11.10.2017 Lösegelder zahlen?

Die fiese Erpressermasche der Cyber-Kriminellen

Von: Ina Schlücker

Mit Verschlüsselungstrojanern, neudeutsch Ransomware, erpressten Cyber-Kriminelle weltweit zuletzt zahlreiche große Firmen. Dabei erwies sich die Bezahlung der ­geforderten Lösegelder nicht immer als gute Idee.

Cyber-Kriminelle greifen oft auf fiese Erpressermaschen zurück.

Wie sieht die Erpressermasche der Cyber-Kriminellen aus und wie soll man sich als Opfer verhalten?

Was war passiert? Im Frühjahr und Sommer dieses Jahres nutzten Verschlüsselungstrojaner wie Wanna Cry und Petya vorhandene Schwachstellen in älteren Windows-Systemen aus, um unbemerkt Trojaner in Firmennetzwerke zu schleusen. In der Regel nimmt die Malware bei solchen Attacken dann eine Verschlüsselung von Daten und Festplatten vor. Erst nach der Zahlung von Lösegeldern, zumeist in Form der ­Kryptowährung Bitcoin, werden die Daten wieder freigegeben – oder eben nicht.

Für die bisherigen Erfolge von Ransomware-Attacken gibt es verschiedene Gründe. „Zum einen rüsten die Angreifer auf und der Schadcode wird ausgefeilter“, erläutert Dietmar Schnabel, Regional Director bei Check Point Software Technologies. Zum anderen könne Malware wie Petya inzwischen mehrere Schwachstellen ausnutzen, sich in aktive Sessions einschleusen und gezielt User-Zugangsdaten entwenden. „Bei Wanna Cry wurde zudem deutlich, dass die Angreifer es nicht nur auf Lösegeld abgesehen haben. Die Gefahrenlage hat sich weiterentwickelt und es ging den Angreifern hauptsächlich um die Zerstörung von Informationen“, glaubt Schnabel. Denn im Gegensatz zu anderen Ransomware-Wellen wurden einzelne Dateien nicht nach und nach verschlüsselt, sondern gleich die gesamte Festplatte. „Alles in allem war der Schaden damit immens, die bezahlten Lösegelder vielen hingegen eher gering aus“, so Schnabel. Doch nicht immer setzen die Erpresser auf geringfügige Summen. Vielmehr kann die Höhe je nach Attacke erheblich schwanken. „Die Preisspannen gestalten sich höchst unterschiedlich. So verlangt die Android-Ransomware Charger 0,2 Bitcoins (etwa 180 US-Dollar) pro befallenem Smartphone“, erinnert sich Schnabel. Bei einer Ransomware-Attacke auf eine südkoreanische Shopping Mall hingegen verlangten die Erpresser 2.664 US-Dollar Lösegeld für die Freigabe der über zehn Millionen verschlüsselten Datensätze.

Über weitaus höhere Forderungen berichtet Srinivasan CR, Senior Vice President bei Tata Communications. Seiner Einschätzung nach liegen die Lösegelder üblicherweise bei rund 300 bis 600 US-Dollar pro infiziertem Gerät, was bei großen Organisationen schnell eine Lawine an Forderungen lostreten kann. Zudem bemerkt er in den letzten Jahren einen rapiden Anstieg der Lösegeldforderungen. Die Gründe dafür seien vielfältig, darunter der steigende Erfolg immer raffinierterer Angriffe und der daraus resultierenden steigenden Verzweiflung der Verantwortlichen. „Daten aus 2015 und 2016 zeigen, dass der Durchschnittsbetrag um 266 Prozent angestiegen ist“, so Srinivasan CR.

Zig verschiedene Einfallstore


Alles in allem kann Ransomware die Unternehmensnetze auf verschiedene Weise infiltrieren. Ein Einfallstor stellt laut Srinivasan CR die von Unternehmen oftmals in die Länge gezogene Implementierung von Sicherheits-Patches und -Updates dar. „Theoretisch hätten etwa die Auswirkungen von Wanna Cry minimal sein müssen, da Microsoft bereits im März 2017 einen Patch für diese Sicherheitslücke bereitgestellt hatte. Nach unseren Schätzungen haben allerdings nur zehn bis 15 Prozent der Unternehmen weltweit das wichtige Update auch installiert. Die Mehrheit der Unternehmen musste darum in einem Notfallverfahren die Patches implementieren“, so Srinivasan CR. Ein Grund: Nicht selten müssten IT-Abteilungen auf die Genehmigung von in der Hierarchie höher angesiedelten Abteilungen warten, bevor sie wichtige Updates installieren können. Dabei mag die Verzögerung von Sicherheits-Updates zwar kurzfristig Vorteile mit sich bringen, langfristig hingegen bedeuten sie eine deutlich höhere Verwundbarkeit.

Doch nicht nur ungepatchte Systeme ziehen Cyber-Kriminelle magisch an. Laut Sven Janssen, Regional Director bei Sonicwall, werden auch unzureichende Firewalls für Angriffe genutzt. Daher sollten die Verantwortlichen Firewalls wählen, die auf die eigenen Anforderungen zugeschnitten sind und den gesamten Datenverkehr unabhängig von der Dateigröße prüfen können. „Angesichts der schnellen Zunahme von SSL-verschlüsseltem Verkehr besteht – wie wir in unserem diesjährigen Sicherheitsbericht festgestellt haben – stets das Risiko, verschlüsselte Malware herunterzuladen, die herkömmliche Firewalls nicht erkennen können“, betont Janssen. Von daher gilt es unbedingt sicherzustellen, dass Firewalls bzw. Intrusion-Prevention-Systeme verschlüsselten Verkehr entschlüsseln und prüfen. Überdies verweist Klaus Lenssen, Chief Security Officer bei Cisco Germany, auf die zunehmende Vernetzung der Geräte im Internet of Things (IoT). „In diesem Zusammenhang warnen die Sicherheitsforscher unseres Partners TrapX Security beispielsweise vor Ransomware-Angriffen auf medizinische Geräte. Denn wie viele andere IoT-Geräte sind auch die meisten medizinischen Apparate nicht mit Fokus auf IT-Sicherheit entwickelt worden.

Zudem verantworten in den Krankenhäusern fünf bis sechs Personen in der IT rund 12.000 bis 15.000 medizinische Geräte, von denen etwa zehn Prozent auf IP-Basis miteinander vernetzt sind“, so Lenssen weiter. Werden dort Schwachstellen – etwa durch fehlende Zugriffsrechte oder das Abschalten eines Gerätes – nicht gepatcht, öffnet man den Angreifern lukrative Einfallstore.

Hat es Ransomware schließlich in die Unternehmensnetze geschafft und sämtliche Daten oder Festplatten verschlüsselt, tut schnelle Hilfe not. „Als wichtige Sofortmaßnahme sollten alle infizierten Rechner umgehend vom Netzwerk getrennt und heruntergefahren werden, um eine weitere Ausbreitung zu verhindern“, rät Sven Janssen. Anschließend sollten die IT-Mitarbeiter prüfen, ob Backups der betroffenen Rechner vorliegen und versuchen, die Daten wiederherzustellen. Zudem gibt es laut Michael Covington, Vice President bei Wandera, gleich mehrere kostenlose Entschlüsselungs-Tools auf dem Markt, die jeweils auf bestimmte Angriffe zugeschnitten sind. Allein damit ist es jedoch nicht getan: „Über die internen Maßnahmen hinaus sollten die Betroffenen den Vorfall den Behörden melden“, rät Klaus Lenssen. Zur Nachverfolgung der Angriffe betreiben die Landeskriminalämter jeweils eigene Cyber-Crime-Kompetenzzentren.

Und nicht zuletzt ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Betreiber „Kritischer Infrastrukturen (Kritis)“ der im Rahmen des IT-Sicherheitsgesetzes vorgeschriebene Ansprechpartner. Generell raten Experten davon ab, die geforderten Lösegelder zu bezahlen. Denn nicht immer werden die betroffenen Daten nach der Zahlung wieder entschlüsselt. Hier verweist Michael Covington auf ein amerikanisches Krankenhaus, welche im Jahr 2016 17.000 US-Dollar als Lösegeld gezahlt hat, um kritische Akten mit Patientendaten wieder abrufen zu können.“ Berichten zufolge wurden die Daten freigeschaltet und das Krankenhaus konnte wieder „normal“ weiterarbeiten. „Es gibt jedoch keine Garantien, dass alle Angreifer, die Ransomware einsetzen, dasselbe tun“, warnt Michael Covington. Nicht selten zahlen die Betroffenen das Lösegeld und erhalten trotzdem nichts zurück.

Viele Branchenkenner befürchten, dass Wanna Cry und Petya nur erste Vorboten ausufernder Ransom­ware-Attacken sein könnten. Ein Indiz dafür ist die zunehmende Verbreitung von Ransomware as a Service (RaaS). Dahinter verbirgt sich ein lukratives Geschäftsmodell mit Malware, bei dem organisierte Cyber-Kriminelle ihre Toolkits im Darkweb oder in einschlägigen Hackerforen feilbieten, um auch Laien ausgeklügelte Cyber-Angriffe zu ermöglichen. Neben Verschlüsselungstrojanern lassen sich dabei auch viele andere Angriffsmechanismen zur „Miete“ erwerben. Als Beispiel führt Dietmar Schnabel den Schädling Diamond Fox an. Dieser unterstützt neben der Verschlüsselung auch andere Tools wie Distributed Denial of Service (DDoS) und das Mitschneiden von Nutzerdaten (Key Logging) sowie das heimliche Kopieren. In der RaaS-Praxis entwickeln Hacker einen Basis-Code für Trojaner, den Cyber-Kriminelle einfach übernehmen können. „Im Gegenzug erhalten die Entwickler des Codes eine Art Kommission, die bis zu einem Drittel der durch die Attacke erzielten ‚Einnahmen’ betragen kann“, ergänzt Srinivasan CR. Im Zuge solcher Franchisemodelle variieren die Preise zwischen den RaaS-Anbietern stark: „Einfache Schädlinge gibt es für kleines Geld; je nach Service, Komfort und Umfang steigen dann die Kosten.

Die Anbieter sind spezialisiert und stehen im Wettbewerb zueinander, sodass je nach Plattform derselbe Service unterschiedlich bepreist sein kann. Im Falle von Diamond Fox sind die Preise nicht konsistent. Im Webforum rekings.com wurde ein Angebot für 826 US-Dollar gefunden – an anderer Stelle kostet die eigentliche Malware 300 und der Builder 700 Dollar“, weiß Dietmar Schnabel.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Egal, auf welche Weise die Ransomware-Angriffe ablaufen – die Verantwortlichen sollten mögliche Risiken früh genug minimieren. „Um optimal geschützt zu sein, muss die IT alle Systeme konsequent auf dem neuesten Stand halten. Das heißt, die neuesten Updates und Patches einspielen sowie Daten regelmäßig sichern und die Systemwiederherstellung aktivieren“, fordert Sven Janssen. Ebenfalls wichtig sei es überdies, die Zugriffsrechte festzulegen, das Netzwerk zu segmentieren und kritische Anwendungen sowie Geräte auf einem separaten Netzwerk oder virtuellen LAN zu isolieren.  Laut Dietmar Schnabel bieten zudem Multi-Layer-Security-Ansätze ein Höchstmaß an Sicherheit, wenn sie verschiedene Abwehrmechanismen kombiniert einsetzen. „Über Basismaßnahmen bestehend aus Firewalls, In­trusion Prevention sowie Antiviren-Technologie hinaus sollte eine Sandboxing-Lösung auf CPU-Ebene eingesetzt werden“, fordert Schnabel.


IT-Landschaften bestmöglich schützen

Um eine sichere IT-Landschaft aufzubauen, sollten die Verantwortlichen folgende Punkte berücksichtigen:

  •   ausreichend personelle Ressourcen für anspruchsvolle Aufgaben bereitstellen
  •   effektives und zeitnahes Patch-Management
  •   ausschließlicher Einsatz von Produkten, die unter Wartung sind
  •   rechtzeitige Ablösung von Produkten, die das Ende ihres Lebenszyklus erreicht haben
  •   Konsolidierung gewachsener Infrastrukturen
  •   Einsatz von Tools, mit denen Prozesse automatisiert und besser überwacht werden können
  •   Business-Continuity-Planung und Disaster Recovery sind Pflicht

Quelle: Klaus Lenssen, Chief Security Officer bei Cisco Germany


Bildquelle: Thinkstock/Photos.com

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH