Ransomware mit neuem Höchststand
Ransomware: Noch effektiver ist es, wenn die Verschlüsselung sich auf weitere Netzwerk-Devices ausweitet
Trotz des dramatischen Anstiegs bei der Verbreitung von Ransomware, neu ist das Phänomen der erpresserischen Trojaner keineswegs
Von Fred Touchette, Manager of Security Research, AppRiver
Schon jetzt ist absehbar, 2016 wird das Jahr in dem wir bei Ransomware einen neuen Höchststand verzeichnen werden. In vielen Fällen haben die Opfer lediglich die Wahl, ihre Daten verloren zu geben oder die geforderte Lösegeldsumme an Cyberkriminelle zu zahlen. Keine leichte Entscheidung. Das Problem hat derartige Ausmaße angenommen, dass selbst das FBI inzwischen Krankenhäuser, Schulen, Regierungsbehörden, Polizeidienststellen, Unternehmen und Privatpersonen ausdrücklich vor einer stark steigenden Zahl derartiger Angriffe warnt. Zumindest für Großbritannien ist bekannt geworden, dass Unternehmen mehr und mehr dazu übergehen die geforderten Summen tatsächlich zu bezahlen, anstatt Polizei und Behörden zu informieren. Von ihnen verspricht man sich offensichtlich keine ausreichende Hilfestellung.
Warum aber diese rasante Karriere von Ransomware gerade jetzt und warum sind die Angriffe letztlich so erfolgreich?
Warum gerade jetzt?
Trotz des dramatischen Anstiegs bei der Verbreitung von Ransomware, neu ist das Phänomen der erpresserischen Trojaner keineswegs. Sie treiben schon einige Jahre ihr Unwesen. Was die neueren allerdings von den älteren Varianten unterscheidet hat viel mit Technologie und intelligenter Weiterentwicklung zu tun. Historisch betrachtet lief eine Ransomware-Attacke etwa so ab: Auf dem Bildschirm des infizierten Computers erschien eine Nachricht, in etwa mit dem Wortlaut Ihr Computer wurde infiziert. Dazu gab es eine Telefonnummer, die den Anrufer mit einer Art Callcenter verbindet.
Mit einer Mischung aus Drohung, Überredung und anderen Social Engineering-Praktiken versuchten die Angreifer dann ihren Deal perfekt zu machen. Sprich, das Opfer dazu zu bewegen der Zahlung schon am Telefon zuzustimmen. Wie unschwer ersichtlich ist, hat diese Methode aber einen entscheidenden Nachteil. Die Vorgehensweise kommt seitens der Angreifer nicht ohne menschliche Intervention aus. Irgendwer muss schließlich die Anrufe annehmen.
Etwas fortschrittlichere Versionen erlauben wenig später den geforderten Betrag online zu überweisen, so dass auf jegliche Form einer physischen Präsenz verzichtet werden konnte. Trotzdem war die ganze Sache für Cyberkriminelle noch nicht wirklich zufriedenstellend. In aller Regel konnte die Malware nämlich ziemlich zügig unschädlich gemacht werden, indem man den betroffenen Rechner im abgesicherten Modus neu startet, die Malware ausfindig macht und entfernt. Ähnlich erging es den Webseiten über die Zahlungen abgewickelt werden sollten. So schnell wie sie auftauchten konnte man sie identifizieren und unschädlich machen. Für ambitionierte Cyberkriminelle alles in allem viel zu ineffizient.
Machen wir einen kleinen Zeitsprung ins Jahr 2013. Das Jahr in dem eines der widerstandsfähigsten und langlebigsten Botnetze das Licht der Welt erblickt das Zeus-Botnet. Mit ihm beginnt die massenhafte Verbreitung einer neuartigen Ransomware: CryptoLocker.
CryptoLocker Die Mutter der Ransomware
CryptoLocker war anders und ganz und gar keine Anfängersoftware. Sie wurde von jemandem entwickelt, der einen Plan verfolgte. Wenn ein Computer mit dem CryptoLocker-Virus infiziert ist, bekommt das Opfer nicht sofort eine der üblichen Seiten zu sehen, dass der Zugang zum Computer zeitweilig gesperrt ist.
CryptoLocker verschlüsselt vielmehr Dokumente, Bilder und andere wichtige Dateien unbemerkt im Hintergrund und macht sie komplett unzugänglich. Das Opfer bekommt zu diesem Zeitpunkt meistens noch gar nicht mit, dass und wie viele Dateien verschlüsselt worden sind. CryptoLocker brachte es sehr schnell zu einiger Berühmtheit. Das lag zum einen daran wie rasch die Attacken erfolgten und sich weiter verbreiteten und zum anderen daran, dass die verschlüsselten Dateien tatsächlich unwiederbringlich verloren waren, folgte man den Zahlungsanweisungen nicht. Dabei beschränkte sich die Ransomware bei weitem nicht auf die heimischen PCs von Privatanwendern, sondern legte ganze Systeme lahm, was die betroffenen Unternehmen nicht selten in erhebliche Schwierigkeiten brachte.
Dank ihres umwerfenden Erfolges fand die Ransomware recht bald etliche Nachahmer wie CryptoWall und CryptoDefense, aber auch neue Varianten des Originals tauchten auf. Mit dieser Entwicklung war Ransomware zu einem hocheffizienten und profitablen Angriffswerkzeug geworden. Die Angriffe laufen zudem weitgehend automatisiert ab. Kein Vergleich mit den ursprünglichen, älteren Varianten, die sehr viel aufwendiger waren und zum Ausgleich sehr viel weniger einbrachten. Jetzt sorgt starke Verschlüsselung zusätzlich dafür, dass die Dateien für das Opfer nutzlos werden. Zudem findet der interessierte Cyberkriminelle im Dark Web ganze Kollektionen von Ransomware. Und auch der Bezahlmodus hat sich weiterentwickelt. Inzwischen wird in aller Regel mit einer Krypto-Währung wie BitCoin gezahlt. Das Geschäftsmodell der Hacker bleibt also weitgehend im Verborgenen und ist vor Nachverfolgung beispielsweise durch Behörden geschützt.
Die Zukunft der Ransomware
Ransomware-Entwickler geben sich nicht so leicht zufrieden. Lokale Rechner zu infizieren ist das eine. Noch effektiver ist es, wenn die Verschlüsselung sich auf weitere Netzwerk-Devices ausweitet.
Klickt der unglückliche Empfänger auf einen solchen Verschlüsselungslink ist nur nicht der eigentliche Host infiziert, sondern das komplette Netzwerk betroffen. Die schwerwiegenden Auswirkungen dieser Angriffsform finden sich dann nicht selten in den Schlagzeilen wieder.
Seit CryptoLocker erstmals aufgetaucht ist haben wir unzählige Varianten der Ransomware aus unterschiedlichsten Quellen beobachten können. Und alle wollen ein Stück vom Kuchen:
Torrentlocker, Locky und ganz neu Jigsaw. Letztere gibt sich nicht damit zufrieden Dateien zu verschlüsseln. Sie beginnt damit eine Datei nach der anderen zu löschen je länger es dauert bis das Opfer das geforderte Lösegeld bezahlt hat.
Dass Ransomware überhaupt so langlebig werden konnte, dafür gibt es im Wesentlichen zwei Gründe:
>> Betroffene zahlen das geforderte Lösegeld tatsächlich
>> Und immer noch verzichten zu viele Opfer auf ein vernünftiges Backup und legen damit die Achillesferse eines Rechners oder Systems freiwillig offen.
Und wie es im Wesentlichen zwei Gründe für die enorme Überlebensfähigkeit von Ransomware gibt, so existieren auch zwei Lösungen für das Problem:
>> Mit einem ordnungsgemäß durchgeführten Backup lassen sich Systeme bis zu dem Punkt wiederherstellen, an dem die Infektion stattgefunden hat. Dann lässt sich die Ransomware entfernen, ohne dass weiterer Schaden entstanden ist. Die Angreifer haben ihr Ziel nicht erreicht.
Die Folge: Wenn nicht gezahlt wird, funktioniert das Geschäftsmodell der Hacker nicht mehr und sie sind gezwungen sich nach anderen Finanzierungsmöglichkeiten umzusehen.
Zwischenzeitlich ist es umso wichtiger zu verstehen, wie es um die aktuelle Bedrohungslandschaft bestellt ist und wovon die eigentlichen Gefahren ausgehen. Wie zum Beispiel von gezielten Phishing-Kampagnen. Sie befördern Ransomware ans Ziel. Ein Sicherheitsansatz sollte grundsätzlich mehrstufig sein und verschiedene Ebenen wie E-Mail- und Websicherheit berücksichtigen. Und last but not least der Dauerbrenner: man sollte nicht zögern Patches und System-Updates sofort einzuspielen. Es nicht zu tun ist eine direkte Einladung an eine Ransomware.
Sollte man trotz allem Opfer dieser modernen Form der Wegelagerei geworden und zahlungswillig sein, sollte man im Hinterkopf behalten, dass hinter den Angriffen nicht selten kriminelle Vereinigungen stecken. Die Einnahmen fließen also in illegale Aktivitäten.
Es hilft durchaus ein ordnungsgemäßes Backup durchzuführen, Hard- und Software auf dem aktuellen Stand zu halten und eine mehrstufige Sicherheitslösung einzusetzen. Das bewahrt einen mit einiger Sicherheit davor sich an dem unbequemen Platz zwischen Baum und Borke wiederzufinden. (AppRiver: ra)
eingetragen: 21.06.16
Home & Newsletterlauf: 15.07.16
AppRiver: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.