Anfang 2017 wurden beim bis dato größten Ransomware-Angriff über 33.000 Datenbanken verschlüsselt. Nur ein paar Monate später stellte hat eine neue Bedrohung namens WannaCry einen neuen Negativ-Rekord auf - und es ist noch nicht vorbei. Erst vor kurzem waren Unternehmen wieder das Ziel eines weltweiten Ransomware-Angriffs namens Petya (auch bekannt als GoldenEye). Höchste Zeit also zu verstehen, was sich hinter Ransomware verbirgt, was wir aus den bisherigen Angriffen lernen können und wie sich Unternehmen schützen müssen.
Foto: Zephyr_p - shutterstock.com
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
Was steckt hinter dem Begriff "Ransomware"?
Ransomware ist eine Schadsoftware, die alle Daten auf dem betroffenen Gerät verschlüsselt und einen bestimmten Geldbetrag (in der Regel in Bitcoin) für den Entschlüsselungsschlüssel verlangt. In nur wenigen Tagen hat WannaCry über 300.000 Geräte in 150 Ländern infiziert und das obwohl ein in die Software eingebauter Kill-Switch (eine Art Notausschalter) den Angriff verlangsamte. Neue Ransomware-Varianten, wie Petya besitzen keinen Kill-Switch und sind daher viel schwerer zu stoppen.
Das Besondere an diesen Attacken sind ihre direkten Auswirkungen auf Regierungen, Unternehmen und Verbraucher auf der ganzen Welt. Der WannaCry-Angriff lähmte den britischen National Health Service: Teilweise waren Krankenhäuser praktisch stillgelegt und konnten nur noch Notfall-Patienten behandeln. Der französische Autohersteller Renault musste aufgrund eines Ransomware-Angriffs, mehrere Fabriken vorübergehend schließen. In Dänemark konnte die weltweit größte Containerschiff-Reederei, durch den Angriff von Petya keine neuen Aufträge mehr annehmen, was wiederum Verzögerungen in anderen Industriebereichen zur Folge hatte.
Wie kann ich mein Unternehmen schützen?
Der effektivste Weg, um Ihr Unternehmen vor Ransomware zu schützen ist, sich rechtzeitig auf den nächsten Angriff vorzubereiten. Sobald Ihre Systeme infiziert sind gibt es oft keine Möglichkeit mehr alle Daten zu entschlüsseln, ohne dafür Lösegeld bezahlen zu müssen. Und selbst wenn man Lösegeld bezahlt, gibt es keine Garantien: Sie müssen darauf vertrauen, dass die Hackern Ihnen den Entschlüsselungscode auch wirklich geben. Das kann Tage oder sogar Wochen dauern - vorausgesetzt, die Hacker beschließen Ihnen den Schlüssel überhaupt zu geben.
Es gibt zwei wichtige Maßnahmen, mit denen Sie Ihr Unternehmen vor zukünftigen Ransomware-Angriffen schützen können:
Stellen Sie sicher, dass Ihre Betriebssysteme und Virendefinitionen auf dem neuesten Stand gehalten werden. Fast alle komplexen Systeme haben Sicherheitslücken, die aber erst Monate, Jahre oder sogar Jahrzehnte nach Veröffentlichung der Software gefunden werden. WannaCry und Petya nutzten den EternalBlue-Exploit, den Microsoft im März mit einem wichtigen Sicherheitsupdate geschlossen hat. IT-Administratoren müssen daher sicherstellen, dass alle Windows-Rechner des Netzwerks dieses Sicherheitspatch erhalten haben, entweder durch ein automatisches Update (für Windows 7 oder höher) oder durch eine manuelle Aktualisierung (bei Systemen mit Windows 8, Windows XP oder Windows Server 2003). Aber auch die Hersteller aus den Bereichen IoT, Automotive und Industrie 4.0 sind in der Pflicht, nur aktuelle Software und Teilsysteme in ihren Produkten zu verwenden.
Sichern Sie Ihre wichtigen Daten an einem separaten Ort. Ransomware arbeitet unter der Annahme, dass Sie keine Datensicherung haben, andernfalls könnten Sie die Daten einfach wiederherstellen und die Systeme wieder einsatzbereit machen. Was WannaCry und Petya so einzigartig macht, ist die Tatsache, dass sie sich von Computer zu Computer selbstständig über das Netzwerk weiterverbreiten. Daher sollten Sie sicherstellen, dass die Sicherheitskopien Ihrer Daten ordnungsgemäß isoliert sind, entweder indem Sie Ihr Netzwerk segmentieren oder einen Offline-Datenträger verwenden. So verhindern Sie, dass Sicherheitskopien ebenfalls verschlüsselt werden.
Wie geht es weiter?
Cyberattacken wachsen weiterhin exponentiell in Größe und Häufigkeit und verursachen Schäden in Milliarden-Höhe für Regierungen, Unternehmen und die Gesellschaft. Mit dem sich entwickelnden Internet der Dinge werden diese Angriffe noch heftiger werden und bedrohen dann nicht mehr "nur" unsere Privatsphäre, sondern auch unsere persönliche Sicherheit. Wir haben bereits DDoS-Angriffe erlebt, die von Millionen IoT-Geräten ausgingen. Wie lange dauert es, bevor Hacker anfangen Daten in selbstfahrenden Autos zu verschlüsseln oder Lösegeld für die Entschlüsselung von Stromnetzen zu verlangen?
Wir haben aus den Angriffen von WannaCry und Petya vieles gelernt. Wir müssen dafür sorgen, dass diese Lektionen auch lange nach der Berichterstattung über Ransomware-Angriffe Beachtung finden. Wir haben gelernt, wie wichtig sichere Software-Updates sind und das sie von vielen IoT-Geräten immer noch nicht unterstützt werden. Hersteller aus den Bereichen IoT, Automotive und Industrie 4.0 müssen sich daher intensiv um eine sichere Herstellungskette bemühen und ein wirksames Security Lifecycle Management einführen. Nur so kann Gefahr, die von veralteten Systemen ausgeht, verhindert werden. Wir wissen, das Remote-Backups notwendig sind, aber von vielen Unternehmen und Einzelpersonen noch nicht genutzt werden. Aber die wichtigste Erkenntnis ist, das Cyber-Sicherheit proaktiv sein muss. Die Kosten für die Schadensbeseitigung nach einer Cyberattacke sind um ein vielfaches höher, als die Kosten für die Abwehr einer solchen Attacke. Wenn wir aus diesen Fehlern lernen und die richtigen Maßnahmen ergreifen, dann haben wir gute Chancen, die nächste große Ransomware-Attacke zu verhindern.