- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Ransomware: "Geboren" als Trojaner


Eine Generation Datenkidnapping: Ransomware wird 30
Richtig kraftvoll wurde Ransomware mit der Verbreitung via Internet

- Anzeigen -





1989 erblickte die erste Erpressungssoftware das Licht der Welt und hat sich seither zu einer der unverfrorensten Datenbedrohungen entwickelt. Sophos hält eine kurze Rückschau auf 30 Jahre digitale Erpressung. In den letzten Jahren hat es Ransomware immer wieder in die Schlagzeilen geschafft – dabei waren es tatsächlich nur die wenigsten Angriffe der erpresserischen Software, die tatsächlich öffentlich wurden. Die Mehrzahl der Attacken verlief im Verborgenen, die Opfer – zumeist Unternehmen – schwiegen aus Scham. So wundert es kaum, dass es die Malware beinahe klammheimlich bereits zu einem runden Geburtstag geschafft hat: sie wird 30.

Ransomware ist eine Kategorie von Schadsoftware und gehört unter diesen mittlerweile zu den ärgerlichsten und destruktivsten. "Geboren" wurde Ransomware als ein Trojaner. Abgeleitet von englisch ransom "Lösegeld" (ware kennzeichnet typischerweise eine Art von Computerprogramm) wird ihr Zweck bereits im Namen klar: sie dient Cyberkriminellen dazu, arglose Computerbesitzer zu nötigen, gegen teuer Geld ihre persönlichen, durch die Schadware nunmehr verschlüsselten Dateien auf ihren PCs "freizukaufen" und wieder für sich nutzbar zu machen.

Die Geburt
1989 erblickte die Malware AIDS TROJAN DISK die kriminelle Welt. Der Trojaner infizierte Computer via Diskette: Eine Lizenz sei abgelaufen, hieß es damals seitens der Kriminellen, der Schlüssel bei Firma xy käuflich zu erwerben. Damals noch eine geschickte Story statt plumper Erpressung. Der Vater des Trojaners, Joseph Popp, wurde ausfindig gemacht und zur Haft verurteilt. Allerdings konnte er diese wegen einer psychischen Krankheit nicht antreten. Das erpresste Geld wollte er an die AIDS-Forschung spenden.

Richtig kraftvoll wurde Ransomware dann mit der Verbreitung via Internet: Der Trojaner TROJ_PGPCODER.A forderte bereits ein paar Hundert US-Dollar Lösegeld. Und der "soziale" Anstrich, den sich Joseph Popp gegeben hatte, war einem großen kriminellen Erpressergeschäft gewichen.

Das heutige Design von Ransomware ist professionell kriminell. Absolute Hightech ist gefragt, um die immer leistungsstärkeren Security-Lösungen auszutricksen. Da dies die Fähigkeiten vieler Cyberkrimineller inzwischen übersteigt, hat sich ein neuer, zusätzlicher Markt entwickelt: Mittlerweile können sich Interessierte mit halbwegs guten Computerkenntnissen ihre eigene Ransomware mithilfe von Baukästen zusammenbasteln. Ein lukratives Geschäft, das im Dark Web abgewickelt wird.

Bekannte Verwandte
Wie immer gibt es in Familien Mitglieder, die sich besonders hervorgetan haben, so auch in der Ransomware-Sippe. Ein Best-Of der gemeinsten, raffgierigsten und bösartigsten Exemplare:

SamSam (2015)
An der Spitze steht dieser Teufel: auf sein Konto gehen rund 50.000 US-Dollar pro Attacke, insgesamt eine Rekordlösesummer von 6 Millionen US-Dollar.

WannaCry (2017)
Schaden: 230.000 Computer in 150 Ländern. Neuer Modus Operandi: neben der üblichen Verbreitung via Email-Anhang, verfügt WannaCry über Wurm-Eigenschaften, und versucht weitere Systeme zu infizieren – ohne Zutun des Nutzers.

Locky, 2016
10.000 Computer betroffen, unter anderem das Fraunhofer-Institut in Bayreuth.

Weitere bekannte Vertreter der Ransomware-Familie sind Dharma, BitPaymer, KeRanger, oder NotPetya.

Funktionsweise
Ransomware kann einen Computer über verschiedene Wege infizieren: E-Mail-Anhänge, gefakte Links, Sicherheitslücken in Webbrowsern oder Anwendungen. Der Adressat erhält zum Beispiel eine Email mit einer gefälschten Rechnung, Sendungsverfolgung, etc. und angehängtem Office-Dokument oder Link. Die E-Mails sind heutzutage sehr gut gefälscht, enthalten genaue Details zum User und seiner Umgebung (so genannte Targeted Ransomware) so dass es nicht einfach ist, eine Ransomware-Attacke gleich zu erkennen.

Ist der Computer infiziert, können verschiedene Szenarien eintreten:
>> Der PC lässt sich nicht mehr bedienen: ein Hinweisfenster zur Erpressung bleibt plakativ auf dem Bildschirm bestehen, auch nach zigfachen Neustarts. Dem Benutzer bleibt nur das Bezahlen des Lösegeldes, heute oft via Kryptowährung.

>> Dateien werden verschlüsselt, vorwiegend solche, von denen der Cyberkriminelle annimmt, sie seien für den Anwender von Bedeutung. Bei Windows liegt der Ordner "Eigene Dateien" nahe, aber auch E-Mails, Datenbanken, Archive und Fotos. Das Passwort zur Entschlüsselung gibt es natürlich nicht kostenlos.

>> Zusätzlich zur Verschlüsselung kann der Computer mit weiterer Schadsoftware zur Manipulation oder zum Ausspähen von Passwörtern beladen sein. Ein Überweisen des Lösegeldes via Onlinebanking vom PC ist also tunlichst zu unterlassen.

>> Supergau: Der Cyberkriminelle hat gar nicht die Absicht, die verschlüsselten Dateien wieder freizugeben. Sie sind auch nach Zahlung des Lösegeldes unwiederbringlich verloren.

Schutzmaßnahmen
Michael Veit, Security-Experte bei Sophos, gibt Tipps zu besserem Schutz gegen die Erpresser-Software: "Trotz hoher Achtsamkeit beim Öffnen von Anhängen, Links etc. kann jeder zum Opfer eines Ransomware-Angriffs werden. Sollte das der Fall sein, haben sich diese Handlungsempfehlungen bewährt:

Verdacht auf Befall? Wenn Sie verdächtige Festplattenaktivität feststellen oder ein Ransomware-Banner erscheint: Sofort den Rechner vom Strom trennen. So lassen sich vielleicht noch Dateien vor der Verschlüsselung retten.

Kein Lösegeld zahlen. Die Summe ist kein Garant für die Rettung der Daten. Und: Wer einmal zahlt, der zahlt vielleicht auch öfter und macht sich so weiterhin erpressbar.

Anzeige erstatten.

Für die Zukunft vorsorgen: Damit Ransomware-Attacken möglichst nicht greifen, eignen sich Security-Lösungen, die auf Basis künstlicher Intelligenz und verhaltensbasierter Erkennung Schadware und damit auch Ransomware rechtzeitig erkennen und abwehren.

Unabhängig machen von einem Gerät: Regelmäßig Back-ups der eigenen Dateien auf einem externen System, sei es PC, Festplatte oder Cloud machen." (Sophos: ra)

eingetragen: 04.04.19
Newsletterlauf: 25.04.19


Meldungen: Hintergrund

  • Hacker manipulieren Gesichtserkennungssoftware

    Cyberkriminalität beschäftigt Unternehmen branchenübergreifend mehr denn je. Ende letzten Jahres haben Sicherheitsexperten und Datenwissenschaftler von Forcepoint Trends und Bedrohungen identifiziert, mit denen sich Unternehmen 2019 konfrontiert sehen. Dazu gehörten etwa Security Trust Ratings und Gefahren wie Angriffe auf Cloud-Infrastrukturen in der Industrie-4.0 und Identitätsdiebstahl per Gesichtserkennungssoftware. Jetzt ziehen sie ein erstes Fazit. In einer digitalen Welt ohne klare Grenzen sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Sicherheit daher von oben nach unten in ihre Unternehmenskultur integrieren. Sicherheit darf nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert.

  • Infrastruktur- und Datenpflegekonzept

    Die zunehmende Verbreitung von Geräten und Sensoren des "Internet of Things" (IoT) hilft dabei, die steigenden Herausforderungen im Gesundheitswesen zu meistern. Die vernetzten Geräte liefern gesundheitsbezogene Benachrichtigungen oder helfen sogar beim Management chronischer Krankheiten. Ärzte werden künftig anhand Daten noch bessere Diagnosen stellen, bessere Behandlungspläne erarbeiten und zugleich Effizienzmängel und Verschwendung im Gesundheitswesen beseitigen können. Eine wahre Revolution in der Nutzung von Daten kündigt sich an - doch zuerst gibt es Stolpersteine zu beseitigen. Während die von Sensoren und Geräten gelieferten Daten explosionsartig zunehmen, werden Krankenhäuser durch veraltete Technologien ausgebremst, die nicht auf die Datenflut ausgelegt sind. Menge und Bandbreite der erzeugten Daten erfordern ein ganzheitliches Infrastruktur- und Datenpflegekonzept. Zudem führen veraltete Rechenzentren in Kombination mit mehreren Cloud-Anbietern leicht zu Datenengpässen und steigenden Kosten. Dies ist das Gegenteil dessen, was Krankenhäuser erreichen möchten.

  • WORM gestern, heute und morgen aktuell

    Gefühlt existiert die WORM (Write Once Read Many)-Technologie schon seit einer halben Ewigkeit. Immerhin gehen die Ursprünge auf Mitte der 1980er Jahre zurück. Und trotz vieler technologischer Neuerungen und Errungenschaften - oder vielleicht gerade wegen der Vielfalt und den rasanten Entwicklungszyklen - ist WORM eine Technologie, die uns noch weit in die Zukunft begleiten wird. WORM bezeichnet eine spezifische Art, Daten zu speichern. Nach der Speicherung können die Daten zwar gelesen, jedoch nicht mehr verändert oder überschrieben werden. Diese Form der Speicherung ist schon immer interessant für Unternehmen, die Informationen aufgrund von Gesetzen und Vorschriften langfristig und vor allem revisionssicher speichern müssen.

  • Hack Backs - Pro und Kontra

    Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen. Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen - mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde "verloren" gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte "Hack Backs" zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.

  • Ein Jahr DSGVO: Viel Lärm um nichts?

    Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DSGVO wird tatsächlich "gelebt" und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. "Viel Lärm um Nichts" also? Oder doch eher "Ende gut, alles gut"? In Wahrheit ist es weder das Eine noch das Andere - wir haben in dieser "Unendlichen Geschichte" schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen - in Form des "Gesetzes zum Schutz von Geschäftsgeheimnissen" (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.