Ransomware aktuell

5 Cryptolocker zum "Verlieben"

25.02.2020
Von  und
Heinrich Vaske ist Editorial Director von COMPUTERWOCHE und CIO. Seine wichtigste Aufgabe ist die inhaltliche Ausrichtung beider Medienmarken - im Web und in den Print-Titeln. Vaske verantwortet außerdem inhaltlich die Sonderpublikationen, Social-Web-Engagements und Mobile-Produkte und moderiert Veranstaltungen.
Josh Fruhlinger ist freier Autor in Los Angeles.
Ransomware erlebt ihren zweiten Frühling. Wir klären Sie über fünf aktuelle Cryptolocker-Varianten auf, die Ihnen per Datenverschlüsselung und Lösegeldforderung das Leben schwer machen könnten.
  • Ransomware-Angriffe häufen sich wieder, nachdem zwischenzeitlich Cryptojacking-Attacken en vogue waren
  • Die Angreifer werden skrupelloser: Sie wollen Geld und drohen zunehmend mit der Veröffentlichung brisanter Daten
  • Die Spuren führen häufig nach Russland, zumal russische Server von der Verschlüsselung ausgeschlossen werden
Im Mai 2017 begann WannaCry mit der Verschlüsselung von Windows-Rechnern und forderte Zahlungen in Bitcoin. 230.000 Computer in 150 Ländern wurden infiziert. Zu den Opfern zählten Telefónica, FedEx, die Deutsche Bahn/Schenker, Nissan, Sandvik, PetroChina, Ministerien in Rumänien und Russland und viele andere.
Im Mai 2017 begann WannaCry mit der Verschlüsselung von Windows-Rechnern und forderte Zahlungen in Bitcoin. 230.000 Computer in 150 Ländern wurden infiziert. Zu den Opfern zählten Telefónica, FedEx, die Deutsche Bahn/Schenker, Nissan, Sandvik, PetroChina, Ministerien in Rumänien und Russland und viele andere.
Foto: karthik o - shutterstock.com

Bei Ransomware-Angriffen entern Angreifer die Endgeräte und Server ihrer Opfer, verschlüsseln gezielt Daten und verlangen Lösegeld in Form von Kryptowährungen für deren Freigabe. Mit derlei Verschlüsselungstrojanern haben Cyberkriminelle schon die IT-Landschaften großer Unternehmen lahmgelegt: Zu den Opfern zählen hierzulande etwa Krauss Maffei, die Deutsche Bahn, das Klinikum Fürstenfeldbruck, das Lukaskrankenhaus in Neuss und viele andere.

Die Cryptolocker-Geschichte

Angriffe dieser Art gibt es schon seit vielen Jahren. 1991 verbreitete ein Biologe PC Cyborg, einen in QuickBasic programmierten Trojaner, der noch auf Diskette per Post verschickt wurde. Betroffen waren AIDS-Forscher, die ihre Daten nach Aktivierung des Datenträgers verschlüsselt vorfanden und aufgefordert wurden, die "Jahreslizenz" für die Benutzung ihres Rechners für 189 Dollar zu erneuern - zu zahlen per Verrechnungscheck an ein Postfach in Panama.

2006 kam dann Archiveus auf, die erste Ransomware, die Windows-Systeme befiel, erstmals eine RSA-Verschlüsselung verwendete und über E-Mail und File-Sharing-Seiten verbreitet wurde. Dieser Trojaner ist längst Geschichte. Eine ganze Reihe von Ransomware-Paketen attackierten dann Anfang 2010 die Netze, bekannt unter dem Namen Police: Die Angreifer gaben sich als Strafverfolgungsbehörden aus und forderten Geldstrafen für angeblich illegale Aktivitäten der Opfer. Hier kam erstmals eine neue Generation anonymer Zahlungsdienste zum Einsatz, die es ermöglichte, unerkannt das Lösegeld abzukassieren.

Wenig später etablierte sich dann ein neuer Trend: Die Cyberkriminellen begannen, sich in Kryptowährungen auszahlen zu lassen - eine kaum aufzuspürende, anonyme Zahlungsmethode. Die meisten Banden rechnen seitdem in Bitcoins ab, einige fingen aber auch damit an, ihre Forderungen auf andere Währungen zu verlagern, da ihnen die erheblichen Kursschwankungen beim Bitcoin nicht gefielen.

Die Angriffe erreichten Mitte der 2010er Jahre einen neuen Höhepunkt, ehe sich die Gangster dann 2018 vorübergehend auf eine andere Gemeinheit konzentrierten, Bitcoins zu erbeuten: Sie entdeckten das Cryptojacking. Dabei werden Rechner über Malware oder einen Browser-basierten Injection-Angriff infiziert und - unbemerkt vom Nutzer - für das Mining von Kryptowährungen zweckentfremdet. Laut IBM gingen die Ransomware-Angriffe 2018 um 45 Prozent zurück, während die Angriffe durch Cryptojacking um 450 Prozent zulegten.

Ransomware-Angriffe heute

In den beiden vergangenen Jahren sind die Attacken mit Verschlüsselungstrojanern allerdings mit voller Wucht zurückgekehrt. Mounir Hahad, Leiter der Juniper Threat Labs bei Juniper Networks, sieht zwei große Triebkräfte hinter diesem Trend. Der erste hat mit den Unwägbarkeiten der Preisgestaltung für Krypto-Währungen zu tun. Viele Cryptojacker benutzten die Computer ihrer Opfer für das Mining der Open-Source-Währung Monero, und als diese zunehmend verfiel, kehrten sie zurück zur klassischen Lösegeldforderung.

Da die Angreifer die Rechner vieler Opfer bereits mit Trojaner-Downloadern kompromittiert hatten, war es für sie einfach, zum richtigen Zeitpunkt nachzuladen und einen Ransomware-Angriff zu starten. "Ich hatte erwartet, dass es mindestens zwei bis drei Jahre dauern würde, bis sich die Angreifer wieder ihrem ursprünglichen Geschäftsmodell zuwenden würden. Tatsächlich war es aber schon nach einem oder anderthalb Jahren so weit", bilanziert Hahad.

In der jüngsten Ransomware-Welle konzentrieren sich die Angreifer nicht mehr auf die Verschlüsselung von Endgeräten, sondern auf Produktionsserver mit geschäftskritischen Daten. "Wird ein Laptop nach dem Zufallsprinzip befallen, hat das für Unternehmen meistens keine gravierenden Auswirkungen", so Hahad. "Wenn die Angreifer aber die Server in die Finger bekommen, die das Tagesgeschäft antreiben, ist die höchste Alarmstufe erreicht."

Solche Angriffe verlangen mehr Raffinesse. Es geht darum, besser geschützte Systeme zu infiltrieren und Malware zu installieren. Laut Hahad sind bei solchen Angriffen die Täter oft auch direkt im Unternehmen aktiv, schnüffeln im Netzwerk herum, verschieben Dateien, verändern Zugangsprivilegien und verschaffen einem fremden "Admin" Zugangsberechtigung, damit er von außen auf Rechner zugreifen kann.

Heute sind eine Reihe von Ransomware-Familien mit teils divergierenden Angriffszielen und -methoden bekannt. Wir stellen Ihnen fünf der derzeit bösartigsten Cryptolocker vor.