Eine Generation Datenkidnapping: Ransomware wird 30
In den letzten Jahren hat es Ransomware immer wieder in die Schlagzeilen geschafft – dabei waren es tatsächlich nur die wenigsten Angriffe der erpresserischen Software, die tatsächlich öffentlich wurden. Die Mehrzahl der Attacken verlief im Verborgenen, die Opfer – zumeist Unternehmen – schwiegen aus Scham. So wundert es kaum, dass es die Malware beinahe klammheimlich bereits zu einem runden Geburtstag geschafft hat: sie wird 30.
Ransomware ist eine Kategorie von Schadsoftware und gehört unter diesen mittlerweile zu den ärgerlichsten und destruktivsten. „Geboren“ wurde Ransomware als ein Trojaner. Abgeleitet von englisch ransom „Lösegeld“ (ware kennzeichnet typischerweise eine Art von Computerprogramm) wird ihr Zweck bereits im Namen klar: sie dient Cyberkriminellen dazu, arglose Computerbesitzer zu nötigen, gegen teuer Geld ihre persönlichen, durch die Schadware nunmehr verschlüsselten Dateien auf ihren PCs „freizukaufen“ und wieder für sich nutzbar zu machen.
Die Geburt
1989 erblickte die Malware AIDS TROJAN DISK die kriminelle Welt. Der Trojaner infizierte Computer via Diskette: Eine Lizenz sei abgelaufen, hieß es damals seitens der Kriminellen, der Schlüssel bei Firma xy käuflich zu erwerben. Damals noch eine geschickte Story statt plumper Erpressung. Der Vater des Trojaners, Joseph Popp, wurde ausfindig gemacht und zur Haft verurteilt. Allerdings konnte er diese wegen einer psychischen Krankheit nicht antreten. Das erpresste Geld wollte er an die AIDS-Forschung spenden.
Richtig kraftvoll wurde Ransomware dann mit der Verbreitung via Internet: Der Trojaner TROJ_PGPCODER.A forderte bereits ein paar Hundert US-Dollar Lösegeld. Und der „soziale“ Anstrich, den sich Joseph Popp gegeben hatte, war einem großen kriminellen Erpressergeschäft gewichen.
Das heutige Design von Ransomware ist professionell kriminell. Absolute Hightech ist gefragt, um die immer leistungsstärkeren Security-Lösungen auszutricksen. Da dies die Fähigkeiten vieler Cyberkrimineller inzwischen übersteigt, hat sich ein neuer, zusätzlicher Markt entwickelt: Mittlerweile können sich Interessierte mit halbwegs guten Computerkenntnissen ihre eigene Ransomware mithilfe von Baukästen zusammenbasteln. Ein lukratives Geschäft, das im Dark Web abgewickelt wird.
Bekannte Verwandte
Wie immer gibt es in Familien Mitglieder, die sich besonders hervorgetan haben, so auch in der Ransomware-Sippe. Ein Best-Of der gemeinsten, raffgierigsten und bösartigsten Exemplare:
1.SamSam (2015)
An der Spitze steht dieser Teufel: auf sein Konto gehen rund 50.000 US-Dollar pro Attacke, insgesamt eine Rekordlösesummer von 6 Millionen US-Dollar.
2.WannaCry (2017)
Schaden: 230.000 Computer in 150 Ländern. Neuer Modus Operandi: neben der üblichen Verbreitung via Email-Anhang, verfügt WannaCry über Wurm-Eigenschaften, und versucht weitere Systeme zu infizieren – ohne Zutun des Nutzers.
3.Locky, 2016
10.000 Computer betroffen, unter anderem das Fraunhofer-Institut in Bayreuth.
Weitere bekannte Vertreter der Ransomware-Familie sind Dharma, BitPaymer, KeRanger, oder NotPetya.
Funktionsweise
Ransomware kann einen Computer über verschiedene Wege infizieren: Email-Anhänge, gefakte Links, Sicherheitslücken in Webbrowsern oder Anwendungen. Der Adressat erhält zum Beispiel eine Email mit einer gefälschten Rechnung, Sendungsverfolgung, etc. und angehängtem Office-Dokument oder Link. Die Emails sind heutzutage sehr gut gefälscht, enthalten genaue Details zum User und seiner Umgebung (so genannte Targeted Ransomware) so dass es nicht einfach ist, eine Ransomware-Attacke gleich zu erkennen.
Ist der Computer infiziert, können verschiedene Szenarien eintreten:
- Der PC lässt sich nicht mehr bedienen: ein Hinweisfenster zur Erpressung bleibt plakativ auf dem Bildschirm bestehen, auch nach zigfachen Neustarts. Dem Benutzer bleibt nur das Bezahlen des Lösegeldes, heute oft via Kryptowährung.
- Dateien werden verschlüsselt, vorwiegend solche, von denen der Cyberkriminelle annimmt, sie seien für den Anwender von Bedeutung. Bei Windows liegt der Ordner „Eigene Dateien“ nahe, aber auch Emails, Datenbanken, Archive und Fotos. Das Passwort zur Entschlüsselung gibt es natürlich nicht kostenlos.
- Zusätzlich zur Verschlüsselung kann der Computer mit weiterer Schadsoftware zur Manipulation oder zum Ausspähen von Passwörtern beladen sein. Ein Überweisen des Lösegeldes via Onlinebanking vom PC ist also tunlichst zu unterlassen.
- Supergau: Der Cyberkriminelle hat gar nicht die Absicht, die verschlüsselten Dateien wieder freizugeben. Sie sind auch nach Zahlung des Lösegeldes unwiederbringlich verloren.
Schutzmaßnahmen
Michael Veit, Security-Experte bei Sophos, gibt Tipps zu besserem Schutz gegen die Erpresser-Software: „Trotz hoher Achtsamkeit beim Öffnen von Anhängen, Links etc. kann jeder zum Opfer eines Ransomware-Angriffs werden. Sollte das der Fall sein, haben sich diese Handlungsempfehlungen bewährt:
- Verdacht auf Befall? Wenn Sie verdächtige Festplattenaktivität feststellen oder ein Ransomware-Banner erscheint: Sofort den Rechner vom Strom trennen. So lassen sich vielleicht noch Dateien vor der Verschlüsselung retten.
- Kein Lösegeld zahlen. Die Summe ist kein Garant für die Rettung der Daten. Und: Wer einmal zahlt, der zahlt vielleicht auch öfter und macht sich so weiterhin erpressbar.
- Anzeige erstatten.
- Für die Zukunft vorsorgen: Damit Ransomware-Attacken möglichst nicht greifen, eignen sich Security-Lösungen, die auf Basis künstlicher Intelligenz und verhaltensbasierter Erkennung Schadware und damit auch Ransomware rechtzeitig erkennen und abwehren.
- Unabhängig machen von einem Gerät: Regelmäßig Back-ups der eigenen Dateien auf einem externen System, sei es PC, Festplatte oder Cloud machen.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de