Ransomware

Was Sie über Erpressersoftware wissen müssen

26.03.2020
Von 


Alexei Balaganski ist als Lead Analyst für KuppingerCole tätig und legt einen speziellen Fokus auf Cybersecurity-Themen und Artificial Intelligence. In seinen regelmäßigen Blogs und Research Papers deckt er ein breites Spektrum an sicherheitsrelevanten Themen ab: von der Datenbank-, Anwendungs- und API-Sicherheit bis hin zum Informationsschutz, der Kryptographie und der KI-basierten Sicherheitsautomatisierung.
Wir zeigen, was sich hinter dem Begriff Ransomware verbirgt und was Sie tun können, wenn Erpressersoftware Ihre Systeme verschlüsselt hat.
Wenn Ihr Bildschirm so - oder ähnlich - aussieht, sind Sie Opfer von Ransomware geworden. Wir sagen Ihnen, was Sie über die Erpressersoftware wissen müssen.
Wenn Ihr Bildschirm so - oder ähnlich - aussieht, sind Sie Opfer von Ransomware geworden. Wir sagen Ihnen, was Sie über die Erpressersoftware wissen müssen.
Foto: Jarretera - shutterstock.com

Es ist erstaunlich, wie schnell sich das Wort "Pandemie" von einem Begriff aus obskuren Computerspielen zum Mittelpunkt alltäglicher Gespräche entwickelt hat. Wenn man jedoch die neuesten Nachrichten über den Ausbruch des Coronavirus diskutiert, sollte man eine weitere Pandemie nicht vergessen, die bereits seit mehreren Jahren massive Schäden bei Unternehmen, Regierungen und Privatpersonen auf der ganzen Welt verursacht.

Seit ihrem ersten Auftauchen in Osteuropa vor etwa einem Jahrzehnt hat sie sich schnell zu einer der größten globalen Bedrohungen für die IT Security entwickelt. Sie legt Krankenhäuser und ganze Städte lahm, bringt Unternehmen zum völligen Stillstand und verursacht weltweit wirtschaftliche Schäden in Milliardenhöhe. Die Rede ist natürlich von Ransomware.

Was ist Ransomware überhaupt?

Ransomware ist eine Art bösartiger Verschlüsselungssoftware, die Sie daran hindern soll, auf Ihren Computer (oder bestimmte Dateien darauf) zuzugreifen, bis ein Lösegeld (Ransom) an den oder die verantwortlichen Angreifer gezahlt wird. Normalerweise wird Ransomware als legitimes Dokument oder Programm getarnt und die Benutzer - beispielsweise durch den Einsatz von Social-Engineering-Methoden - dazu gebracht, diese von einer bösartigen Website herunterzuladen oder in Form eines E-Mail-Anhangs zu öffnen.

Die meisten modernen Typen von Ransomware verschlüsseln wertvolle Dateien wie Dokumente oder Fotos auf den betroffenen Geräten, andere sperren die Opfer lediglich aus ihren Computern aus - beide verlangen jedoch eine Zahlung, um den Zugriff wiederherzustellen. Entgegen der landläufigen Meinung handelt es sich bei Ransomware nicht um teuflisch clevere Kreationen krimineller Elite-Hacker. Selbst unerfahrene Cyberkriminelle und solche die es werden wollen, können mit minimalem Ressourcen-Einsatz erfolgreiche Ransomware-Angriffe starten.

Ransomware-Evolution

Frühe Ransomware-Arten waren in der Regel auf eine bestimmte geografische Region beschränkt, in der Angreifer ihr Lösegeld per Premium-SMS oder sogar mit Prepaid-Karten eintreiben konnten. Das explosive Wachstum anonymer Kryptowährungen wie Bitcoin machte diese jedoch zum perfekten Werkzeug für weitaus größere, globale Kampagnen mit Erpressersoftware. Innerhalb weniger Jahre hat sich Ransomware so zu einem äußerst lukrativen Geschäft für kriminelle Hacker entwickelt, das erhebliche Gewinne bei minimaler Investition und vergleichsweise geringem Risiko in Aussicht stellt. Kriminelle Hacker-Gruppen bieten längst auch Ransomware-as-a-Service an - die Einnahmen einer solchen Attacke werden zwischen den Malware-Herstellern und ihren "Partnern" geteilt.

Im Jahr 2017 spitzte sich die Situation mit dem Auftauchen mehrerer Ransomware-Typen zu, die einen Windows Exploit nutzten, der vermutlich von der NSA entwickelt wurde. Nachdem das Wissen um diese Sicherheitslücke in die Hände Cyberkrimineller gefallen war, konnten diese ihre Erpressungssoftware ohne jegliche Benutzerinteraktion über zahlreiche Computernetzwerke verbreiten. Der WannaCry-Angriff betraf über 200.000 Rechner in 150 Ländern, darunter auch die Systeme des britischen National Health Service. Die Malware NotPetya, die ursprünglich auf ukrainische Unternehmen abzielte, konnte sich ebenfalls innerhalb weniger Tage unkontrolliert auf der ganzen Welt verbreiten. Hierbei waren viele große Unternehmen betroffen: Maersk etwa schätzte seine Verluste durch die Ransomware auf rund 300 Millionen Dollar. Ab diesem Zeitpunkt war Ransomware nicht mehr nur ein lukratives, kriminelles Geschäftsmodell - die Erpressersoftware hat sich zu einer Art "Cyber-Massenvernichtungswaffe" entwickelt.

Ransomware erkennen

Im Gegensatz zu den meisten anderen Cyber-Bedrohungen macht sich Ransomware innerhalb von Minuten nach der ersten Infektion bemerkbar: Egal, ob Sie auf einen Link zu einer bösartigen Website geklickt, einen verdächtigen E-Mail-Anhang geöffnet haben oder Opfer eines Drive-by-Downloads geworden sind (z.B. durch eine infizierte Online-Anzeige). In dem Moment in dem Sie auf dem Bildschirm den Hinweis sehen, dass Ihre Dateien verschlüsselt sind, ist der Schaden in der Regel bereits angerichtet. Dann können Sie nur noch versuchen, ihn zu minimieren.

Doch keine Panik - nicht alle diese Hinweise sind Anzeichen echter Ransomware, besonders wenn sie in Ihrem Browser erscheinen. Prüfen Sie, ob Sie noch zu einem anderen Programm wechseln oder einen Ordner mit Ihren Dokumenten durchsuchen können. Falls nicht, könnten Sie tatsächlich zum Opfer von Locker-Ransomware geworden sein. Wenn Sie Ihre Dokumente immer noch durchsuchen können, aber aufgrund beschädigter Daten keines öffnen können, könnte dies ein Zeichen für den Worst Case sein: Ihre Dateien sind verschlüsselt und der einzige Weg sie zurückzubekommen, ist die Zahlung des Lösegelds. Zumindest will der Angreifer Sie das glauben lassen.

Ransomware entfernen

Egal, ob Sie sich entscheiden, das Lösegeld zu zahlen oder nicht, Ihre erste Aktion sollte darin bestehen, Ihren Computer sofort vom Netzwerk und externen Laufwerken zu trennen. So verhindern Sie, dass sich die Erpresser-Malware auf andere Geräte oder Cloud-Dienste ausbreitet. Es ist auch ratsam, ein Foto der Lösegeldforderung zu machen - das hilft, die Art von Ransomware zu identifizieren die Sie getroffen hat.

Geht es um die Lösegeldforderung, raten die meisten Sicherheitsexperten von der Zahlung ab. Es gibt nicht nur keine Garantie, dass Sie Ihre Dokumente nach der Bezahlung zurückbekommen: Eine Zahlung könnte die kriminellen Hacker auch zu weiteren Ransomware-Angriffen in der Zukunft ermutigen. Stehen allerdings kritische Geschäftsunterlagen auf dem Spiel, von denen keine Kopien oder ein Backup besteht, könnte die Zahlung des Lösegeldes die letzte vernünftige - wenn auch moralisch fragwürdige - Option sein.

In keinem Fall sollten Sie allerdings alleine gegen den, beziehungsweise die, Angreifer vorgehen: Es gibt mehrere Quellen, die dabei helfen, die konkrete Variante der Erpressersoftware zu identifizieren. Ebenso lässt sich nachrecherchieren, ob die Verschlüsselung rückgängig gemacht werden kann. Natürlich bietet jeder namhafte Security-Anbieter auch eigene Tools und Dienstleistungen an, um mit den Folgen von Ransomware-Angriffen umzugehen. In vielen Fällen ist jedoch eine saubere Neuinstallation des Betriebssystems auf Ihrem Gerät die einzige praktikable Option, um alle verfügbaren Dateien aus einer Datensicherung wiederherzustellen. Bevor Sie dies tun, sollten Sie jedoch überprüfen, ob Ihre Backups nicht auch verschlüsselt wurden.

Schließlich ist auch dringend zu empfehlen, Anzeige bei der Polizei zu erstatten. Das ist nicht nur relevant in Versicherungsfragen, sondern hilft den Behörden auch dabei, die Malware-Trends im Auge zu behalten. So können Sie eventuell anderen Opfern späterer Ransomware-Angriffe helfen.

Ransomware-Schutz

Der einzige Weg, schmerzfrei mit Ransomware-Angriffen umzugehen, besteht darin, solche Attacken von vornherein zu verhindern. Die wohl wichtigste Präventionsmaßnahme für Erpressersoftware ist die ordnungsgemäße Sicherung all Ihrer Dokumente. Eine beliebte Faustregel ist es, drei Kopien Ihrer Daten zu erstellen, sie auf zwei verschiedenen Medien zu speichern und eine Kopie außerhalb des Unternehmens aufzubewahren. Und natürlich sollten Sie Ihre Backups regelmäßig testen, um sicherzustellen, dass sie noch wiederherstellbar sind. Ein Off-Site Backup stellt dabei sicher, dass selbst die raffiniertesten Ransomware-Arten, die speziell auf Backup-Dateien abzielen, wirkungslos bleiben.

Backups allein retten Sie jedoch nicht vor einer Locker-Ransomware oder vor dem neuesten Trend - "Ransomware Doxing". Hierbei drohen Angreifer damit, sensible Daten zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird. Es ist daher von entscheidender Bedeutung, dass Sie Ihre Benutzer (Mitarbeiter, Kollegen, Familienmitglieder) ständig über die potenziellen Bedrohungen auf dem Laufenden halten. Sie sollten geschult werden, die Absender der eingehenden E-Mails stets zu überprüfen und nicht blind auf Links oder Anhänge zu klicken. Wichtiger ist jedoch, klare, umsetzbare Anleitungen für den Umgang mit einem Ransomware-Angriff bereitzuhalten und zu verinnerlichen.

Endpoint-Security-Lösungen sind die primäre Verteidigungslinie gegen Ransomware, aber die genauen Fähigkeiten variieren von Produkt zu Produkt. Moderne Lösungen stützen sich auf Methoden der Verhaltensanalyse (manchmal mit Hilfe Künstlicher Intelligenz), um verdächtige Aktivitäten im Zusammenhang mit der Verschlüsselung zu identifizieren und zu blockieren, bevor sie Ihre Dokumente beschädigen. Andere verwahren Kopien aller Originaldateien und machen böswillige Änderungen automatisch rückgängig. Sogar Windows Defender, der mit Windows 10 kostenlos geliefert wird, bietet jetzt einen integrierten Ransomware-Schutz. Sie sollten jedoch prüfen, ob er auf Ihrem Computer bereits aktiviert ist.

Eine weitere wichtige Präventionsmaßnahme ist es, Ihr Betriebssystem und alle kritischen Anwendungen mit Sicherheitspatches auf dem neuesten Stand zu halten. WannaCry war in erster Linie deshalb so verheerend, weil viele Unternehmen einen kritischen Windows-Patch nicht rechtzeitig nach der Veröffentlichung - wohl gemerkt bereits Monate vor dem Ransomware-Angriff - installiert haben. Neben Windows selbst sind Anwendungen wie Internet Explorer, Adobe Flash und Microsoft Office dafür bekannt, dass sie Schwachstellen aufweisen, die häufig ausgenutzt werden.

Abschließend noch ein Wort zum Thema Cloud: Die Einschätzung, dass das Speichern von Dokumenten in einem Cloud-Speicher wie OneDrive oder Dropbox eine effiziente Präventionsmaßnahme gegen Ransomware ist, ist weit verbreitet. Fairerweise muss man sagen, dass das teilweise richtig ist: Die meisten dieser Dienste verfügen über integrierte Versionierungsfunktionen, mit denen Sie eine frühere Version eines Dokuments wiederherstellen können, nachdem es durch einen Ransomware-Angriff beschädigt wurde. Auch wenn eine Locker-Ransomware Ihren Computer blockiert, können Sie mit Ihrem Dokument problemlos von einem anderen Gerät aus weiterarbeiten (oder sogar von einer Remote-Desktop-Sitzung aus, wenn Ihr Unternehmen eine virtuelle Desktop-Infrastruktur verwendet). Diese Überlegungen gelten jedoch nur, wenn Sie Ihre Cloud-Dateien nicht mit Ihrem Computer synchronisieren: Diese lokalen Dateien werden durch Ransomware kompromittiert und dann in wenigen Sekunden automatisch in die Cloud kopiert. Synchronisierungsdienste sind kein Ersatz für ein ordnungsgemäßes Backup.

Ransomware während der Coronavirus-Krise

Angesichts der Coronavirus-Epidemie werden viele Arbeitnehmer für längere Zeit im Home Office arbeiten müssen. Wie wirkt sich dies auf die allgemeine Widerstandsfähigkeit gegen Ransomware aus? In letzter Zeit haben sich mehrere große Cybercrime-Gruppen "freiwllig verpflichtet", während der Pandemie nicht gegen Gesundheitsorganisationen vorzugehen. Außerdem könnte es sein, dass die Verbreitung von Malware von einem Gerät auf andere Geräte deutlich verlangsamt wird, weil weniger Leute Firmennetzwerke nutzen. Sicherheitsforscher berichten jedoch bereits über eine Zunahme böswilliger Angriffe, die sich die Angst vor dem Coronavirus zunutze machen. Außerdem kommen auf jeden leicht altruistischen Cyberkriminellen mindestens tausend andere, die keinerlei ethische Bedenken haben. Für Einzelpersonen, die im Home Office arbeiten und dabei persönliche Geräte verwenden, die nicht durch unternehmensweite Sicherheitslösungen geschützt sind, ist das Risiko, Opfer einer Ransomware-Attacke zu werden, leider höher als je zuvor.

Als Alternative zu bürobasierten Sicherheitsgateways sollten Unternehmen die aus der Cloud bereitgestellten Sicherheitslösungen betrachten, insbesondere solche, die keine zusätzliche Hardware oder Software benötigen. Der effizienteste Schutz gegen Ransomware ist jedoch immer noch gesunder Menschenverstand: Öffnen Sie keine unerwünschten E-Mails, vermeiden Sie das Anklicken verdächtiger Links und Anhänge und halten Sie sich an vertrauenswürdige Websites um aktuelle Nachrichten zu erhalten. Denken Sie daran, dass Ihre Cyber-Hygiene für Ihre Sicherheit ebenso wichtig ist wie die buchstäbliche Hygiene für Ihre Gesundheit. (fm)