Cyber-Erpressung durch Trojaner

Ransomware: Android im Fokus

Im Interview berichtet Raphael Labaca Castro, Security Researcher bei Eset, über den steigenden Trend bei Ransomware für Android und erläutert, warum man als Betroffener besser kein Lösegeld an die Cyber-Erpresser zahlen sollte.

Raphael Labaca Castro, Eset

Raphael Labaca Castro, Security Researcher bei Eset

Herr Castro, wie häufig laufen Ransomware-Angriffe inzwischen über mobile Endgeräte ab?
Raphael Labaca Castro:
In den letzten Jahren konnten wir einen steigenden Trend bei Ransomware für Android erkennen. Mit Simplocker entdeckten wir im Juni 2014 die erste Ransomware für Mobilgeräte, die Dateien und die Kommunikation verschlüsselt. Daneben verbreiten sich auch sogenannte PIN-Locker rasant, welche den kompletten Zugriff auf Smartphone & Co. sperren. Beiden Varianten ist gemein, dass sie vom Nutzer ein Lösegeld verlangen, um die Sperre aufzuheben – dabei ist nicht immer garantiert, dass man nach der Zahlung auch wirklich wieder Zugang zu seinen Daten erhält.

Über welche Einfallstore oder Sicherheitslücken infizieren sich mobile Nutzer in der Regel mit Erpresser-Software? Welche Rolle spielt dabei das mobile Betriebssystem?
Labaca Castro:
Android ist eindeutig das am häufigsten attackierte mobile Betriebssystem. Den wichtigsten Angriffsvektor für Ransomware stellen aktuell infizierte Apps dar. Meistens handelt es sich dabei um Trojaner, welche die Nutzer über Social Engineering, also gezielter Manipulation, dazu bringen, die Malware herunterzuladen und zu öffnen. Die Angreifer müssen also meistens nicht einmal Sicherheitslücken ausnutzen, um ihre Schadprogramme zu verbreiten.

Welche Zielgruppen oder Branchen sind prädestiniert für Ransomware-Attacken?
Labaca Castro:
In den meisten Fällen handelt es sich um keine zielgerichteten Attacken. Es geht nur darum Opfer zu finden, die das Lösegeld zahlen – unabhängig von Branchen oder Geschäftsinteressen. In der letzten Zeit häufen sich allerdings weltweit gezielte Angriffe auf Krankenhäuser und Banken.

Wie sollten Nutzer – Privatpersonen und auch Firmenverantwortliche – reagieren, wenn sie Opfer von Erpresser-Software werden?
Labaca Castro:
Gerade im Büro gilt: Wenn ich feststelle, dass ich Opfer einer Ransomware-Attacke geworden bin, ist eine schnelle Isolation des Geräts oberstes Gebot. Der erste Schritt ist also die Trennung vom Firmennetzwerk, um eine weitere Verbreitung zu vermeiden. Als nächstes sollte man eine Nachricht an die Belegschaft senden, um auszuschließen, dass der Angriff sich intern weiterverbreitet hat. Dann kann damit begonnen werden, der Ransomware auf den Grund zu gehen. Im Idealfall hat man jedoch vorher schon genügend Vorkehrungen getroffen, damit es gar nicht erst zu einem erfolgreichen Angriff kommt – sei es durch Schulung der Mitarbeiter oder einen aktuellen Virenschutz.

Welche Höhe betragen die Lösegelder in der Regel?
Labaca Castro:
Das hängt ganz von der Variante ab, von der man betroffen ist. Auch der Erfolg der Ransomware scheint hier eine Rolle zu spielen. Simplocker startete beispielsweise mit einem Lösegeld von 20 Euro und erhöhte den Betrag über die Zeit auf 500 Euro. Unternehmen müssen in der Regel mit höheren Summen rechnen. So wurde ein Krankenhaus in Kalifornien zu einer Zahlung von 9.000 Bitcoins (rund drei Millionen Euro) aufgefordert. Am Ende einigten sich beide Parteien auf eine Zahlung von 17.000 US-Dollar für die Wiederherstellung aller Daten.

Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
Labaca Castro:
Grundsätzlich gibt es hier drei Szenarien für Betroffene, die alle ihre eigenen Risiken und Konsequenzen haben: Entweder man zahlt und bekommt seine Daten wieder, man zahlt und bekommt sie nicht wieder, oder man verweigert die Zahlung. Wir als Security-Experten raten generell dazu, Zahlungen weitestgehend zu vermeiden. Man kann nie sicher sein, dass die Erpresser Wort halten und man darf nicht vergessen, dass man es mit Cyberkriminellen zu tun hat. Nicht nur, dass man diese kriminellen Machenschaften finanziert, im schlimmsten Fall wird man als zahlendes Opfer gleich mehrfach angegriffen.

Inwieweit sollten Strafverfolgungsbehörden eingeschaltet werden?
Labaca Castro:
Man sollte sich als Betroffener immer an die Polizei wenden und den Fall melden. Außerdem ist es wichtig, sich auch mit seinem Security-Anbieter in Verbindung zu setzen, denn manchmal stehen Dekryptoren oder andere Alternativen für bestimmte Ransomware-Varianten zur Verfügung. Manchmal hat man Glück und erhält so all seine Daten wieder. Leider ist die Erstellung von solchen Tools nicht immer möglich und sollte daher nicht das einzige Sicherheitsnetz sein, das man nutzt.

Wie können sich Firmen vor Angriffen durch Erpresser-Software schützen?
Labaca Castro:
Am wichtigsten ist eine proaktive, aktuelle Sicherheitslösung die verhindert, dass Ransomware Endgeräte infizieren kann. Als zweite wichtige Schutzmaßnahme sollten Nutzer regelmäßig ein Backup durchführen, um im Falle eines Falles ihre Daten schnell wiederherstellen zu können.

Wie aufwendig ist die Installation solcher Schutzmaßnahmen? Mit welchen Kosten ist dies verbunden?
Labaca Castro:
Die Installation einer passenden Schutzsoftware ist insbesondere für Privatpersonen sehr unkompliziert und schnell erledigt. Wichtig ist nur, die Software immer auf dem neuesten Stand zu halten und die Updates des Anbieters regelmäßig einzuspielen. Die Kosten für eine gute Security-Lösung sind gering, unsere Multi Device Security gibt es beispielsweise für rund 45 Euro mit einjähriger Lizenz für fünf Geräte. Unternehmen benötigen oft weitaus individuellere Lösungen, ein Virenschutz alleine reicht da nicht immer aus. Insbesondere eine Schulung der Mitarbeiter ist hier ein wesentliches Element, um die Chancen für Angreifer zu minimieren.

Welches ist – Ihres Wissens nach – das bekannteste Beispiel einer Ransomware-Attacke?
Labaca Castro:
Es gibt einige wichtige Beispiele für Ransomware, darunter Tesla Crypt, CTB Locker oder Torrent Locker. Die wohl bekannteste Ransomware ist allerdings Crypto Locker und seine vielen Varianten und Nachahmer.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok