Von Hackern erpresst

Die 5 größten Ransomware-Attacken

04.08.2017
Von  und
Josh Fruhlinger ist freier Autor in Los Angeles.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Die größten Hackerangriffe mit Erpressungstrojanern in den vergangenen fünf Jahren zeigen eindrucksvoll, wie sich Ransomware von der Netz-Kuriosität zum internationalen Unternehmensschreck entwickelt hat.

Malware, die Ihre Daten als Geisel nimmt, gibt es schon seit vielen Jahren. Genauer gesagt seit mehr als 28 Jahren. 1989 breitet sich der AIDS-Trojaner (auch bekannt unter der Bezeichnung PC Cyborg) über Floppy Disks aus. Bei einer Infektion folgt eine Zahlungsaufforderung: 189 Dollar sollen per Verrechnungsscheck nach Panama geschickt werden.

Ransomware hat sich zum globalen Unternehmensschreck gemausert. Wir lassen die 5 größten Attacken der letzten Jahre Revue passieren.
Ransomware hat sich zum globalen Unternehmensschreck gemausert. Wir lassen die 5 größten Attacken der letzten Jahre Revue passieren.
Foto: Gorodenkoff - shutterstock.com

Im Jahr 2006 erscheint mit Archiveus die erste Ransomware, die Daten auch verschlüsselt. Mit dem Aufkommen von anonymen Online-Zahlungsdiensten finden kriminelle Hacker ab 2011 zudem neue, einträgliche Verbreitungsmaschen. Erpressungstrojaner werden in E-Mails eingebettet, die vermeintlich von Strafverfolgungsbehörden stammen, die wegen Copyright-Verletzungen Kontakt mit dem betreffenden User aufnehmen wollen. Doch das ist nur der Anfang.

Das Jahr 2017 markiert schließlich den bisherigen Höhepunkt der Ransomware-Welle: Mit WannaCry und Petya wüten gleich zwei Erpressungstrojaner auf internationaler Ebene. Wir haben die fünf größten Ransomware-Attacken der vergangenen fünf Jahre für Sie zusammengefasst:

CryptoLocker: Bühne frei für Ransomware

Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um User Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Laut Jonathan Penn, Director of Strategy bei Avast, bringt es CryptoLocker zu seinen Hochzeiten (Ende 2013, Anfang 2014) auf rund 500.000 infizierte Rechner.

Trotzdem ist CryptoLocker noch recht primitiv ausgestaltet: Eine White-Hat-Kampagne macht dem Botnetz, das die Ransomware steuert, den Garaus. So kommen auch die Entschlüsselungs-Keys an die Öffentlichkeit. Dennoch ist es laut Penn vor allem CryptoLocker, der die Tore für andere Ransomware-Familien weit aufstößt: Seine Code-Basis findet sich in vielen anderen Erpressungstrojanern. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen (von denen CryptoWall die populärste ist) rund drei Millionen Dollar.

TeslaCrypt: Gamer im Visier der Hacker

Wenig später entsteht mit TeslaCrypt bereits die nächste Bedrohung. Zunächst gehen Experten davon aus, dass es sich bei TeslaCrypt um eine Abwandlung von CryptoLocker handelt. Der Erpressungstrojaner zielt (in seiner ursprünglichen Form) auf die File-Erweiterungen populärer Videospiele wie Call of Duty - also gespeicherte Spielstände, Multiplayer-Karten oder auch Download-Content. Diese Dateien sind für Hardcore-Gamer durchaus von gesteigerter Bedeutung, werden aber in der Regel lokal vorgehalten und nicht in der Cloud oder auf einem externen Medium. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen.

Die Ransomware TeslaCrypt nimmt 2015/2016 die Nutzer populärer Videogames wie Call of Duty ins Visier.
Die Ransomware TeslaCrypt nimmt 2015/2016 die Nutzer populärer Videogames wie Call of Duty ins Visier.
Foto: Tinxi - shutterstock.com

Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. So bleibt Betroffenen kein anderer Ausweg mehr, als mit den kriminellen Hackern in Kontakt zu treten, wenn sie ihre Daten wiederbekommen wollen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme durch TeslaCrypt beendet.

SimpleLocker: Ransomware wird mobil

Der Mobile-Boom sorgt dafür, dass mehr und mehr sensible (Unternehmens-)Daten Einzug auf mobilen Endgeräten halten. Das erkennen auch die Ransomware-Scammer und "küren" Android zum Betriebssystem ihrer Wahl: Zwischen Ende 2015 und Anfang 2016 vervierfacht sich die Zahl der Ransomware-Angriffe auf Android-Geräte. SimpleLocker ist dabei die erste echte Bedrohung: Es ist die erste bekannte, mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt - und zwar ganz ohne Zutun der kriminellen Hacker. Noch dazu ist es auch die erste Ransomware, die ihre maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet.

Und jetzt die gute Nachricht: Auch wenn die "SimpleLocker-Ära" für einen sprunghaften Anstieg bei den Malware-Infektionen von Android-Geräten sorgt, ist die Zahl der Betroffenen relativ gering: Ende 2016 liegt sie bei circa 150.000 Infektionen - wovon nur ein kleiner Anteil auf die Android-Nutzer entfällt. Und: Die allermeisten Betroffenen infizieren sich mit der erpresserischen Malware, weil sie auf Porno-Apps oder ähnliche "inoffizielle" App-Store-Inhalte hereinfallen. Google arbeitet unterdessen daran, den Usern klar zu machen, dass es ziemlich schwer ist, sich mit Ransomware zu infizieren. Dennoch: Die Bedrohung ist real.