Foto: karthik o - shutterstock.com
Bei Ransomware-Angriffen entern Angreifer die Endgeräte und Server ihrer Opfer, verschlüsseln gezielt Daten und verlangen Lösegeld in Form von Kryptowährungen für deren Freigabe. Mit derlei Verschlüsselungstrojanern haben Cyberkriminelle schon die IT-Landschaften großer Unternehmen lahmgelegt: Zu den Opfern zählen hierzulande etwa Krauss Maffei, die Deutsche Bahn, das Klinikum Fürstenfeldbruck, das Lukaskrankenhaus in Neuss und viele andere.
Die Cryptolocker-Geschichte
Angriffe dieser Art gibt es schon seit vielen Jahren. 1991 verbreitete ein Biologe PC Cyborg, einen in QuickBasic programmierten Trojaner, der noch auf Diskette per Post verschickt wurde. Betroffen waren AIDS-Forscher, die ihre Daten nach Aktivierung des Datenträgers verschlüsselt vorfanden und aufgefordert wurden, die "Jahreslizenz" für die Benutzung ihres Rechners für 189 Dollar zu erneuern - zu zahlen per Verrechnungscheck an ein Postfach in Panama.
2006 kam dann Archiveus auf, die erste Ransomware, die Windows-Systeme befiel, erstmals eine RSA-Verschlüsselung verwendete und über E-Mail und File-Sharing-Seiten verbreitet wurde. Dieser Trojaner ist längst Geschichte. Eine ganze Reihe von Ransomware-Paketen attackierten dann Anfang 2010 die Netze, bekannt unter dem Namen Police: Die Angreifer gaben sich als Strafverfolgungsbehörden aus und forderten Geldstrafen für angeblich illegale Aktivitäten der Opfer. Hier kam erstmals eine neue Generation anonymer Zahlungsdienste zum Einsatz, die es ermöglichte, unerkannt das Lösegeld abzukassieren.
Wenig später etablierte sich dann ein neuer Trend: Die Cyberkriminellen begannen, sich in Kryptowährungen auszahlen zu lassen - eine kaum aufzuspürende, anonyme Zahlungsmethode. Die meisten Banden rechnen seitdem in Bitcoins ab, einige fingen aber auch damit an, ihre Forderungen auf andere Währungen zu verlagern, da ihnen die erheblichen Kursschwankungen beim Bitcoin nicht gefielen.
Die Angriffe erreichten Mitte der 2010er Jahre einen neuen Höhepunkt, ehe sich die Gangster dann 2018 vorübergehend auf eine andere Gemeinheit konzentrierten, Bitcoins zu erbeuten: Sie entdeckten das Cryptojacking. Dabei werden Rechner über Malware oder einen Browser-basierten Injection-Angriff infiziert und - unbemerkt vom Nutzer - für das Mining von Kryptowährungen zweckentfremdet. Laut IBM gingen die Ransomware-Angriffe 2018 um 45 Prozent zurück, während die Angriffe durch Cryptojacking um 450 Prozent zulegten.
Ransomware-Angriffe heute
In den beiden vergangenen Jahren sind die Attacken mit Verschlüsselungstrojanern allerdings mit voller Wucht zurückgekehrt. Mounir Hahad, Leiter der Juniper Threat Labs bei Juniper Networks, sieht zwei große Triebkräfte hinter diesem Trend. Der erste hat mit den Unwägbarkeiten der Preisgestaltung für Krypto-Währungen zu tun. Viele Cryptojacker benutzten die Computer ihrer Opfer für das Mining der Open-Source-Währung Monero, und als diese zunehmend verfiel, kehrten sie zurück zur klassischen Lösegeldforderung.
Da die Angreifer die Rechner vieler Opfer bereits mit Trojaner-Downloadern kompromittiert hatten, war es für sie einfach, zum richtigen Zeitpunkt nachzuladen und einen Ransomware-Angriff zu starten. "Ich hatte erwartet, dass es mindestens zwei bis drei Jahre dauern würde, bis sich die Angreifer wieder ihrem ursprünglichen Geschäftsmodell zuwenden würden. Tatsächlich war es aber schon nach einem oder anderthalb Jahren so weit", bilanziert Hahad.
In der jüngsten Ransomware-Welle konzentrieren sich die Angreifer nicht mehr auf die Verschlüsselung von Endgeräten, sondern auf Produktionsserver mit geschäftskritischen Daten. "Wird ein Laptop nach dem Zufallsprinzip befallen, hat das für Unternehmen meistens keine gravierenden Auswirkungen", so Hahad. "Wenn die Angreifer aber die Server in die Finger bekommen, die das Tagesgeschäft antreiben, ist die höchste Alarmstufe erreicht."
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Solche Angriffe verlangen mehr Raffinesse. Es geht darum, besser geschützte Systeme zu infiltrieren und Malware zu installieren. Laut Hahad sind bei solchen Angriffen die Täter oft auch direkt im Unternehmen aktiv, schnüffeln im Netzwerk herum, verschieben Dateien, verändern Zugangsprivilegien und verschaffen einem fremden "Admin" Zugangsberechtigung, damit er von außen auf Rechner zugreifen kann.
Heute sind eine Reihe von Ransomware-Familien mit teils divergierenden Angriffszielen und -methoden bekannt. Wir stellen Ihnen fünf der derzeit bösartigsten Cryptolocker vor.