Liebesgrüße aus dem Darknet

Schutz vor Ransomware und Cyber-Erpressung

Ransomware-Entwickler attackieren aus den Tiefen des Darknet mit Vorliebe Privatpersonen oder kleine und mittelständische Unternehmen. Diese Betriebe können sich in den seltensten Fällen wehren und bezahlen stattdessen das geforderte „Lösegeld“. Das beschert den Erpressern Einnahmen in Millionenhöhe und die Mittel, die besten Entwickler für sich zu rekrutieren.

"Wichtige Daten Ihres Computers wurden mit einem einzigartigen öffentlichen RSA-2048-Key verschlüsselt. Um diese zu entschlüsseln, benötigen Sie einen privaten Schlüssel. Dieser befindet sich auf einem geheimen Server im Internet. Sie haben 48 Stunden Zeit, den Betrag von 800 US-Dollar in Bitcoin (1,83 BTC) zu überweisen und Zugang zu diesem Schlüssel zu erhalten. Danach wird der Schlüssel automatisch gelöscht und niemand kann Ihre Daten wiederherstellen.“

So oder ähnlich lautet der Text in den Pop-Up-Fenstern, die sich öffnen, nachdem Ransomware einen Rechner befallen und die Daten darauf verschlüsselt hat. Bei Ransomware handelt es sich um eine Unterkategorie von Scareware, d.h. einem Schadprogramm, das Computerbenutzer verängstigt und so zu bestimmten Handlungen bewegen soll. Scareware macht die Daten der Opfer unzugänglich, meist indem sie diese verschlüsselt, mit dem Ziel ein Lösegeld für die Herausgabe des Schlüssels zu erpressen.

In der Vergangenheit war Ransomware oft relativ harmlos, weil mit verschiedenen Mechanismen nur suggeriert wurde, dass Daten nicht zugänglich sind. Zum Beispiel wurde die Master File Table (MFT) manipuliert, um den Zugang zu Dateien zu verwehren, obwohl diese eigentlich noch auf der Festplatte vorhanden waren. Mit den aktuellen Vertretern der Kategorie Ransomware wie Teslacrypt, Torrentlocker und Cryptowall hat das aber nichts gemein. Bei ihnen handelt es sich um komplexe Schadsoftware.

Stark verbesserte Tarnung


Laut Schätzungen der Cyber Threat Alliance konnten Hacker mit Cryptowall 3.0 allein im Jahr 2015 in Summe 325 Mio. US-Dollar einnehmen. Mit solcher Finanzkraft im Rücken ist es nicht verwunderlich, dass die von dem Sicherheitsanbieter Bitdefender entdeckte Version 4.0 von Cryptowall deutlich an Professionalität zugelegt hat. Hackergruppen organisieren sich mittlerweile wie Software-Firmen. Der Hauptangriffsvektor für Ransomware ist zumeist ein E-Mail-Attachement, in dem ein sogenannter „Downloader“ versteckt ist. Dieser baut eine Verbindung zu einer URL auf, die die Ransomware hostet. Nach dem Download wird die eigentliche Malware entpackt und installiert. Die Gefahr, von herkömmlichen Antivirus-Programmen entdeckt zu werden, ist sehr niedrig, da verschiedene Techniken angewendet werden, um die wahre Funktion der Software zu verschleiern.

Wie auf der Sicherheitskonferenz „Blackhat Europe“ im November 2015 in Amsterdam vorgestellt, bestand die bislang größte Gefahr für Hacker entdeckt zu werden in der Nachvollziehbarkeit der Finanztransaktion. Dem wird nun dadurch begegnet, dass auf dem Rechner des Opfers ein Tor-Browser installiert wird und die Überweisung in Bitcoins erfolgt. Der Key-Server wird im Darknet gehostet, dessen Inhalt nicht von Suchmaschinen indiziert wird.

Doch wie kann man sich effektiv vor Ransomware schützen? Laut dem Sicherheitsdienstleister IT-Cube Systems gibt es eine Reihe von Maßnahmen, die helfen ein engmaschiges Verteidigungsnetz zu knüpfen, um das Risiko, Opfer einer Ransomware zu werden, zu minimieren:

Betriebssystem aktuell halten
Je weniger Schwachstellen ein System hat, desto geringer ist die Gefahr, dass Ransomware zur Ausführung gebracht wird.

On-Access-Virenscanner
Auch wenn Virenscanner nicht jede Schadsoftware erkennen können, sind sie unerlässlich.

Regelmäßige Datensicherung
Ist man Opfer geworden, hilft nur die Wiederherstellung der Daten aus der Datensicherung. Hierbei ist es jedoch wichtig, die Sicherungen ausreichend lange vorzuhalten, denn bis zur Kenntnisnahme einer Infektion kann einige Zeit vergehen, so dass auch Backups verschlüsselte Daten enthalten können.

Absicherung des Netzwerks
Sandboxing-Lösungen wie Lastline können auch unbekannte Schadsoftware erkennen, indem Dateien in kontrollierten Umgebungen ausgeführt und auf verdächtige Verhaltensmuster überprüft werden. Mittlerweile ist diese Technologie durch Managed-Service-Angebote von IT-Dienstleistern auch für mittelständische Unternehmen verfügbar.

 Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok