Was ist Ransomware?

Ransomware ist eine Art von Malware, die die Dateien auf dem Gerät des Nutzers oder auf Netzwerkgeräten verschlüsselt. Um den Zugriff auf die verschlüsselten Dateien wiederherzustellen, muss der Nutzer „Lösegeld“ (im Englischen „Ransom“) an die Cyberkriminellen zahlen – üblicherweise über schwer zu verfolgende elektronische Zahlungsmethoden, wie z. B. Bitcoin. Obwohl Sicherheitsforscher herausgefunden haben, wie sich der Traffic von Bitcoin-Transaktionen zuordnen lässt, ist es äußerst schwierig, zu ermitteln, welche Person bzw. Personen Besitzer des Bitcoin-Kontos sind.

Wie verbreitet sich Ransomware?

Ransomware wird für gewöhnlich über Spam-E-Mails verbreitet. Die Spam-E-Mail enthält einen schädlichen Anhang, der sich als legitime Datei tarnt, oder aber einen schädlichen Link im E-Mail-Text. Bei der ersten Methode wird die Ransomware aktiviert, sobald der Anhang geöffnet wird, und verschlüsselt innerhalb von Sekunden die Dateien auf dem Gerät. Wenn als Angriffsvektor ein Link gewählt wird, wird der Nutzer nach Aufrufen dieses Links zu einer Webseite geleitet, auf der die Ransomware ohne Kenntnis des Nutzers auf dessen Gerät installiert wird. Die schädlichen Programme oder Sites nutzen häufig Exploit-Kits, um Sicherheitsschwachstellen im Betriebssystem oder den Anwendungen des Nutzergeräts zu finden, über die sie die Ransomware einschleusen und aktivieren können. Darüber hinaus nutzen Cyberkriminelle oft bereits vorhandene Exploits, wie die die WannaCry-Angriffe vor Kurzem gezeigt haben. Hier hatten die Angreifer die gut dokumentierte Windows-Schwachstelle „EternalBlue“ ausgenutzt.

Ransomware auf dem Vormarsch

In den letzten Jahren ist die Anzahl großer und erfolgreicher Ransomware-Angriffe auf Unternehmen drastisch gestiegen. Cybersecurity Ventures schätzt, dass die globalen Kosten durch Ransomware 2017 die Marke von fünf Milliarden US-Dollar überschreiten wird. Das sind 15 Mal mehr Ausgaben als noch 2015.1 Gleichzeitig hat sich die Zahl der Ransomware-Varianten verdreifacht.2

Ransomware Stats

Die Folgen einer Ransomware-Attacke auf ein Unternehmen reichen weit über die reine Lösegeldzahlung hinaus. Auf Unternehmen kommen Kosten durch Datenverlust, Produktivitätsverlust, für forensische Untersuchung, Wiederherstellung von Daten und Systemen, Umsatzverlust und Rufschädigung zu. So meldete beispielsweise ein führendes Unternehmen für Gesundheitsprodukte und Konsumgüter, dass es aufgrund des zuvor erfolgten Petya-Angriffs und der damit einhergehenden Störung von Abrechnung und Produktversand eine zweiprozentige Verringerung des Umsatzwachstums für das aktuelle Quartal verzeichnet hatte.3

CryptoLocker war eine der ersten, häufig verwendeten Ransomware-Familien. Ihren Ursprung fand die Malware 2013. Sie wurde oft als getarnter E-Mail-Anhang übermittelt oder auf Geräten installiert, die schon zuvor infiziert worden waren. Wenn sie aktiviert wurde, verschlüsselte die Malware bestimmte Daten auf den lokalen und den Netzwerklaufwerken. Opfer mussten innerhalb des angegebenen Zeitraums ein Lösegeld von 400 US-Dollar bzw. den entsprechenden Bitcoin-Betrag zahlen – ansonsten wurde der Entschlüsselungsschlüssel gelöscht. Häufig wurden die Schlüssel jedoch auch gelöscht, obwohl das Opfer das Lösegeld gezahlt hatte. Das Gameover Zeus Botnet, das zur Verbreitung der Ransomware genutzt worden war, wurde durch eine Partnerschaft von Industrie, Strafverfolgung und Regierungsbehörden unter dem Namen „Operation Tovar“ offline genommen.

Häufig wurden die Schlüssel jedoch auch gelöscht, obwohl das Opfer das Lösegeld gezahlt hatte.

Ransomware-Angriffe mit hoher medialer Präsenz

CryptoWall stellt eine spätere Variante von CryptoLocker dar und funktioniert auf die gleiche Weise. Der schwerwiegendste Angriff erfolgte Ende 2014 in Australien. Hierbei wurden zur Verbreitung von Malware Phishing-E-Mails mit schädlichen Links versendet, die vermeintlich von Regierungsbehörden stammten.4 Damit diese E-Mails nicht von Sicherheitsprodukten blockiert wurden, schalteten die Cyberkriminellen ein Captcha-Formular vor den Malware-Download.

Locky wurde erstmals 2016 entdeckt und wurde für gewöhnlich über E-Mails mit einem „Rechnungsanhang“ verbreitet. Sobald die Word- oder Excel-Datei geöffnet wurde, wurde der Nutzer aufgefordert, Makros zu aktivieren, um die Rechnung anzeigen zu können. Nach Aktivierung der Makros führte die Datei daraufhin ein Programm aus, das die eigentliche Ransomware herunterlud. Lokale und Netzwerkdateien wurden verschlüsselt und erhielten die Dateierweiterung „.locky“. Um die Dateien zu entsperren, mussten Opfer eine Website besuchen und einen Browser herunterladen, mit dem sie dann auf die Zahlungswebsite der Cyberkriminellen zugreifen konnten. Die Zahlung betrug für gewöhnlich zwischen einer halben und einer Bitcoin. Locky war eine der ersten Ransomware-Angriffe, die eine breitere öffentliche Bekanntheit erreichten, da in einem US-Krankenhaus Patientendaten verschlüsselt wurden und das Krankenhaus das Lösegeld zahlte, um die Dateien wiederherzustellen.5

WannaCry schaffte es im Mai 2017 in die Schlagzeilen, als weltweit über 400.000 Computer infiziert wurden.6 Durch die Angriffe waren öffentliche wie private Organisationen betroffen, einschließlich des National Health Service des Vereinigten Königreichs, eines spanischen Telekommunikationsunternehmens und einer großen deutschen Bank. Glücklicherweise fanden Sicherheitsforscher eine Möglichkeit der Abschaltung innerhalb der Malware, sodass die Attacke in wenigen Tagen gestoppt werden konnte. Der Angriff basierte auf einer bekannten Schwachstelle in Windows (EternalBlue). Obwohl seit mehreren Monaten ein Sicherheitspatch zur Verfügung stand, hatten ihn viele Unternehmen noch nicht installiert.

WannaCry schaffte es im Mai 2017 in die Schlagzeilen, als weltweit über 400.000 Computer infiziert wurden.

NotPetya, eine Variante der Petya-Ransomware, trat schnell in die Fußstapfen von WannaCry und trat im Juni 2017 erstmals in der Ukraine auf. Die Malware wurde als PDF-Anhang per E-Mail verbreitet und nutzte dieselbe EternalBlue-Schwachstelle wie schon WannaCry. Auch hier waren öffentliche und private Organisationen weltweit betroffen, darunter ein großes US-Pharmaunternehmen, eine multinationale Anwaltskanzlei und die größte Werbefirma Großbritanniens. Im Gegensatz zu anderer Ransomware infiziert Petya die Masterdateitabelle des Computers. Es wurde spekuliert, dass es den Kriminellen bei diesem Angriff eher darum ging, Chaos in der Ukraine zu stiften als sich zu bereichern.7

Minimieren der Risiken durch Ransomware

Das schwächste Glied in der Kette sind die fehlenden Grundlagen der Mitarbeiter. Der Großteil der Ransomware erfordert eine Nutzeraktion, damit sie ihre Payload aktivieren kann. Mitarbeiter dahingehend zu schulen, wie sich Cyberangriffe erkennen und abwehren lassen, ist also essenziell. Viele Attacken nutzen E-Mails und Social Engineering, um Mitarbeiter dazu zu bewegen, Malware herunterzuladen oder ihre Anmeldedaten preiszugeben. Deshalb sollten sich entsprechende Schulungen auf diese häufig genutzten Angriffsvektoren konzentrieren. Auch Übungen, bei denen Mitarbeitern Test-Phishing-E-Mails gesendet werden, können Nutzer effektiv darin schulen, zwischen echter Zuliefererkommunikation und Phishing-Mails mit Betreffzeilen wie „Rechnung angehängt – bitte öffnen“ unterscheiden zu können.

Patchen Sie, was das Zeug hält. Und wenn Sie fertig sind, patchen Sie weiter. Wie WannaCry und Petya gezeigt haben, ist ein zuverlässiger Ansatz zum Patchen bekannter Schwachstellen unerlässlich, damit Ihr Unternehmen nicht ungeschützt dasteht. Noch Monate nachdem die EternalBlue-Schwachstelle durch WannaCry und NotPetya ausgenutzt wurde, sind laut Schätzungen weiterhin ca. 38 Millionen Computer ungepatcht.8 Ungepatchte Geräte und Software zu erkennen, ist für Cyberkriminelle verhältnismäßig einfach. Und wenn sie einmal ein solches Gerät gefunden haben, ist auch die Ausnutzung bekannter Schwachstellen ein Kinderspiel.

Laut Schätzungen sind nach wie vor 38 Millionen Computer ungepatcht.

Sichern Sie Ihre Daten ... und dann sichern Sie die Backups. Viele Nutzer wissen nicht, dass Ransomware auch Backups verschlüsseln kann, die auf Netzwerkservern gespeichert sind. Deshalb müssen Unternehmen ihre aktuellen Sicherungsansätze überdenken. Sichern Mitarbeiter wichtige Dateien auf einem Netzwerklaufwerk? Werden die Dateien von diesen Geräten und Fileservern dann in der Cloud gesichert? Testen Sie, ob die Backups wiederhergestellt werden können? So können Unternehmen, selbst wenn Ransomware alle lokalen Dateien und Backups verschlüsselt, ihre Daten dennoch wiederherstellen und schnell wieder zum normalen Betrieb zurückkehren.

Sich zum Schutz vor dieser wachsenden Gefahr nur auf eine Sicherheitsebene zu verlassen, ist nicht empfehlenswert.

Machen Sie Kriminellen das Leben schwer: mit mehreren Sicherheitsebenen. Cyberkriminelle investieren viel Zeit und Geld, um immer komplexere und fortschrittlichere Malware zu entwickeln und so die Sicherheitsmaßnahmen von Unternehmen zu umgehen. Sich zum Schutz vor dieser wachsenden Gefahr nur auf eine Sicherheitsebene zu verlassen, ist nicht empfehlenswert. Bei einem Ansatz mit verschiedenen Sicherheitsebenen können die zusätzlichen Ebenen greifen, wenn die vorherige den Angriff nicht blockieren kann. Welche Sicherheitsebenen sind derzeit in Ihrem Unternehmen implementiert? Verfügen Sie über verschiedene Sicherheitslösungen, um die Risiken über alle Angriffsphasen hinweg zu minimieren? Sind Lücken in Ihrer Sicherheit vorhanden, die Cyberkriminelle ausnutzen könnten?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI, Juni 2016, https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe-Bericht 3. Quartal 2016
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017