Lexikon: Ransomware

Geld oder Daten: Wie funktioniert Online-Erpressung?

Online-Erpressung hat sich zur bevorzugten Verdienstmethode von Cyber-Kriminellen entwickelt. Seit Jahren schon nimmt die Verbreitung von Ransomware – auch Erpressungs-, Verschlüsselungs- oder Crypto-Trojaner genannt – immer weiter zu. 2015 machte sie fast die Hälfte aller Angriffe mit Schadsoftware aus, doch was steckt dahinter?

Wie funktioniert Ransomware?

Immer häufiger greifen Cyber-Kriminelle mit Ransomware – z.B. Erpressungs-, Verschlüsselungs- oder Crypto-Trojaner an. Doch wie funktioniert diese Methode genau?

Bei Ransomware handelt es sich um Schadsoftware, mit deren Hilfe ein Erpresser den Zugriff auf die Dateien eines Opfersystems sperren kann. Der Betroffene kann erst dann wieder auf die Daten zugreifen, wenn er das geforderte Lösegeld (englisch „ransom“) gezahlt hat. Für Privatpersonen sind die Angriffe sehr unangenehm, für Unternehmen können sie katastrophale Auswirkungen haben. Wer jedoch bestimmte Regeln beachtet und entsprechende Sicherheitslösungen einsetzt, kann sich wehren.

Rückblick: Die erste Ransomware

Digitale Erpressersoftware ist nichts Neues. Den Anfang machten Fake-Antiviren-Schädlinge, Mitte der 2000er-Jahre fanden immer mehr Cyber-Kriminelle Gefallen an Erpresser-Software. Traurige Berühmtheit erlangte beispielsweise Polizei-Ransomware, die Anwender mit Nachrichten über angeblich begangene Vergehen erpresste; hierzulande bekannt als Bundes- oder BKA-Trojaner. Inzwischen hat sich eine noch raffiniertere Art durchgesetzt: Crypto-Ransomware verschlüsselt die gekaperten Dateien in den Systemen oder Netzwerklaufwerken.

Sonderfall Crypto-Ransomware

Damit können Erpresser, die ja schon immer auf den „Faktor Angst“ gesetzt haben, ganze Organisationen als Geiseln nehmen. Schließlich geht es um ihr entscheidendes Gut: Informationen. Dementsprechend stieg der Anteil an Erpresser-Software insgesamt 2015 auf 80 Prozent, 2013 waren es noch deren 20.

In Untergrundmärkten gibt es heutzutage sogar entsprechende Dienstleistungen, bei denen sich Interessierte mit den benötigten Angriffsmitteln versorgen können und dafür einen bestimmten Anteil (ca. zehn bis 20 Prozent) vom Lösegeld weitergeben. Die Höhe des Lösegelds wird dabei der Größe des Unternehmens und dem Wert seiner Daten angepasst.

Angriffe auf Krankenhäuser

Im Februar 2016 gab es mehrere Meldungen über Vorfälle in Krankenhäusern: Das Hollywood Hospital wurde nach einem zielgerichteten Angriff über eine Woche lahmgelegt und zahlte 40 Bitcoins (etwa 16.000 Euro) Lösegeld, während der Fall des Neusser Lukaskrankenhauses bundesweit für Schlagzeilen sorgte. Obwohl hier zahlreiche Systeme heruntergefahren werden mussten, hielt sich der Schaden auch dank eines zeitnahen Backups in Grenzen. Etwa zur selben Zeit machte Locky von sich reden. Das perfide an dem Crypto-Trojaner ist, dass er offenbar nicht sofort nach einer Infektion verschlüsselt, sondern ein bestimmtes Datum abgewartet hat.

Infektionswege

Die Verbreitungswege von Ransomware sind vielfältig. Im einfachsten Fall klickt ein Anwender eine (wie auch immer geartete) Datei an, lädt sie herunter und führt sie aus. Sehr häufig ist das eine E-Mail mit einem infizierten Anhang, die den Schädling mitbringt: Office-Dokumente, PDF-Dateien oder auch Javascripts. Wer sich nur darauf konzentriert, ist jedoch auch nicht sicher: Man kann sie sich sogar beim Besuch seriöser Webseiten einfangen, als Drive-by-Infektion. Und auch auf direktem Weg gelangt Schadcode ins Netzwerk, z.B. über Mobilgeräte externer Mitarbeiter.

Ablauf eines Befalls

Ein Ransomware-Befall läuft typischerweise in mehreren Schritten ab:

  • Anwender erhalten eine Spam-Mail mit verseuchtem Anhang.
  • Beim Öffnen des Dokuments wird der Schädling heruntergeladen und ausgeführt.
  • Die Drohung, der Zugriff auf den Computer (oder Teile davon) werde dauerhaft gesperrt, wenn nicht ein „Ordnungsgeld“ gezahlt wird, wirkt oft so täuschend echt, dass schon Viele auf den Trick hereingefallen sind.
  • Bei Crypto-Trojanern wird zusätzlich eine Textdatei erzeugt – mit Lösegeldforderung, Zahlungsart (meist Bitcoins) und der Behauptung, die Dokumente nach Zahlung wieder entschlüsseln zu können. Einige Schädlinge enthielten auch einen Selbstzerstörungsbefehl.

Gegenmaßnahmen

Opfer der Erpresser-Software sollten sich nicht darauf verlassen, den Schlüssel zu erhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, kein Lösegeld zu zahlen, sondern Screenshots der Erpressernachricht zu machen und Anzeige zu erstatten. Auch wenn Angreifer in der Regel sicherstellen, dass Standard-Virenscanner die Malware nicht erkennen, kann man sich effizient wehren. Hierzu ist ein mehrschichtiger Sicherheitsansatz nötig, der verschiedene Komponenten umfasst: von Cloud-Reputationsdiensten über Verhaltensanalyse und Sandboxing bis hin zu virtuellem Patchen. Nur die Kombination integrierter Mechanismen sorgt für ein hohes Sicherheitsniveau.

Wie schützt man sich vor Ransomware?

  • In erster Linie sind regelmäßige Backups wichtiger Daten dringend zu empfehlen (im 3-2-1-Prinzip: drei Kopien, zwei unterschiedliche Medien, ein separater Speicherort).
  • Mail-Empfänger sollten stets prüfen, wer der Absender ist.
  • Auch der Nachrichteninhalt lässt sich auf offensichtliche Fehler oder Ungereimtheiten prüfen.
  • Links in Mails sollten prinzipiell nicht angeklickt werden. Sicherer ist es, die angegebenen Websites direkt aufzusuchen. Falls es nicht anders geht als den Link direkt anzuklicken, sollte sichergestellt sein, dass der Browser Web-Reputation nutzt, die den Link prüft.
  • Jedes Unternehmen braucht geschultes Personal, das bei einem Vorfall adäquat reagieren kann (Incident Response Team). Dazu gehört der entsprechende Prozess, um die richtigen Schritte einleiten zu können.
  • Sicherheitsanalysen und -audits der Systeme haben sich als probates Mittel erwiesen. Unerlässlich sind Konzeption, Durchführung und Review von Security-Awareness-Maßnahmen.
  • Schließlich gilt es, existierende Backup-Prozesse zu überarbeiten sowie entsprechende Prozesse aufzusetzen, um kritische Situationen überstehen zu können.

* Der Autor Udo Schneider ist Security Evangelist beim japanischen IT-Sicherheitsanbieter Trend Micro.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok