Crypto-Trojaner Locky, TeslaCrypt & Co.

FAQ Ransomware - Fragen und Antworten

31.10.2017
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Ransomware ist der aktuelle Trend in der Unterwelt: Unternehmen und Privatleute werden mit Cryptolockern erpresst - Entschlüsselung wichtiger Daten nur gegen Lösegeld. Wir beantworten die wichtigsten Fragen zum Thema.

Thorsten Henning von Security-Anbieter Palo Alto Networks erklärt im Interview, was Ransomware ist, wo sie herkommt, warum sie so erfolgreich ist und was Unternehmen wie Privatanwender gegen sie tun können.

Thorsten Henning arbeitet als Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Thorsten Henning arbeitet als Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Foto: Palo Alto Networks

Was ist Ransomware?

Der Begriff Ransomware steht heute in erster Linie für kryptografische Ransomware oder sogenannte Erpressungstrojaner. Die Ransomware erreicht den Computer über eine Sicherheitslücke - in der Regel in einem Browser oder einem Dokumentenleser - oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei.

Der Schadcode identifiziert und verschlüsselt dann wertvolle Dateien auf dem Rechner, etwa Dokumente, Bilder, Zertifikate etc. Daraufhin kommt eine Lösegeldforderung für die Entschlüsselung der Daten innerhalb eines bestimmten Zeitrahmens.

Beispiele für Ransomware sind CryptoLocker, CryptoWall, Locky und auch WannaCry und Petya. Krypto-Ransomware ist die häufigste und erfolgreiche Art von Ransomware, aber nicht die einzige. Es ist wichtig, daran zu erinnern, dass Ransomware nicht eine Familie von Malware ist, sondern ein kriminelles Geschäftsmodell, bei dem bösartige Software verwendet wird.

Viele Unternehmen und Privatanwender zahlen das Daten-Lösegeld - auch wenn Experten empfehlen, es nicht zu tun.
Viele Unternehmen und Privatanwender zahlen das Daten-Lösegeld - auch wenn Experten empfehlen, es nicht zu tun.
Foto: nito - shutterstock.com

Wie ist Ransomware entstanden?

Als erster Fall von Ransomware gilt der AIDS-Trojaner aus dem Jahr 1989 zu Zeiten der HIV-Epidemie in den USA. Der Evolutionsbiologe Dr. Joseph Popp verschickte 20.000 infizierte Disketten mit dem Titel "AIDS Information - Introductory Diskettes" an Teilnehmer der Welt-AIDS-Konferenz der WHO. Nach dem 90. Systemstart erschien auf dem Bildschirm eine Lösegeldforderung der "PC Cyborg Corporation", um das System wieder freizugeben. Die Motive blieben unklar.

Mit dem Ausbau des Internets in den 1990er Jahren wird die Verschlüsselung von wertvollen Daten mit anschließender "Lösegeld"-Forderung zu einem lukrativen Geschäftsmodell für Cyberbösewichte. 2005 erfolgt eine Aufteilung in zwei Ausprägungen: Scareware und kryptografische Ransomware. Scareware ist ein Schadprogramm für automatisiertes Social Engineering. Kryptografische Ransomware hat sich seitdem zu einer der größten Cyberbedrohungen entwickelt.

In den letzten drei Jahren haben Cyberkriminelle die Angriffskomponenten regelrecht perfektioniert in Form von neuen Ransomware-Familien, die allesamt effektivere Technik in sich tragen.

Warum ist Ransomware für Cyberkriminelle so attraktiv?

Das kriminelle Geschäftsmodell hat sich bewährt zur einfachen und risikoarmen Umsatzgenerierung. So sind in den letzten Jahren immer mehr bösartige Akteure hinzugekommen, um von diesem lukrativen "Geschäftsmodell" ebenfalls zu profitieren.

Die Krypto-Währung Bitcoin stellt dabei einen Zahlungsmechanismus zur Verfügung, der dem Erfolg dieses Systems in die Hände spielt. Die Zahlungsarten, auf die frühe Formen von Ransomware angewiesen waren, wurden stillgelegt oder Regulierungsmaßnahmen unterzogen. Bitcoin aber hat keine zentrale Autorität, gegen die Strafverfolgungsmaßnahmen geltend gemacht werden können.

Dies bedeutet, Cyberkriminellen stehen heute auf einfache Weise die nötigen Malware-Techniken zur Verfügung, ebenso wie ein diskretes Zahlungssystem. Diese Kombination aus einfacher Verfügbarkeit und Handhabung der eingesetzten Malware und diskreter Zahlungsabwicklung macht Ransomware für immer mehr Betrüger attraktiv.

Betrifft Ransomware eher Privatanwender oder eher Unternehmen?

Ransomware hat keine speziellen Ziele. Der gleiche Angriff kann einem internationalen Unternehmen schaden, aber ebenso einem lokalen Restaurant oder einem privaten Internetnutzer. Bei den Unternehmen sind alle bedeutenden Branchen betroffen und alle Unternehmensgrößen betroffen. Die finanziellen Auswirkungen von Ransomware bei den Unternehmen sind enorm, was sich besonders bei einigen hochkarätigen Vorfällen gezeigt hat.

Dennoch sind auch private Anwender potenziell lohnende Ziele für Angreifer. Bei Angriffen auf Privatnetze wird ein höheres Volumen erzielt und sie sind leichter durchzuführen. Dies liegt am geringeren Sicherheitsniveau und der fehlenden Schulung der Anwender. Die Angreifer erwirtschaften aber weniger Geld pro Infektion als bei Unternehmen. Ransomware-Kriminelle, die auf den "Massenmarkt" setzen, können dennoch in der Summe dennoch beträchtliche Beträge erwirtschaften.

Wie läuft solch eine Erpressung genau ab?

Um das Opfer zu erpressen, geht der Cyberkriminelle immer nach dem gleichen Mustern vor. Er muss in der Lage sein, die folgenden Schritte auszuführen:

  • Die Kontrolle über ein System oder Gerät übernehmen.

  • Den rechtmäßigen Benutzer daran hindern, dass er entweder teilweise oder vollständig Zugriff auf das System erhält.

  • Eine Benachrichtigung beim Benutzer einblenden, dass das Gerät gesperrt ist und auf welche Weise und wie viel Lösegeld gefordert wird.

  • Den Zahlungseingang überprüfen.

  • Nachdem die Zahlung eingegangen ist, dem Benutzer wieder vollen Zugriff auf das Gerät gewähren.

Wenn der Angreifer in einem dieser Schritte fehlschlägt, wird diese Erpressungstaktik nicht erfolgreich sein. Dies gilt auch für den letzten Schritt. Wenn die Daten nicht freigegeben werden, wird auf Dauer niemand mehr Lösegeld zahlen.

Während das Konzept von Ransomware bereits seit Jahrzehnten existiert, standen die nötigen Techniken, um alle fünf Schritte in großem Stil automatisiert durchführen zu können, bis vor wenigen Jahren nicht zur Verfügung. Dies gilt auch für die Zahlungsabwicklung mittels Bitcoin.

Welche Plattformen sind betroffen? Ist Ransomware ein reines Windows-Problem?

Bisher galten Ransomware-Angriffe in erster Linie Windows-basierten Systemen. Ransomware hat sich aber bereits von Windows auf Android-Geräte ausgedehnt und im Fall von KeRanger gezielt Mac OS X ins Visier genommen.

Kein System ist immun gegen die Angriffe und jedes Gerät, das angegriffen werden kann, wird zukünftig ein Ziel sein. Ransomware hat sich vom Windows-Problem zum lange Zeit als sicherer eingestuften OS X und mobilen Plattformen, sowohl Android als auch iOS, vorgearbeitet.

Die Akteure haben es nicht auf bestimmte Plattformen abgesehen, sondern wollen möglichst viele Systeme kompromittieren, um ihren Gewinn zu maximieren. Der Trend geht eindeutig in die Richtung, dass Ransomware zu einem immer größeren Problem für alle gängigen stationären und mobilen Plattformen wird.