- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Ransomware: "Geboren" als Trojaner


Eine Generation Datenkidnapping: Ransomware wird 30
Richtig kraftvoll wurde Ransomware mit der Verbreitung via Internet

- Anzeigen -





1989 erblickte die erste Erpressungssoftware das Licht der Welt und hat sich seither zu einer der unverfrorensten Datenbedrohungen entwickelt. Sophos hält eine kurze Rückschau auf 30 Jahre digitale Erpressung. In den letzten Jahren hat es Ransomware immer wieder in die Schlagzeilen geschafft – dabei waren es tatsächlich nur die wenigsten Angriffe der erpresserischen Software, die tatsächlich öffentlich wurden. Die Mehrzahl der Attacken verlief im Verborgenen, die Opfer – zumeist Unternehmen – schwiegen aus Scham. So wundert es kaum, dass es die Malware beinahe klammheimlich bereits zu einem runden Geburtstag geschafft hat: sie wird 30.

Ransomware ist eine Kategorie von Schadsoftware und gehört unter diesen mittlerweile zu den ärgerlichsten und destruktivsten. "Geboren" wurde Ransomware als ein Trojaner. Abgeleitet von englisch ransom "Lösegeld" (ware kennzeichnet typischerweise eine Art von Computerprogramm) wird ihr Zweck bereits im Namen klar: sie dient Cyberkriminellen dazu, arglose Computerbesitzer zu nötigen, gegen teuer Geld ihre persönlichen, durch die Schadware nunmehr verschlüsselten Dateien auf ihren PCs "freizukaufen" und wieder für sich nutzbar zu machen.

Die Geburt
1989 erblickte die Malware AIDS TROJAN DISK die kriminelle Welt. Der Trojaner infizierte Computer via Diskette: Eine Lizenz sei abgelaufen, hieß es damals seitens der Kriminellen, der Schlüssel bei Firma xy käuflich zu erwerben. Damals noch eine geschickte Story statt plumper Erpressung. Der Vater des Trojaners, Joseph Popp, wurde ausfindig gemacht und zur Haft verurteilt. Allerdings konnte er diese wegen einer psychischen Krankheit nicht antreten. Das erpresste Geld wollte er an die AIDS-Forschung spenden.

Richtig kraftvoll wurde Ransomware dann mit der Verbreitung via Internet: Der Trojaner TROJ_PGPCODER.A forderte bereits ein paar Hundert US-Dollar Lösegeld. Und der "soziale" Anstrich, den sich Joseph Popp gegeben hatte, war einem großen kriminellen Erpressergeschäft gewichen.

Das heutige Design von Ransomware ist professionell kriminell. Absolute Hightech ist gefragt, um die immer leistungsstärkeren Security-Lösungen auszutricksen. Da dies die Fähigkeiten vieler Cyberkrimineller inzwischen übersteigt, hat sich ein neuer, zusätzlicher Markt entwickelt: Mittlerweile können sich Interessierte mit halbwegs guten Computerkenntnissen ihre eigene Ransomware mithilfe von Baukästen zusammenbasteln. Ein lukratives Geschäft, das im Dark Web abgewickelt wird.

Bekannte Verwandte
Wie immer gibt es in Familien Mitglieder, die sich besonders hervorgetan haben, so auch in der Ransomware-Sippe. Ein Best-Of der gemeinsten, raffgierigsten und bösartigsten Exemplare:

SamSam (2015)
An der Spitze steht dieser Teufel: auf sein Konto gehen rund 50.000 US-Dollar pro Attacke, insgesamt eine Rekordlösesummer von 6 Millionen US-Dollar.

WannaCry (2017)
Schaden: 230.000 Computer in 150 Ländern. Neuer Modus Operandi: neben der üblichen Verbreitung via Email-Anhang, verfügt WannaCry über Wurm-Eigenschaften, und versucht weitere Systeme zu infizieren – ohne Zutun des Nutzers.

Locky, 2016
10.000 Computer betroffen, unter anderem das Fraunhofer-Institut in Bayreuth.

Weitere bekannte Vertreter der Ransomware-Familie sind Dharma, BitPaymer, KeRanger, oder NotPetya.

Funktionsweise
Ransomware kann einen Computer über verschiedene Wege infizieren: E-Mail-Anhänge, gefakte Links, Sicherheitslücken in Webbrowsern oder Anwendungen. Der Adressat erhält zum Beispiel eine Email mit einer gefälschten Rechnung, Sendungsverfolgung, etc. und angehängtem Office-Dokument oder Link. Die E-Mails sind heutzutage sehr gut gefälscht, enthalten genaue Details zum User und seiner Umgebung (so genannte Targeted Ransomware) so dass es nicht einfach ist, eine Ransomware-Attacke gleich zu erkennen.

Ist der Computer infiziert, können verschiedene Szenarien eintreten:
>> Der PC lässt sich nicht mehr bedienen: ein Hinweisfenster zur Erpressung bleibt plakativ auf dem Bildschirm bestehen, auch nach zigfachen Neustarts. Dem Benutzer bleibt nur das Bezahlen des Lösegeldes, heute oft via Kryptowährung.

>> Dateien werden verschlüsselt, vorwiegend solche, von denen der Cyberkriminelle annimmt, sie seien für den Anwender von Bedeutung. Bei Windows liegt der Ordner "Eigene Dateien" nahe, aber auch E-Mails, Datenbanken, Archive und Fotos. Das Passwort zur Entschlüsselung gibt es natürlich nicht kostenlos.

>> Zusätzlich zur Verschlüsselung kann der Computer mit weiterer Schadsoftware zur Manipulation oder zum Ausspähen von Passwörtern beladen sein. Ein Überweisen des Lösegeldes via Onlinebanking vom PC ist also tunlichst zu unterlassen.

>> Supergau: Der Cyberkriminelle hat gar nicht die Absicht, die verschlüsselten Dateien wieder freizugeben. Sie sind auch nach Zahlung des Lösegeldes unwiederbringlich verloren.

Schutzmaßnahmen
Michael Veit, Security-Experte bei Sophos, gibt Tipps zu besserem Schutz gegen die Erpresser-Software: "Trotz hoher Achtsamkeit beim Öffnen von Anhängen, Links etc. kann jeder zum Opfer eines Ransomware-Angriffs werden. Sollte das der Fall sein, haben sich diese Handlungsempfehlungen bewährt:

Verdacht auf Befall? Wenn Sie verdächtige Festplattenaktivität feststellen oder ein Ransomware-Banner erscheint: Sofort den Rechner vom Strom trennen. So lassen sich vielleicht noch Dateien vor der Verschlüsselung retten.

Kein Lösegeld zahlen. Die Summe ist kein Garant für die Rettung der Daten. Und: Wer einmal zahlt, der zahlt vielleicht auch öfter und macht sich so weiterhin erpressbar.

Anzeige erstatten.

Für die Zukunft vorsorgen: Damit Ransomware-Attacken möglichst nicht greifen, eignen sich Security-Lösungen, die auf Basis künstlicher Intelligenz und verhaltensbasierter Erkennung Schadware und damit auch Ransomware rechtzeitig erkennen und abwehren.

Unabhängig machen von einem Gerät: Regelmäßig Back-ups der eigenen Dateien auf einem externen System, sei es PC, Festplatte oder Cloud machen." (Sophos: ra)

eingetragen: 04.04.19
Newsletterlauf: 25.04.19


Meldungen: Hintergrund

  • Phishing weitaus risikoreicher als WiFi

    Ist die Nutzung von öffentlichem WIFI eine gute Idee? "Kommt drauf an", sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos. Seine Einschätzung zur Sicherheitslage und To do's für die Nutzung von Hot Spots im untenstehenden Beitrag. Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? "Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet", räumt Chester Wisniewski von Sophos, ein. "Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten."

  • Spionage- & Sabotageangriffe gegen CNI

    Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr fortschrittlich und mit viel Geduld arbeiten. Das zeigen Gruppen wie etwa APT33 oder die BlackEnergy Group mit ihren Angriffen auf Öl-Firmen oder Stromversorger. Gleichzeitig nutzen Unternehmen veraltete Systeme und Technologien um Geld zu sparen. Eine schlechte Sicherheitslage, falsche Prioritätensetzung und Wahrnehmung sind auch Geschenke für Angreifer. Schädliche Akteure zielen exponentiell auf kritische Infrastrukturen (CNI) und Energieverteilungseinrichtungen ab. Vernetzte Systeme in der Energiebranche erhöhen die Anfälligkeit für Cyberangriffe, die auch oft für einige Zeit unentdeckt bleiben.

  • Adware im Google Play Store

    Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

  • Sicherheitsmängel in Industrieanlagen gravierend

    Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

  • Datenschutz vorzugsweise in verteilten Umgebungen

    Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432 IT-Experten, Geschäftsführern und Backup-Administratoren als Befragungsgrundlage hat. Ziel war es, die Einstellung der EMEA-Organisationen zu Backup und Wiederherstellung zu untersuchen.