Crypto-Trojaner Locky, TeslaCrypt & Co.

FAQ Ransomware - Fragen und Antworten

31.10.2017
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Was kann ich als Unternehmen gegen Ransomware tun?

Wichtig ist der richtige Mix aus Vorbereitung, Prävention und Reaktion. Daten müssen so gesichert werden, dass sie nach einem erfolgreichen Angriff leicht wiederherstellbar sind. Die Backups sollten vom Internet getrennt sein. Netzwerkfreigaben müssen so begrenzt werden, dass die kleinstmögliche Anzahl von Benutzern und Systemen Schreibrechte besitzen.

Eine Überwachung für E-Mails und ausführbare Dateien muss ebenfalls eingesetzt werden. Zum Schutz vor den sich schnell verändernden Malware-Varianten gilt es auch unbekannte Bedrohungen zu erkennen. Mittels statischer als auch dynamischer Analyse in einer virtuellen Sandbox-Umgebung werden bösartige Verhaltensweisen identifiziert. Neueste Erkenntnisse werden über entsprechende Dienste einer Next-Generation-Sicherheitsplattform global geteilt. Hinzu kommt die Endpunktüberwachung, mittels der sich die Ausführung von bösartigen Dateien stoppen lässt, bevor sie beginnt.

Die Mehrheit der neuen Ransomware-Familien verwendet starke Kryptographie, die nicht leicht rückgängig gemacht werden kann. Ransomware lässt sich aber mitunter bereits anhand der Informationen, die in der Erpressernachricht stehen, oder mithilfe von Malware-Analyse und Threat-Intelligence-Systemen identifizieren.

Was kann ich als Privatanwender gegen Ransomware tun?

Die Abwehrmaßnahmen sind zum Teil ähnlich wie bei Unternehmen, nur dass nicht der gleiche Funktionsumfang und Automatisierungsgrad zur Verfügung steht. Dies bedeutet zunächst vor allem, Backups anzulegen, getrennt vom Internet, und die Software zu aktualisieren, um Schwachstellen als Eintrittstor für Malware zu begrenzen.

Verdächtige Mails, die auf Phishing hindeuten, sollten gelöscht werden. Die enthaltenen Links könnten auch dazu dienen, Krypto-Ransomware herunterzuladen. Eine wichtige Maßnahme ist es, trotz Spam-Filter, nurE-Mails - und insbesondere E-Mail-Anhänge - von bekannten oder zu erwartenden und als legitim eingestuften Absendern zu öffnen. Im Zweifelsfall sollte der Absender überprüft werden.

Für verschiedene Arten von Ransomware sind bereits Tools zur Entschlüsselung verfügbar, so dass betroffene Nutzer auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen.

Warum ist Ransomware erfolgreich? Wieso versagen "klassische" Sicherheitslösungen hier so oft?

Ransomware-Angriffe starten oft mit einer E-Mail, die eine ausführbare Windows-Datei transportiert oder der Benutzer klickt auf einen Link, der eine ausführbare Datei herunterlädt. Zeitgemäße Netzwerksicherheitslösungen, wie zum Beispiel eine Firewall der nächsten Generation, können diese Dateien identifizieren, wenn sie das Netzwerk durchqueren und sie blockieren oder unter Quarantäne stellen. Herkömmliche Antivirus-Lösungen stoßen hier oft an ihre Grenzen und bieten nicht die erforderliche Funktionalität.

Die herkömmliche Taktik "Erkennen und darauf reagieren" ist bei Ransomware zu langsam. Wenn ein Erkennungssystem warnt, dass eine Infektion aufgetreten ist, ist es sehr wahrscheinlich schon zu spät, um die Verschlüsselung der Dateien zu verhindern. Signatur-basierte Systeme zur Erkennung neuer Malware haben sich daher als unzuverlässig erwiesen. Stattdessen sollten Systeme zum präventiven Schutz vor unbekannter Malware die bestehenden Komponenten der Netzwerksicherheit ergänzen.

Was ist in Zukunft von Ransomware zu erwarten?

Das Konzept wird noch besser anwendbar sein mit dem Wachstum des Internets der Dinge. Ein Angreifer könnte etwa in der Lage sein, einen mit dem Internet verbundenen Kühlschrank zu kompromittieren. Es wäre jedoch eine Herausforderung, daraus eine Einnahmequelle zu machen.

Die Höhe des Lösegelds dürfte künftig zunehmen, wenn das Geschäft weiterhin erfolgreich ist. Bei der Mehrheit der Ransomware-Angriffe auf einzelne Systeme liegt das Lösegeld bereits zwischen 200 und 500 Dollar, aber diese Werte können auch viel höher sein. Bei einigen hochkarätigen Angriffen gegen Krankenhäuser, betrugen die gezahlten Lösegelder weit über 10.000 Dollar.

Gezielte Ransomware-Angriffe werden sich häufen. Sind die Angreifer einmal im Netzwerk, werden sie noch gezielter nach wertvollen Dateien, Datenbanken und Backup-Systemen suchen und sogar alle diese Daten auf einmal verschlüsseln. Solche Angriffe sind bereits in freier Wildbahn identifiziert worden - wie im Fall der SamSa-Malware.