Ransomware kann jeden treffen

Mobile Malware auf dem Vormarsch

Im Interview erklärt Thorsten Henning von Palo Alto Networks, welche Mobile Malware auf dem Vormarsch ist und warum Ransomware wirklich jeden treffen kann.

Thorsten Henning, Palo Alto Networks

Thorsten Henning von Palo Alto Networks

Herr Henning, wie oft finden Ransomware-Angriffe auf Nutzer von mobilen Geräten statt?
Thorsten Henning:
Mobile Malware ist seit Jahresbeginn noch immer auf dem Vormarsch und zeigt keine Anzeichen einer Abschwächung. Das Volumen ist hoch und die Komplexität nimmt zu. Es werden neue Funktionen hinzugefügt und neue Angriffsvektoren treten in Erscheinung. Dies macht es schwierig, die tatsächlichen Auswirkungen solcher Malware zu erkennen. Zum Beispiel werden viele Benutzer mit Drive-by-Downloads von Apps, die Ransomware sind, konfrontiert. Die App wird aber nur automatisch heruntergeladen, wenn eine bestimmte Website besucht wird. Sie wird nicht automatisch heruntergeladen ohne einen Exploit. Stattdessen wird die Malware versuchen, den Benutzer dazu zu bringen, die App zu installieren, indem sie vorgibt, ein wichtiges Sicherheitsupdate zu sein. Diese Tricks sind erforderlich, weil App-Stores die Standardquelle von Apps sind – und diese verhindern meistens das Hosting von Malware-Apps. Das Volumen an Downloads ist in diesen Fällen daher viel höher als die Anzahl der realen Infektionen.

Mobile Ransomware ist ein viel kleineres Problem im Vergleich zur PC-Plattform und dies zeigt sich durch die geringere Anzahl von Infektionen und entsprechenden Berichten in den Medien. Da jedoch mehr Exploits entdeckt werden und Social-Engineering-Techniken höhere Erfolgsraten verzeichnen, wird es wahrscheinlich mehr Infektionen geben. Die Angreifer arbeiten sicherlich schwer daran, dies zu erreichen, weil sie wissen, wie wichtig die Geräte für unseren Alltag sind und dass der Drang, das Lösegeld zu zahlen, umso stärker ist.

Über welche Sicherheitslücken oder Schwachstellen können sich mobile Anwender mit Ransomware-Software infizieren? Welche Rolle spielt dabei das Handy-Betriebssystem? Gibt es sicherere und weniger sichere Betriebssysteme?
Henning:
Das Volumen der Angriffe ist bei Android generell größer. Angesichts des Wachstums der neuen mobilen Zahlungssysteme ist zu erwarten, dass Kriminelle dem Lauf des Geldes folgen werden. Die Hacker sind zunehmend auf der Suche nach Schwachstellen im mobilen Ökosystem, die für verschiedene Zwecke ausgenutzt werden könnten. Ace Deceiver zeigt, dass auch das Sicherheitssystem von Apple zunehmend ins Visier gerät. Android trägt dennoch die Hauptlast der Malware-Angriffe und -Bedrohungen für mobile Geräte wegen seines Marktanteils, seiner offeneren Struktur und der Tatsache, dass Apple ein überschaubareres Ökosystem hat, weit weniger fragmentiert als Android. Apple besitzt die Hardware, das Betriebssystem und den App Store, was eine bessere Kontrolle ermöglicht. Die jüngsten Angriffe auf OS X und iOS geben dennoch Anlass zur Sorge.

Malware-Infektionen sind oft die Folge von Social-Engineering-Techniken, die zur Installation von Apps führen. Oft muss der Benutzer mit mobilen Apps interagieren, damit der Angriff erfolgreich durchgeführt werden kann. Der Benutzer kann auch viele Sicherheitsmaßnahmen umgehen, die eigentlich Malware-Übergriffe verhindern sollen. Typische Ransomware für die Android-Plattform simuliert Anti-Malware, Sicherheits-Apps oder wichtige Updates für beliebte Anwendungen wie Adobe, Adobe Flash etc. Angriffe wie Backstab sind wiederum ein gutes Beispiel, dass die Angreifer es auch auf Daten abgesehen haben, die für andere Zwecke verwendet werden könnten. Daher sollte man das erweiterte mobile Ökosystem betrachten, nicht nur das Betriebssystem. Die Angreifer können ihren Aktionsradius ausdehnen, etwa auf Zahlungsbetrug oder Diebstahl von Informationen. Wie wir aus Erfahrung wissen, wird eine Technik, sobald sie sich bewährt hat, immer wieder verwendet werden.

Welche Zielgruppen, Branchen oder Sektoren sind für Ransomware-Attacken prädestiniert?
Henning:
Ransomware ist in der Regel dort erfolgreich, wo Unternehmen geschäftskritische Informationen vorhalten und wo es Lücken in der Cyber-Sicherheitsstrategie gibt. Dies könnte die mangelnde Fähigkeit sein, solche Angriffe zu erkennen und zu blockieren, oder fehlende geeignete Wiederherstellungssysteme, die es ermöglichen, Daten aus anderen Quellen wiederherzustellen, sollte eine Ransomware-Angriff erfolgreich sein.

Ransomware-Malware kann jeden treffen, Privatnutzer ebenso wie Unternehmen. Bei Angriffen auf Nutzer wird ein höheres Volumen erzielt und sie sind leichter durchzuführen. Dies liegt an der geringeren Sicherheit und fehlenden Schulung der Anwender, aber die Angreifer erwirtschaften weniger Geld pro Infektion als bei Angriffen auf Unternehmen; Advanced Persistent Threats (APT) hingegen, haben fast immer das Ziel, ein bestimmtes Unternehmen zu einem bestimmten Zeitpunkt zu infizieren.

Wie sollten die Nutzer – Einzelpersonen und Führungskräfte in Unternehmen – reagieren, wenn sie Opfer geworden sind?
Henning:
Als Nutzer im Unternehmen ist es am wichtigsten, den Arbeitgeber zu informieren, sodass man gemeinsam die richtige Entscheidung treffen kann. Anwenderunternehmen sollten mit den lokalen Strafverfolgungsbehörden und ihrem Sicherheitsanbieter kooperieren. Viele Ransomware-Angriffe werden die Betroffenen dazu ermutigen, schnell zu reagieren und mit steigenden Kosten drohen, je länger man wartet. Die schnelle Bezahlung mag für einen Benutzer wie eine Möglichkeit erscheinen, seine Fehler zu verdecken, aber für die Unternehmen ist es wichtig zu verstehen, wie die Täter vorgehen, um sicherzustellen, dass sich dies nicht wiederholt. Entscheidend für jedes Unternehmen ist es, zu erkennen, welche Daten verschlüsselt wurden, da es noch Kopien oder Backups geben könnte, um den Geschäftsbetrieb ungehindert fortzusetzen.

Wie hoch sind die Lösegelder in der Regel?
Henning:
Die meisten Ransomware-Akteure suchen sich ihre Opfer nach dem Zufallsprinzip aus. Die Höhe des Lösegelds startet bei ein paar hundert Euro, wobei viele drohen, die Kosten zu erhöhen, wenn die Opfer Tage oder Wochen warten. In einigen Fällen kann dies bis in die Tausende von Euro gehen. Andere Ransomware-Angriffe wiederum richten die Höhe des Lösegelds nach dem Wert der Daten aus. Ihr Ziel ist es, dass das Lösegeld niedriger ist und dass es einfacher ist zu bezahlen als die Wiederherstellung durchzuführen oder in Auftrag zu geben. Manchmal fordern die Angreifern eine Zahlung des Lösegelds in Bitcoins (1 Bitcoin entspricht knapp 400 Euro).

Was passiert, wenn das verlangte Lösegeld bezahlt wird? Was, wenn nicht?
Henning:
Der wichtigste Aspekt ist, dass, sobald die Zahlung erfolgt, nicht garantiert ist, dass das Problem gelöst ist. Vielleicht muss man erneut zahlen. Deswegen ist es sehr wichtig, mit dem eigenen Cyber-Security-Team, dem Sicherheits-Software-Anbieter und der Strafverfolgung zusammenzuarbeiten, um von den Angriffen zu lernen. Je mehr man zusammenarbeitet, desto besser kann man als Masse gegen eine kleine Minderheit von Kriminellen vorgehen.

Oft setzen die Angreifer ihre Aktionen fort, mit kleinen Optimierungen. Cryptowall etwa, ist ein bekannter Ransomware-Angriff, der auf PC-Anwender ausgerichtet ist. Die Akteure nutzen immer wieder die gleiche Kernarchitektur, sowohl um mit den Opfern zu kommunizieren als auch um die Lösegeldzahlung abzuwickeln. Da die Sicherheitsindustrie in diesem Fall zusammengearbeitet hat, waren wir in der Lage, nicht nur die aktuelle Kampagne, sondern auch Varianten abzuwehren und so einen viel größeren Einfluss auf die Erfolgsaussichten der Ransomware-Akteure auszuüben. Einige Opfer, die nicht bereit sind zu zahlen, versuchen ihre Daten aus dem Backup wiederherzustellen, doch kürzlich wurde einer neue Variante für OS X entdeckt, die versucht, auch das Backup zu kompromittieren.

Inwieweit sollten die Strafverfolgungsbehörden eingeschaltet werden, wenn ein Angriff erfolgt ist?
Henning:
Vor einigen Jahren machte Kreditkartenbetrug einen erheblichen Anteil der Cyber-Angriffe aus, aber nachdem der Wert der gestohlenen Karten abgenommen hat, ist Ransomware an diese Stelle getreten. In der Regel ist damit eine höhere Rendite pro Verbrechen zu erzielen. Wenn wir nicht mit den Strafverfolgungsbehörden zusammenarbeiten, werden solche Kriminelle weiterhin ihre Angriffe starten. Wir arbeiten daran, sie zu identifizieren, aber die Strafverfolgungsbehörden benötigen Hinweise, damit die Verbrecher auch verfolgt werden können. Dies bedeutet, Opfer müssen zugeben, dass sie angegriffen wurden.

Wie können sich Unternehmen vor Ransomware schützen?
Henning:
Drei grundlegende Schritte: Erstens: Schulungen der Benutzer bezüglich der Risiken und ihrer Verantwortung. Eine aktuelle Studie der britischen „Security Blockers“ zeigt auf, dass einer von acht Mitarbeitern seinen Arbeitgeber nicht informiert, wenn er eigene Geräte anschließt. Dies aber schafft unnötige Risiken für alle.

Zweitens: Anwendung der richtigen Sicherheitskontrollen, um Informationen, Systeme und Benutzer zu schützen. Dies bedeutet vor allem im mobilen Bereich, zu segmentieren, welche Informationen zwischen Anwendungen oder Prozessen über ein Gerät laufen dürfen. Alle sensiblen Geschäftsdaten sollten nur zwischen zugelassenen Benutzern durch vertrauenswürdige Anwendungen über gesicherte Verbindungen genutzt werden, basierend auf dem Zero-Trust-Modell. Drittens: Man sollte sicherstellen, dass sensible Geschäftsdaten eindeutig identifiziert und auch regelmäßig gesichert werden.

Wie aufwendig ist die Installation solcher Schutzmaßnahmen? Wie hoch sind die Kosten für einen guten Schutz?
Henning:
Die Installation solcher Sicherheitsmaßnahmen kann mit geringem Aufwand durchgeführt werden, z.B. kann man cloud-basierte Gateway-Dienste abonnieren, die eine Durchsetzung von Zero-Trust-Modellen ermöglichen. Für mobile Geräte sorgen Sicherheits- oder Backup-Dienste für ein sicheres Datenmanagement, ohne den Benutzer oder sein Gerät im Arbeitsalltag zu beeinträchtigen. Wenn es darum geht, firmeneigene mobile Geräte zu schützen, gibt es die Möglichkeit, bestimmte Anwendungen zu sperren, um zu gewährleisten, dass sie nicht installiert werden, wodurch das Risiko einer Installation und Ausführung von Ransomware reduziert wird. Auch das Isolieren der Daten auf dem Gerät, um zu verhindern, das fremde/schädliche Apps Inhalte ändern, reduziert das Risiko, dass ein Gerät kompromittiert wird.

Welches ist das bekannteste Beispiel für eine Ransomware-Angriff?
Henning:
Verschiedene Angriffe stechen aus unterschiedlichen Gründen hervor, einige wegen ihrer Kreativität, andere wegen der Kombination von vorhandenen Techniken. Allerdings würde ich hier Cryptowall nennen. Wenn die Verantwortlichen ins Detail gehen, finden sie hier einen komplexen Prozess vor, der mit dem einzigen Ziel zusammengefügt wurde, um mit dem Verschlüsseln von Daten Geld zu machen.

Ransomware auf mobilen Geräten steckt noch in den Kinderschuhen im Vergleich zur PC-Plattform. Das wahrscheinlich am besten bekannte Beispiel ist Simplocker. Die Ransomware wurde im Jahr 2014 entdeckt, als erste, die Dateien auf Android-Geräten verschlüsselt. Zuvor sperrte Ransomware nur die Bildschirme oder machte es schwierig, mit dem Gerät zu interagieren, um die Malware zu deaktivieren. Mit Simplocker wurde die große Sicherheitslücke dieser Plattform deutlich: Allen Apps war es erlaubt, auf den SD-Kartenspeicher und damit auf Daten anderer Anwendungen zuzugreifen, die dort gespeichert waren, einschließlich Fotos, Dokumente und vieles mehr.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok