Ransomware ist der aktuelle Trend in der Unterwelt: Unternehmen und Privatleute werden mit Cryptolockern erpresst - Entschlüsselung wichtiger Daten nur gegen Lösegeld. Wir beantworten die wichtigsten Fragen zum Thema.
Thorsten Henning von Security-Anbieter Palo Alto Networks erklärt im Interview, was Ransomware ist, wo sie herkommt, warum sie so erfolgreich ist und was Unternehmen wie Privatanwender gegen sie tun können.
Thorsten Henning arbeitet als Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Foto: Palo Alto Networks
Was ist Ransomware?
Der Begriff Ransomware steht heute in erster Linie für kryptografische Ransomware oder sogenannte Erpressungstrojaner. Die Ransomware erreicht den Computer über eine Sicherheitslücke - in der Regel in einem Browser oder einem Dokumentenleser - oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei.
Der Schadcode identifiziert und verschlüsselt dann wertvolle Dateien auf dem Rechner, etwa Dokumente, Bilder, Zertifikate etc. Daraufhin kommt eine Lösegeldforderung für die Entschlüsselung der Daten innerhalb eines bestimmten Zeitrahmens.
Beispiele für Ransomware sind CryptoLocker, CryptoWall, Locky und auch WannaCry und Petya. Krypto-Ransomware ist die häufigste und erfolgreiche Art von Ransomware, aber nicht die einzige. Es ist wichtig, daran zu erinnern, dass Ransomware nicht eine Familie von Malware ist, sondern ein kriminelles Geschäftsmodell, bei dem bösartige Software verwendet wird.
Viele Unternehmen und Privatanwender zahlen das Daten-Lösegeld - auch wenn Experten empfehlen, es nicht zu tun. Foto: nito - shutterstock.com
Wie ist Ransomware entstanden?
Als erster Fall von Ransomware gilt der AIDS-Trojaner aus dem Jahr 1989 zu Zeiten der HIV-Epidemie in den USA. Der Evolutionsbiologe Dr. Joseph Popp verschickte 20.000 infizierte Disketten mit dem Titel "AIDS Information - Introductory Diskettes" an Teilnehmer der Welt-AIDS-Konferenz der WHO. Nach dem 90. Systemstart erschien auf dem Bildschirm eine Lösegeldforderung der "PC Cyborg Corporation", um das System wieder freizugeben. Die Motive blieben unklar.
Mit dem Ausbau des Internets in den 1990er Jahren wird die Verschlüsselung von wertvollen Daten mit anschließender "Lösegeld"-Forderung zu einem lukrativen Geschäftsmodell für Cyberbösewichte. 2005 erfolgt eine Aufteilung in zwei Ausprägungen: Scareware und kryptografische Ransomware. Scareware ist ein Schadprogramm für automatisiertes Social Engineering. Kryptografische Ransomware hat sich seitdem zu einer der größten Cyberbedrohungen entwickelt.
In den letzten drei Jahren haben Cyberkriminelle die Angriffskomponenten regelrecht perfektioniert in Form von neuen Ransomware-Familien, die allesamt effektivere Technik in sich tragen.
Die Geschichte des Computer-Virus
1986: Brain Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99 Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.
Warum ist Ransomware für Cyberkriminelle so attraktiv?
Das kriminelle Geschäftsmodell hat sich bewährt zur einfachen und risikoarmen Umsatzgenerierung. So sind in den letzten Jahren immer mehr bösartige Akteure hinzugekommen, um von diesem lukrativen "Geschäftsmodell" ebenfalls zu profitieren.
Die Krypto-Währung Bitcoin stellt dabei einen Zahlungsmechanismus zur Verfügung, der dem Erfolg dieses Systems in die Hände spielt. Die Zahlungsarten, auf die frühe Formen von Ransomware angewiesen waren, wurden stillgelegt oder Regulierungsmaßnahmen unterzogen. Bitcoin aber hat keine zentrale Autorität, gegen die Strafverfolgungsmaßnahmen geltend gemacht werden können.
Dies bedeutet, Cyberkriminellen stehen heute auf einfache Weise die nötigen Malware-Techniken zur Verfügung, ebenso wie ein diskretes Zahlungssystem. Diese Kombination aus einfacher Verfügbarkeit und Handhabung der eingesetzten Malware und diskreter Zahlungsabwicklung macht Ransomware für immer mehr Betrüger attraktiv.
Was ist was bei Blockchain, Bitcoin und Co.?
Ethereum Eine weitere Kryptowährung, die auf dem Blockchain-Prinzip basiert. Bietet eine Plattform für programmierbare Smart Contracts. Die "Ether" werden von Fans als legitime Nachfolger der Bitcoins angesehen (siehe auch obiges Bild).
Cryptlet Von Microsoft für die Azure-Cloud entwickelter Service, mit dessen Hilfe Anwender externe Daten in eine Blockchain einpflegen können, ohne ihre Sicherheit und Integrität zu zerstören. Cryptlets können als indvidualisierte Middleware auch von Azure-Anwendern selbst entwickelt werden - in jeder beliebigen Programmiersprache - und sollen die Brücke von der Blockchain hin zu neuen Business-Services in der Cloud schlagen.
Kryptowährung Digitales Geld, ohne Münzen und Scheine. Mithilfe von Kryptografie wird ein verteiltes, sicheres und dezentralisiertes Zahlungssystem aufgebaut. Benötigt keine Banken, sondern Rechenpower und technische Hilfsmittel wie die Blockchain.
Blockchain Eine Blockchain ist eine dezentrale Datenbank, die eine stetig wachsende Liste von Transaktionsdatensätzen vorhält. Die Datenbank wird chronologisch linear erweitert, vergleichbar einer Kette, der am unteren Ende ständig neue Elemente hinzugefügt werden (daher auch der Begriff "Blockchain" = "Blockkette"). Ist ein Block vollständig, wird der nächste erzeugt. Jeder Block enthält eine Prüfsumme des vorhergehenden Blocks. <br /><br /> Entwickelt wurde das technische Modell der Blockchain im Rahmen der Kryptowährung Bitcoin - als webbasiertes, dezentralisiertes, öffentliches Buchhaltungssystem aller Bitcoin-Transaktionen, die jemals getätigt wurden.
Bitcoin Core Die Open-Source-Software validiert die gesamte Blockchain und wurde Anfang 2009 von einem gewissen <a href="http://www.computerwoche.de/a/neue-hinweise-auf-moeglichen-urheber-von-digitalwaehrung-bitcoin,3220391" target="_blank">"Satoshi Nakamoto"</a> unter dem Namen "Bitcoin" veröffentlicht. Bitcoin Core war in C++ zuächst vor allem für Windows-Systeme programmiert worden. Wenig später folgte die Portierung auf GNU/Linux. Weil die Entwickler sich zerstritten, existieren mittlerweile einige Derivate der Bitcoin-Software, unter anderem Bitcoin XT, Bitcoin Unlimited oder Bitcoin Classic.
BigchainDB Die "skalierbale Blockchain-Datenbank" kann bis zu einer Millionen Schreibvorgänge pro Sekunde verwalten, Petabytes an Daten speichern und wartet trotzdem mit einer Latenzzeit von unter einer Sekunde auf - das alles dezentralisiert verwaltet und bei höchster Datenintegrität. Technische Grundlage ist die Blockchain-Technologie.
Distributed Ledger Finanz-Fachbegriff für "verteilte Kontoführung". Bitcoin ist ein komplett neuer technischer Ansatz, um Informationen über bestimmte Zuordnungen zu verteilen. Es gibt hier kein klassisches Konto mehr, das zentral bei einer Bank geführt wird, sondern die "Kontoführung" basiert auf einem Netzwerk von kommunizierenden Systemen.
Smart Contract Ein Computerprotokoll, das Verträge abbilden oder überprüfen oder die Verhandlung eines Vertrags technisch unterstützten kann. Könnte künftig den schriftlichen Vertragsabschluss ersetzen.
R3CEV Das Startup R3 CEV baut die blockchainbasierte "Global Fabric for Finance". Mit rund 50 Finanzpartnern soll die größte Blockchain der Welt entwickelt werden - ein erster Testlauf mit elf Großbanken, darunter Barclays, Credit Suisse, HSBC, UBS und UniCredit wurde bereits erfolgreich absolviert. R3CEV ist eine strategische Partnerschaft mit Microsoft eingegangen, um Blockchain-Infrastruktur und -Technologie in der Azure Cloud entwickeln zu können.
Ripple Ein Open-Source-Protokoll für ein Zahlungsnetzwerk - derzeit noch in der Entwicklung. P2P-Zahlverfahren und Devisenmarkt in einem, basiert auf der Kryptowährung "XRP". Ripple-Nutzer sind jedoch nicht auf diese eine Währung festgelegt, sondern können jede beliebige Währung verwenden - also beispielsweise auch Euro, Dollar oder Yen.
Betrifft Ransomware eher Privatanwender oder eher Unternehmen?
Ransomware hat keine speziellen Ziele. Der gleiche Angriff kann einem internationalen Unternehmen schaden, aber ebenso einem lokalen Restaurant oder einem privaten Internetnutzer. Bei den Unternehmen sind alle bedeutenden Branchen betroffen und alle Unternehmensgrößen betroffen. Die finanziellen Auswirkungen von Ransomware bei den Unternehmen sind enorm, was sich besonders bei einigen hochkarätigen Vorfällen gezeigt hat.
Dennoch sind auch private Anwender potenziell lohnende Ziele für Angreifer. Bei Angriffen auf Privatnetze wird ein höheres Volumen erzielt und sie sind leichter durchzuführen. Dies liegt am geringeren Sicherheitsniveau und der fehlenden Schulung der Anwender. Die Angreifer erwirtschaften aber weniger Geld pro Infektion als bei Unternehmen. Ransomware-Kriminelle, die auf den "Massenmarkt" setzen, können dennoch in der Summe dennoch beträchtliche Beträge erwirtschaften.
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Wie läuft solch eine Erpressung genau ab?
Um das Opfer zu erpressen, geht der Cyberkriminelle immer nach dem gleichen Mustern vor. Er muss in der Lage sein, die folgenden Schritte auszuführen:
Die Kontrolle über ein System oder Gerät übernehmen.
Den rechtmäßigen Benutzer daran hindern, dass er entweder teilweise oder vollständig Zugriff auf das System erhält.
Eine Benachrichtigung beim Benutzer einblenden, dass das Gerät gesperrt ist und auf welche Weise und wie viel Lösegeld gefordert wird.
Den Zahlungseingang überprüfen.
Nachdem die Zahlung eingegangen ist, dem Benutzer wieder vollen Zugriff auf das Gerät gewähren.
Wenn der Angreifer in einem dieser Schritte fehlschlägt, wird diese Erpressungstaktik nicht erfolgreich sein. Dies gilt auch für den letzten Schritt. Wenn die Daten nicht freigegeben werden, wird auf Dauer niemand mehr Lösegeld zahlen.
Während das Konzept von Ransomware bereits seit Jahrzehnten existiert, standen die nötigen Techniken, um alle fünf Schritte in großem Stil automatisiert durchführen zu können, bis vor wenigen Jahren nicht zur Verfügung. Dies gilt auch für die Zahlungsabwicklung mittels Bitcoin.
Welche Plattformen sind betroffen? Ist Ransomware ein reines Windows-Problem?
Bisher galten Ransomware-Angriffe in erster Linie Windows-basierten Systemen. Ransomware hat sich aber bereits von Windows auf Android-Geräte ausgedehnt und im Fall von KeRanger gezielt Mac OS X ins Visier genommen.
Kein System ist immun gegen die Angriffe und jedes Gerät, das angegriffen werden kann, wird zukünftig ein Ziel sein. Ransomware hat sich vom Windows-Problem zum lange Zeit als sicherer eingestuften OS X und mobilen Plattformen, sowohl Android als auch iOS, vorgearbeitet.
Die Akteure haben es nicht auf bestimmte Plattformen abgesehen, sondern wollen möglichst viele Systeme kompromittieren, um ihren Gewinn zu maximieren. Der Trend geht eindeutig in die Richtung, dass Ransomware zu einem immer größeren Problem für alle gängigen stationären und mobilen Plattformen wird.
Was kann ich als Unternehmen gegen Ransomware tun?
Wichtig ist der richtige Mix aus Vorbereitung, Prävention und Reaktion. Daten müssen so gesichert werden, dass sie nach einem erfolgreichen Angriff leicht wiederherstellbar sind. Die Backups sollten vom Internet getrennt sein. Netzwerkfreigaben müssen so begrenzt werden, dass die kleinstmögliche Anzahl von Benutzern und Systemen Schreibrechte besitzen.
Eine Überwachung für E-Mails und ausführbare Dateien muss ebenfalls eingesetzt werden. Zum Schutz vor den sich schnell verändernden Malware-Varianten gilt es auch unbekannte Bedrohungen zu erkennen. Mittels statischer als auch dynamischer Analyse in einer virtuellen Sandbox-Umgebung werden bösartige Verhaltensweisen identifiziert. Neueste Erkenntnisse werden über entsprechende Dienste einer Next-Generation-Sicherheitsplattform global geteilt. Hinzu kommt die Endpunktüberwachung, mittels der sich die Ausführung von bösartigen Dateien stoppen lässt, bevor sie beginnt.
Die Mehrheit der neuen Ransomware-Familien verwendet starke Kryptographie, die nicht leicht rückgängig gemacht werden kann. Ransomware lässt sich aber mitunter bereits anhand der Informationen, die in der Erpressernachricht stehen, oder mithilfe von Malware-Analyse und Threat-Intelligence-Systemen identifizieren.
IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Was kann ich als Privatanwender gegen Ransomware tun?
Die Abwehrmaßnahmen sind zum Teil ähnlich wie bei Unternehmen, nur dass nicht der gleiche Funktionsumfang und Automatisierungsgrad zur Verfügung steht. Dies bedeutet zunächst vor allem, Backups anzulegen, getrennt vom Internet, und die Software zu aktualisieren, um Schwachstellen als Eintrittstor für Malware zu begrenzen.
Verdächtige Mails, die auf Phishing hindeuten, sollten gelöscht werden. Die enthaltenen Links könnten auch dazu dienen, Krypto-Ransomware herunterzuladen. Eine wichtige Maßnahme ist es, trotz Spam-Filter, nurE-Mails - und insbesondere E-Mail-Anhänge - von bekannten oder zu erwartenden und als legitim eingestuften Absendern zu öffnen. Im Zweifelsfall sollte der Absender überprüft werden.
Für verschiedene Arten von Ransomware sind bereits Tools zur Entschlüsselung verfügbar, so dass betroffene Nutzer auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen.
Warum ist Ransomware erfolgreich? Wieso versagen "klassische" Sicherheitslösungen hier so oft?
Ransomware-Angriffe starten oft mit einer E-Mail, die eine ausführbare Windows-Datei transportiert oder der Benutzer klickt auf einen Link, der eine ausführbare Datei herunterlädt. Zeitgemäße Netzwerksicherheitslösungen, wie zum Beispiel eine Firewall der nächsten Generation, können diese Dateien identifizieren, wenn sie das Netzwerk durchqueren und sie blockieren oder unter Quarantäne stellen. Herkömmliche Antivirus-Lösungen stoßen hier oft an ihre Grenzen und bieten nicht die erforderliche Funktionalität.
Die herkömmliche Taktik "Erkennen und darauf reagieren" ist bei Ransomware zu langsam. Wenn ein Erkennungssystem warnt, dass eine Infektion aufgetreten ist, ist es sehr wahrscheinlich schon zu spät, um die Verschlüsselung der Dateien zu verhindern. Signatur-basierte Systeme zur Erkennung neuer Malware haben sich daher als unzuverlässig erwiesen. Stattdessen sollten Systeme zum präventiven Schutz vor unbekannter Malware die bestehenden Komponenten der Netzwerksicherheit ergänzen.
Was ist in Zukunft von Ransomware zu erwarten?
Das Konzept wird noch besser anwendbar sein mit dem Wachstum des Internets der Dinge. Ein Angreifer könnte etwa in der Lage sein, einen mit dem Internet verbundenen Kühlschrank zu kompromittieren. Es wäre jedoch eine Herausforderung, daraus eine Einnahmequelle zu machen.
Die Höhe des Lösegelds dürfte künftig zunehmen, wenn das Geschäft weiterhin erfolgreich ist. Bei der Mehrheit der Ransomware-Angriffe auf einzelne Systeme liegt das Lösegeld bereits zwischen 200 und 500 Dollar, aber diese Werte können auch viel höher sein. Bei einigen hochkarätigen Angriffen gegen Krankenhäuser, betrugen die gezahlten Lösegelder weit über 10.000 Dollar.
Gezielte Ransomware-Angriffe werden sich häufen. Sind die Angreifer einmal im Netzwerk, werden sie noch gezielter nach wertvollen Dateien, Datenbanken und Backup-Systemen suchen und sogar alle diese Daten auf einmal verschlüsseln. Solche Angriffe sind bereits in freier Wildbahn identifiziert worden - wie im Fall der SamSa-Malware.