Ransomware - Geld oder Datei?
Was können Unternehmen tun, damit eine Ransomware nicht zum Zuge kommt?
Keine ultimative Verteidigung gegen Ransomware: Unzählige Male ist es den Angreifern gelungen, erfolgreich das geforderte Lösegeld einzutreiben
Von Troy Gill, Manager of Security Research bei AppRiver
(23.10.15) - Ein neues Phänomen ist Ransomware beileibe nicht, wie der kurze Rückblick auf ihre Geschichte zeigt. Allerdings eines, dass mit CryptoLocker eine neue Dimension erreicht hat. Nicht zuletzt deshalb, weil auch renommierte Unternehmen nicht nur nicht verschont wurden, sondern sogar die geforderten Summen gezahlt haben.
Ob das die einzige Alternative ist, welche vorbeugenden Maßnahmen es gibt und was man tun kann, sollte das Kind schon in den sprichwörtlichen Brunnen gefallen sein, damit befasst sich der nachfolgende Artikel.
Ransomware ist eine bösartige Schadsoftware, die den Zugriff auf ein Computersystem so lange blockiert bis eine bestimmte Lösegeldsumme für die gesperrten Dateien gezahlt wird. Ende 2013 schaffte es diese spezielle Angriffsform in die Headlines. Bis heute wurden etliche Versuche unternommen die verantwortlichen Cyberkriminellen dingfest zu machen. Allerdings hat sich die Technik als ziemlich erfolgreich erwiesen und so dauerte es nicht lange bis Scammer Ransomware für sich entdeckten.
Warum ist Ransomware so gefährlich? Und was kann man tun, um seine Systeme vor dieser modernen Form der Wegelagerei zu schützen, die hinter diesen Attacken steckt?
Ransomware - damals und heute
Ransomware ist an sich kein wirklich neues Phänomen, und ihr erstes Auftreten lässt sich vermutlich bis in die 1980er-Jahre zurückdatieren. Der sogenannte "AIDS-Trojaner" ist eine der frühesten Formen. Damals verschickte die PC Cyborg Corporation auf einer 5.25” Diskette (auch als Floppy Disk bekannt, für diejenigen unter Ihnen, die alt genug sind sich daran zu erinnern) angeblich Informationen zu AIDS und ein entsprechendes Maßnahmenpaket. Stattdessen verbarg sich ein Trojaner auf der Diskette. Einmal installiert begann die Malware für den Nutzer unsichtbar ihr Unwesen zu treiben. Nach einer bestimmten Anzahl von Neustarts verschlüsselte der Trojaner nämlich ohne weitere Vorwarnung die Festplatte. Anschließend wurde der Benutzer aufgefordert eine "Lizenzgebühr" zu zahlen, um die Festplatte wieder zu entschlüsseln. Es handelte sich dabei um eine relativ begrenzte Kampagne. Und der Urheber konnte ausfindig gemacht und gefasst werden. Allerdings wurde er schließlich als nicht verhandlungsfähig erklärt.
In den darauf folgenden Jahren änderte sich aber so einiges. Im September 2013 schließlich begann eine Ransomware unter dem Namen "CryptoLocker" Furore zu machen. Nicht zuletzt deshalb, weil es ihr gelungen ist, eine alarmierende Anzahl von Systemen zu befallen. Diese Ransomware-Familie trat in recht unterschiedlichen Erscheinungsformen auf, darunter Anhänge in Phishing-E-Mails, böswillige Links oder Drive-by-Download-Infektionen auf kompromittierten Websites. CryptoLocker bedient sich starker Verschlüsselung und ist in der Lage praktisch jede Datei auf einem Zielsystem zu verschlüsseln. Ohne den entsprechenden privaten Schlüssel ist es unmöglich auf die gesperrten Dateien zuzugreifen.
Ältere Formen von Ransomware hatten vergleichsweise wenig Erfolg damit, Zahlungen zu erwirken. Ganz anders CryptoLocker und seine Abkömmlinge CryptoWall und CryptoDefense, die in dieser Hinsicht besonders effektiv waren. Denn selbst wenn es gelingt die Infektion selbst zu beseitigen, bleiben die Dateien nicht selten verschlüsselt und unbenutzbar. Etliche, die Opfer des Trojaners mit dem coolen Namen wurden, haben sich dann doch noch entschlossen, die erpresste Summe zu bezahlen. Alles in der Hoffnung, die Daten zurückzubekommen.
Ransomware ist nach wie vor aktuell. Jüngstes Beispiel: Rechtzeitig zum Roll-out von Windows 10 wurde eine entsprechende E-Mail-Kampagne gestartet. Die getäuschten Nutzer erhielten allerdings statt des erwarteten Upgrades auf Windows 10 einen CTB-Locker. Das Internet Crime Complaint Center (IC3) des FBI veröffentlichte jüngst Zahlen, nach denen allein CryptoWall, eine Variante der Crypto-Ransomware, die US-Wirtschaft zwischen April 2014 und Juni 2015 18 Millionen US-Dollar kostete.
Vorbeugen ist besser als heilen
Das alte Sprichwort bewahrheitet sich hier. Ist es der Malware nämlich erst ein Mal gelungen, die Daten zu verschlüsseln, ist die Verschlüsselung praktisch nicht mehr zu knacken. Versuche, die gesperrten Daten wieder zugänglich zu machen, sind meist vergeblich. Bleibt die Vorbeugung.
Was können Unternehmen tun, damit eine Ransomware nicht zum Zuge kommt?
Die einfachste Form der Vorbeugung besteht in regelmäßigen Back-ups. Bei einer Infektion durch Ransomware lassen sich die Dateien bis zu dem Punkt wiederherstellen, an dem die Malware ins System gelangt ist. Immerhin begrenzt diese Maßnahme den Schaden.
Gehen Sie nicht davon aus, dass in die Cloud ausgelagerte Dateien gegen eine Infektion immun sind. Tatsächlich ist es so: Ist ein System bereits mit einer Ransomware infiziert, werden bei einem automatischen Datei-Upload die verschlüsselten Dateien ebenfalls hochgeladen. Inzwischen haben Malware-Autoren sogar schon Ransomware entwickelt, die sich ganz gezielt auf Endpunkte richtet, die bei Cloud-Lösungen angemeldet sind. Hier sucht die Ransomware nach Anmeldedaten, um dann auch diese Dateien zu verschlüsseln und den Benutzer auszusperren.
Denken Sie immer daran, dass Angreifer äußerst beweglich sind und Zero-Day-Schwachstellen sehr zügig ausnutzen. Unternehmen tun also gut daran, sämtliche Patches regelmäßig einzuspielen. Insbesondere, wenn es sich um kritische Sicherheitslücken handelt.
Machen Sie es den Angreifern so schwer wie möglich und implementieren Sie die entsprechenden Sicherheitssysteme wie Firewalls, Intrusion-Detection-Software, Spam- und Virenschutz, Webfilter.
Das schwächste Glied in der Kette ist der Benutzer. Führen Sie entsprechende Sicherheitstrainings durch oder nehmen Sie daran teil. Nur so schärfen Sie das Bewusstsein dafür, welche Gefahr davon ausgeht auf einen bestimmten Link zu klicken, Anhänge zu öffnen oder Programme einfach zu installieren.
I/O- Anfragen zu überwachen und den Master File Table (MFT) innerhalb des NTFS-Systems zu schützen, hilft, bereits bekannte Ransomware-Varianten zu stoppen.
Aktivieren Sie die ‘Systemwiederherstellung’ in Windows, falls Sie die Funktion brauchen sollten.
Ich persönlich gehe davon aus, dass sich eine Infektion im Moment nicht hundertprozentig verhindern lässt. Die oben beschriebenen Schritte verringern aber die Angriffsfläche.
Wenn das Kind schon in den Brunnen gefallen ist...
Was aber tun, wenn Sie bereits Opfer einer Ransomware-Attacke geworden sind? Dann können Sie tatsächlich derzeit nur hoffen, dass es sich nicht um CryptoLocker oder einen seiner Abkömmlinge handelt, sondern stattdessen um ScareWare, die wesentlich leichter zu beseitigen ist.
Wenn das Kind schon in den Brunnen gefallen ist, greift man am besten auf das hoffentlich existierende Harddisk-Backup der wichtigsten Dateien zurück um die Systeme neu zu starten.
Falls ein solches Backup nicht existieren sollte, gibt es einige Tipps, die helfen können:
>> Wenn Sie Ihren Rechner im abgesicherten Modus betreiben können benutzen Sie einen On-Demand-Virenscanner und versuchen Sie die Malware zu entfernen.
>> Alternativ dazu, und vorausgesetzt die Malware blockiert diese Aktion nicht (viele tun es leider), versuchen Sie über die Systemwiederherstellung das System an den Punkt vor der Infektion zurückzusetzen. Folgende Aktionen können Sie durchführen, ohne dass Dateien beeinträchtigt werden:
Versuchen Sie beispielsweise Ihren Rechner erneut zu starten. Sobald der Rechner hochfährt halten Sie die F8-Taste gedrückt, die Sie zu den "erweiterten Startoptionen" bringt.
>> Wählen Sie die Option "Computer reparieren" aus
>> Wählen Sie "Systemwiederherstellung" aus (unter Umständen müssen Sie sich dazu auch erst einloggen)
>> Wenn das alles nichts hilft, ist die letzte Option, das System über eine Windows-CD wiederherzustellen. Wenn man eine hat.
>> Wenn diese Vorgehensweise nicht den gewünschten Erfolg hat, versuchen Sie die werksseitigen Einstellungen wiederherzustellen.
>> Es gibt einige Ransomware-Dateien, die nicht verschlüsselt, sondern nur versteckt sind. Hat man die ursächliche Infektion behoben, sind die Dateien und Icons wieder sichtbar und man kann wieder ganz normal auf die Dateien zugreifen.
>> Bei einer Infektion mit CryptoLocker oder einem anderen Mitglied seiner Familie ist es sehr unwahrscheinlich, dass eine dieser Methoden hilft. Die finale Option ist, das Lösegeld zu zahlen. Das heißt aber in den allermeisten Fällen sozusagen einen Pakt mit dem Teufel einzugehen. Denn es gibt keinerlei Garantie dafür, dass Sie nach dem Zahlen der geforderten Summe auch wirklich wieder auf Ihre Dateien zugreifen können.
Leider gibt es keine ultimative Verteidigung gegen Ransomware. Und unzählige Male ist es den Angreifern schon gelungen erfolgreich das geforderte Lösegeld einzutreiben. Ransomware lebt, und wir können davon ausgehen, dass sich auch Methode weiterentwickeln wird. Solange Ransomware unterwegs ist, kann nicht oft genug unterstreichen wie wichtig regelmäßige Backups sind. Und das in einer Form, die potenziell für Ransomware nicht erreichbar ist. Immerhin gibt es Ransomware, die auch Netzwerkfreigaben und NAS-Systeme verschlüsselt. Solange gewiefte Cyberkriminelle weiterhin zielgerichtete Attacken entwickeln, müssen wir aktiv nach Wegen suchen, damit Malware nicht ans Ziel gelangt. (AppRiver: ra)
AppRiver: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.