Wege, wie Sie sich auf die wandelnde Bedrohungslandschaft vorbereiten und reagieren. In einem ersten Schritt erklären wir Ihnen die Angriffsvektoren bei einer Ransomware-Attacke. In unserer Bildergalerie am Ende des Artikels geben wir konkrete Handlungsanweisungen, wie Sie sich vorbeugend gegen erpresserische Hacker schützen können und vor allem was Sie tun können, wenn der Angriff bereits erfolgt ist.

Auffinden des Chiffrierungsschlüssels

Wie die Dateien der Opfer genau verschlüsselt werden, ist von Malware zu Malware unterschiedlich. Zunächst einmal könnte es sein, dass der Malware-Autor nicht einmal über Grundkenntnisse der Verschlüsselung verfügt und daher katastrophale Fehler macht, wie den Schlüssel deutlich sichtbar an den codierten Dateien angehängt zurückzulassen. Im Regelfall haben Malware-Autoren aber zumindest geringe Kenntnisse über die korrekte Anwendung der Verschlüsselung. In diesem Fall wäre folgender Ablauf zu erwarten: Sobald die Malware ausgeführt wird, erzeugt sie einen zufälligen AES-256-Schlüssel, nutzt ihn zur Verschlüsselung der Dateien des Opfers, sendet ihn an den C&C-Server und löscht ihn dann. Der Punkt dabei ist, dass der Malware-Autor mit minimalen Kenntnissen über die richtige Anwendung von Verschlüsselung keine alternative Vorgehensweise kennt.

Zunächst einmal können Spuren des Schlüssels im Host-System zurückbleiben. Selbst wenn die Malware dafür sorgt, dass all diese Spuren gelöscht werden, hat buchstäblich jedes Teil des Netzwerks den Schlüssel auf dem Weg zwischen dem Endgerät des Opfers und dem C&C-Server gesehen. Das ist nicht sehr sicher, denn der Schlüssel könnte leicht über ein Kommunikationsprotokoll wiederhergestellt werden. Auch wenn die Kommunikation selbst verschlüsselt ist, könnte diese Verschlüsselung geknackt werden - insbesondere dann, wenn ein gezielter Versuch unternommen wird die Malware-Programmdatei durch Reverse Engineering wiederherzustellen.

Diese Fallstricke sind die Hauptgründe dafür, dass der traditionelle Weg, die Dateien eines Opfers in Geißelhaft zu nehmen, lange Zeit die Nutzung der sogenannten asymmetrischen Verschlüsselung war. Bei diesem Modell wird auf dem C&C-Server der Malware ein geheimer Schlüssel erzeugt. Danach wird ein entsprechender öffentlicher Schlüssel erzeugt und zum infizierten System gesendet. Der öffentliche Schlüssel wird zur Verschlüsselung der Dateien verwendet und nur der geheime Schlüssel kann diese dann wieder entschlüsseln. Es ist nicht möglich, den öffentlichen Schlüssel zur Entschlüsselung zu verwenden.