30.11.2017 Cyber-Angriffe auf Smartphones

Ransomware goes mobile

Von: Ina Schlücker

Der Sicherheitsspezialist Wandera verzeichnete im vergangenen Jahr eine signifikante Zunahme von Ransomware-Angriffen auf mobile Endgeräte, berichtet Vice President Michael Covington im Interview.

Michael Covington, Wandera

Michael Covington, Vice President Product Strategy bei Wandera

Herr Covington, aus welchen Gründen konnten die Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
Covington:
Ransomware-Angriffe haben in den letzten Monaten zugenommen, da die Angreifer ausgefeiltere Methoden entwickelt haben, um ihre Opfer zu infizieren und sich auf andere Systeme auszuweiten. Petya zum Beispiel wurde entwickelt, um mehrere Schwachstellen auf dem Computer des Opfers zu finden und eine alternative Angriffsmethode anzubieten, falls der Computer des Opfers teilweise gepatcht wurde.

Ebenso haben wir eine neue Version der als SLocker bekannten Software identifiziert, die Anfang des Jahres auf Android-Mobilgeräte abzielte. Unsere Forscher haben mehr als 400 einzigartige SLocker-Varianten identifiziert, die mit subtilen Änderungen verteilt wurden, die es der Malware erlauben, die Erkennung durch Anti-Malware-Scanner zu vermeiden. Wie wir bei Petya und Slocker gesehen haben, werden die Entwickler von “Ransomware” sehr geschickt darin, Malware zu produzieren, die sich der Erkennung entziehen und sich schnell verbreiten lassen.

Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
Covington:
Die meisten Benutzer wurden über die auf Windows-Computern auftretenden Ransomware-Angriffe aufgeklärt, so dass sie wissen, wie wichtig es ist, ihre Laptops auf dem neuesten Stand zu halten. Allerdings sind sich dieselben Benutzer der Risiken, denen sie durch die mobile Datenverbindung auf ihren Smartphones ausgesetzt sind, oft nicht bewusst.

Im vergangenen Jahr haben wir eine signifikante Zunahme von Ransomware-Angriffen auf mobile Endgeräte verzeichnet. Genauso wachsam muss der Nutzer nun auch sein, wenn er sein mobiles Endgerät nutzt. Sie sollten nicht nur das Betriebssystem auf dem neuesten Stand halten, sondern sich auch davor hüten, Apps zu installieren, die nicht aus den offiziellen App Stores stammen. Benutzer sollten die Entwickler jeder Anwendung, die sie installieren, sorgfältig prüfen und die Berechtigungen überprüfen, die von den einzelnen Anwendungen angefordert werden. Darüber hinaus fordern wir alle Benutzer auf, Vorsicht walten zu lassen, wenn sie auf Links klicken, unabhängig davon, ob sie in E-Mails, SMS oder von beliebten Messaging-Anwendungen empfangen werden.

Welche Höhe betragen die Lösegelder in der Regel?
Covington:
Die Ransomware-Gebühren werden oft in Bitcoin angegeben und können von einem Angriff zum nächsten stark variieren. Die typische Spanne, die wir gesehen haben, liegt zwischen 100 und 300 US-Dollar.

Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
Covington:
Unternehmensmanager sollten regelmäßige Backups wichtiger Daten sicher aufbewahren und im Falle eines “Leaks” ein gut dokumentiertes Verfahren anwenden. Der beste Ansatz für den Umgang mit einem infizierten Gerät ist es, das infizierte System zu löschen und von den Backups wiederherzustellen. Die Zahlung eines digitalen Lösegeldes ist riskant und garantiert keine Wiederherstellung der ursprünglichen Zugriffsrechte.

Aus Anwendersicht ist unser Ratschlag derselbe: Sicherung sensibler Daten wie Bilder und Dokumente so oft wie möglich. Mobile Anwender sollten Dienste wie Apple iCloud, Google Drive und Microsoft One Drive nutzen, um mobile Daten nahtlos zu sichern. Glücklicherweise befinden sich die meisten Daten, die auf mobilen Geräten benutzt werden, bereits in einem Cloud-Service, der Redundanz und Datensicherungen garantiert.

Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
Covington:
Im Jahr 2016 hat ein amerikanisches Krankenhaus zugegeben, 17.000 US-Dollar als Lösegeld gezahlt zu haben, um kritische Akten mit Patientendaten wieder abrufen zu können. Berichten zufolge wurden ihre Daten freigeschaltet und das Krankenhaus konnte wieder “normal” weiterarbeiten. Es gibt jedoch keine Garantien, dass alle Angreifer, die Ransomware einsetzen, dasselbe tun. Es ist möglich, dass Benutzer das Lösegeld zahlen und trotzdem nichts zurückbekommen.

Für diejenigen, die sich entscheiden, nicht zu zahlen, gibt es mehrere kostenlose Entschlüsselungs-Tools auf dem Markt; viele dieser Tools sind auf einen bestimmten Angriff von Lösegeld zugeschnitten. Es gibt auch Unternehmen, die Entschlüsselungsdienste für diejenige anbieten, die eine individuellere Unterstützung benötigen.

Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
Covington:
Ransomware as a Service (RaaS) baut im Wesentlichen ein Franchisegeschäft aus Verschlüsselungstrojanern auf, das es jedermann erlaubt, einen Geschädigten oder eine Organisation mit oder ohne technischem Fachwissen anzusprechen, um den Code weiterzuentwickeln und zu verteilen.

Wo und von wem kann man „Ransomware as a Service“ beziehen? Und ab welchem Preis ist man dabei?
Covington:
RaaS-Entwickler werben für ihre Dienste in der Regel in Hacking-Foren; die Dienste selbst werden über das Dark Web aufgerufen. Es stehen konkurrierende Dienste mit unterschiedlichen Portalen und Konfigurationsmöglichkeiten zur Verfügung. Einige RaaS-Angebote beinhalten sogar Werbeangebote und kostenlose Add-ons, um Abonnements zu gewinnen.

RaaS-Benutzer werden als „Affiliates" bezeichnet und erhalten ein Portal, über das sie ihre Malware-Attacken ganz einfach von einem Dashboard aus bereitstellen können. Viele Lösegeld-Pakete sind kostenlos zu verteilen und zu nutzen, ein Modell der Gewinnbeteiligung, die es dem Autor erlaubt, in der Affiliate-Einnahmen zu beteiligen. Wenn Opfer – in der Regel über Bitcoin – zahlen, um ihre Daten freizuschalten, werden Zahlungen auf das Konto des Autors überwiesen, der dann einen Teil der Zahlung an den Partner weiterleitet. Affiliate-Anteile können von 60 bis 80 Prozent betragen, was es zu einem sehr profitablen Geschäft für beide Parteien macht.

Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
Covington:
In den letzten Jahren haben wir gesehen, dass IT-Organisationen Software und Datenspeicherung in der Cloud-Umgebung einsetzen. Dieses Modell der Service-Bereitstellung ermöglicht es Unternehmen, sehr widerstandsfähig gegenüber Ransomware-Angriffen zu sein, da es den primären Datenspeicher vom (potentiell) infizierten System entfernt. Durch die Platzierung kritischer Daten in der Cloud können Unternehmen bei Bedarf Backups erstellen und gleichzeitig mehr Schutz um die Daten herum aufbauen, die mit relativ geringem Aufwand auf dem neuesten Stand gehalten werden können. Systeme wie Laptops und sogar Mobiltelefone befinden sich häufig außerhalb der Kontrolle der IT-Abteilung und sind so Angriffen wie Lösegeld (Ransomware) stärker ausgesetzt.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH