Was ist Ransomware?

Ransomware ist eine Art von Malware, die den Zugang zu einem Computersystem oder zu Daten so lange blockiert (in der Regel durch Verschlüsselung), bis das Opfer dem Angreifer ein Lösegeld zahlt. In vielen Fällen ist die Lösegeldforderung mit einer Frist verbunden. Wenn das Opfer nicht rechtzeitig zahlt, sind die Daten für immer verloren.

Ransomware-Angriffe sind heutzutage an der Tagesordnung und große Unternehmen sind ihnen in Nordamerika und Europa gleichermaßen zum Opfer gefallen. Es ist beliebig, welche Opfer Cyberkriminelle angreifen, denn es sind sowohl Verbraucher als auch Unternehmen aus allen Branchen betroffen.

Mehrere Regierungsbehörden, darunter auch das FBI, sowie das No-More-Ransom-Projekt raten davon ab, das Lösegeld zu zahlen, um den Ransomware-Zyklus nicht zu fördern. Zudem werden die Hälfte der Opfer, die das Lösegeld gezahlt haben, wiederholt Opfer eines Ransomware-Angriffes.

Ransomware kann bis 1989 zurückverfolgt werden, als das HIV-Virus dazu benutzt wurde, Gelder von den Empfängern der Ransomware zu erpressen. Die Zahlungen für diesen Angriff wurden per Post nach Panama geschickt, woraufhin das Opfer einen Entschlüsselungscode erhielt.

1996 wurde Ransomware unter dem von Moti Yung und Adam Young von der Columbia University eingeführten Begriff „kryptovirale Erpressung“ bekannt. Diese in der akademischen Welt geborene Idee versuchte, den Fortschritt und die Stärke moderner kryptographischer Tools verdeutlichen.

Young und Yung stellten 1996 den ersten kryptoviralen Angriff auf der IEEE-Konferenz für Sicherheit und Datenschutz vor. Ihr Virus enthielt den öffentlichen Schlüssel des Angreifers und verschlüsselte die Dateien des Opfers. Die Malware forderte das Opfer dann auf, einen asymmetrischen Chiffretext an den Angreifer zu senden, um den Entschlüsselungscode zu entziffern und zurückzugeben – gegen ein Lösegeld.

Die Angreifer sind im Laufe der Jahre kreativ geworden und verlangen Zahlungsmethoden, die kaum zurückverfolgt werden können und den Cyberkriminellen dabei helfen, anonym zu bleiben. Zum Beispiel verlangt die berüchtigte mobile Ransomware „Fusob“ von den Opfern, mit Apples iTunes-Geschenkkarten statt mit normalen Währungen wie Dollar zu bezahlen.

Ransomware-Angriffe gewannen mit der zunehmenden Verbreitung von Kryptowährungen wie Bitcoin an Popularität. Eine Kryptowährung ist eine digitale Währung, die Verschlüsselungstechniken verwendet, um Transaktionen zu verifizieren, zu sichern und die Schaffung neuer Einheiten zu kontrollieren. Neben Bitcoin fordern Angreifer oftmals auch andere populäre Kryptowährungen, wie Ethereum, Litecoin und Ripple.

Ransomware hat schon Organisationen in fast jedem Bereich getroffen. Einer der bekanntesten Angriffe war der auf das Presbyterian Memorial Hospital, der die potenziellen Schäden und Risiken von Ransomware verdeutlichte. Labore, Apotheken und Notaufnahmen wurden angegriffen.

Cyberkriminelle, die Social Engineering einsetzen, sind im Laufe der Zeit immer innovativer geworden. The Guardian schrieb über eine Situation, in der neue Ransomware-Opfer nicht nur ein Lösegeld zahlen sollten, um ihre Daten zu entschlüsseln; sie wurden auch aufgefordert, zwei weitere Benutzer den Link installieren zu lassen.

Die folgenden Informationen über die größten Ransomware-Angriffe geben Organisationen eine solide Grundlage, um die Taktiken, Exploits und Merkmale von Ransomware-Angriffen zu verstehen. Zwar gibt es nach wie vor Unterschiede, was den Code, die Ziele und Funktionen angeht, doch Innovationen im Bereich Ransomware erfolgt in der Regel nur schrittweise.

• WannaCry: Hier wurde ein leistungsstarker Microsoft-Exploit genutzt, um einen weltweit agierenden Ransomware-Wurm zu schaffen, der über 250.000 Systeme infizierte, bevor ein Killswitch seine Ausbreitung stoppte. Proofpoint war an der Auffindung des Musters beteiligt, mit dem der Killswitch identifiziert wurde, sowie an der Dekonstruktion der Ransomware selbst. Erfahren Sie mehr über die Beteiligung von Proofpoint am Aufhalten von WannaCry.
• CryptoLocker: Diese Ransomware ist eine der ersten der aktuellen Generation. Sie forderte eine Kryptowährung (Bitcoin) für die Zahlung und verschlüsselte die Festplatte des Benutzers und die angeschlossenen Netzlaufwerke. Cryptolocker wurde über eine E-Mail mit einem Anhang verbreitet, der vorgab, eine FedEx- und UPS-Trackingbenachrichtigung zu sein. 2014 wurde für diese Ransomware ein Entschlüsselungstool veröffentlicht, aber verschiedene Berichte deuten darauf hin, dass die Angreifer bis dahin mithilfe von CryptoLocker über 27 Millionen Dollar erpresst haben.
• NotPetya: NotPetya gilt als einer der schädlichsten Ransomware-Angriffe und verwendete Taktiken seines Namensvetters Petya, wie z. B. das Infizieren und Verschlüsseln des Master Boot Records eines Microsoft-Windows-basierten Systems. NotPetya nutzte für die schnelle Verbreitung die gleiche Schwachstelle wie WannaCry, und verlangte eine Zahlung in Bitcoin, um die Änderungen rückgängig zu machen. NotPetya wurde von einigen als „Wiper“ eingestuft, da die Änderungen am Master-Boot-Record nicht rückgängig gemacht werden können und das Zielsystem nicht wiederhergestellt werden kann.
• Bad Rabbit: Diese Ransomware wird als Cousin von NotPetya betrachtet und nutzte einen ähnlichen Code und ähnliche Exploits, um sich zu verbreiten. Bad Rabbit zielte anscheinend auf Russland und die Ukraine ab und traf dort vor allem Medienunternehmen. Im Gegensatz zu NotPetya konnte Bad Rabbit entschlüsselt werden, wenn das Lösegeld bezahlt wurde. Die meisten Fälle deuten darauf hin, dass die Ransomware über ein gefälschtes Flash-Player-Update verbreitet wurde.

Ransomware ist eine Art von Malware, die Nutzer aus ihrem System aussperrt oder anderweitig daran hindert, auf ihre Daten zuzugreifen, um Geld von ihren Opfern zu erpressen. Die beiden am weitesten verbreiteten Arten von Ransomware sind Verschlüsselungsprogramme und Bildschirmsperren. Verschlüsselungsprogramme verschlüsseln, wie der Name schon sagt, Daten auf einem System, sodass der Inhalt ohne den Entschlüsselungscode nutzlos wird. Bildschirmsperren hingegen blockieren einfach den Zugriff auf das System mit einem „Sperrbildschirm“ und behaupten, dass das System verschlüsselt sei.

Abbildung 1: Beispiel für den Versuch von Ransomware, ein Opfer zur Installation zu verleiten.

Opfer werden oft auf einem Sperrbildschirm darüber informiert, dass sie eine Kryptowährung wie Bitcoin kaufen müssen, um das Lösegeld zu bezahlen (Sperrbildschirme sind sowohl bei Verschlüsselungsprogrammen als auch bei Bildschirmsperren üblich). Sobald das Lösegeld bezahlt ist, erhalten die Opfer den Entschlüsselungscode und können versuchen, ihre Dateien zu entschlüsseln. Die Entschlüsselung ist dabei nicht garantiert und mehrere Quellen berichten von unterschiedlichem Erfolg nach Zahlung des Lösegelds. Manchmal erhalten die Opfer den Code nie und es kommt auch vor, dass Malware auf dem Computersystem installiert wird, obwohl das Lösegeld bezahlt und die Daten freigegeben wurden.

Ursprünglich konzentrierten sich Ransomware-Angriffe vor allem auf persönliche Computer. Heute werden zunehmend Unternehmen angegriffen, da diese oft mehr für die Freischaltung kritischer Systeme und die Wiederaufnahme des täglichen Betriebs zahlen als Einzelpersonen.

Ransomware-Angriffe auf Unternehmen beginnen in der Regel mit einer schädlichen E-Mail. Ein ahnungsloser Benutzer öffnet einen Anhang oder klickt auf eine URL, die schädlich ist oder kompromittiert wurde.

Zu diesem Zeitpunkt wird ein Ransomware-Agent installiert und beginnt mit der Verschlüsselung wichtiger Dateien auf dem PC des Opfers und allen angehängten Dateifreigaben. Nach der Verschlüsselung der Daten zeigt die Ransomware eine Nachricht auf dem infizierten Gerät an, in der erklärt wird, was geschehen ist und wie die Angreifer zu bezahlen sind. Die Ransomware verspricht, dass die Opfer einen Code zum Entsperren ihrer Daten erhalten, wenn Sie das geforderte Geld zahlen.

Ransomware lässt sich verhindern, indem Sie Backups einrichten und testen sowie Ransomware-Schutz in Sicherheitstools anwenden. Sichere E-Mail-Gateways sind die erste Verteidigungslinie, während Endpunkte eine sekundäre Verteidigung darstellen. Intrusion-Detection-Systeme (IDS) werden manchmal zur Erkennung von Ransomware eingesetzt, um vor einem Aufruf eines Ransomware-Systems an einen Kontrollserver zu warnen. Benutzerschulungen sind wichtig, aber die Benutzerschulung ist nur eine von mehreren Verteidigungsebenen zum Schutz vor Ransomware, und sie kommt erst nach der Zustellung von Ransomware per Phishing ins Spiel.

Eine Vorsichtsmaßnahme für den Fall, dass alle anderen präventiven Verteidigungsmaßnahmen gegen Ransomware versagen, ist, sich einen Vorrat an Bitcoin anzuschaffen. Dies ist jedoch eher dann relevant, wenn Kunden oder Partner des betroffenen Unternehmens unmittelbar geschädigt werden könnten. Krankenhäuser und das Gastgewerbe sind hier einem besonderen Risiko ausgesetzt, da das Leben von Patienten betroffen sein könnte oder Menschen ausgesperrt werden können.

Vor dem Angriff: Ransomware verhindern

• Schützen Sie Ihre E-Mails: Ransomware verbreitet sich hauptsächlich per Phishing-Mails oder Spam. Sichere E-Mail Gateways mit gezieltem Angriffsschutz sind entscheidend für die Erkennung und Blockierung schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anhängen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer gesendet werden.
• Schützen Sie Ihre Mobilgeräte: Produkte zum Schutz vor mobilen Angriffen können in Verbindung mit MDM-Tools (Mobile Device Management) Anwendungen auf den Geräten der Benutzer analysieren und Benutzer und die IT-Abteilung sofort vor Anwendungen warnen, die die Umgebung gefährden könnten.
• Schützen Sie Ihr Surfen im Web: Sichere Web-Gateways scannen den Web-Datenverkehr von Benutzern, um bösartige Web-Anzeigen zu identifizieren, die sie zu Ransomware führen könnten.
• Überwachen Sie Ihre Server und Ihr Netzwerk, und sichern Sie wichtige Systeme: Monitoring-Tools können ungewöhnliche Dateizugriffsaktivitäten, Viren, Netzwerk-C&C-Traffic und CPU-Lasten erkennen – möglicherweise rechtzeitig, um die Aktivierung von Ransomware zu blockieren. Eine vollständige Image-Kopie wichtiger Systeme vorzuhalten, kann das Risiko verringern, dass ein abgestürzter oder verschlüsselter Rechner einen entscheidenden operativen Engpass verursacht.

Nach dem Angriff: Ransomware entfernen und Daten wiederherstellen

• Verständigen Sie die nationale und lokale Strafverfolgungsbehörde: Genauso wie sich jemand bei der Entführung einer Person an die Behörden wenden würde, muss im Falle eines Ransomware-Angriffs dasselbe Büro verständigt werden. Deren forensische Techniker können sicherstellen, dass Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Organisationen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
• Informieren Sie sich über Anti-Ransomware-Ressourcen: Das „No More Ransom“-Portal und „Bleeping Computer“ haben Tipps, Vorschläge und sogar einige Entschlüsselungscodes für bestimmte Ransomware-Angriffe.
• Stellen Sie Ihre Daten wieder her: Wenn sich Unternehmen an die bewährten Verfahren halten und System-Backups aufbewahren, können sie ihre Systeme wiederherstellen und den normalen Betrieb wieder aufnehmen.

Die folgende Ransomware-Statistik veranschaulicht die wachsende Epidemie und die Milliarden, die sie den Opfern gekostet hat. Schauen Sie auch auf unser Informationsportal zum Thema Ransomware, um über die neuesten Statistiken zu Ransomware auf dem Laufenden zu bleiben.