Verschlüsselungstrojaner auf dem Smartphone

Ransomware: Digitale Geiselnahme

Heimtückisch schleusen Angreifer sogenannte Ransomware auf Mobilgeräte, die entweder den kompletten Zugriff auf das Gerät sperrt oder wichtige Daten verschlüsselt. Zugang erhalten die Betroffenen erst nach Zahlung eines Lösegeldes – oder auch nicht.

Bedrohung mit Waffe

Bereits 2011 tauchten erste weitverbreitete Ransomware-Schädlinge auf, die gemeinhin auch als Erpressungs- oder Verschlüsselungstrojaner bezeichnet werden. So richtig Fahrt nahm das Geschäft mit dem Schadprogramm allerdings erst im vergangenen Jahr auf. Als einer der bekanntesten Schädlinge gilt der seit Februar 2016 sein Unwesen treibende Krypto­trojaner „Locky“, der zehntausende PCs u.a. beim Fraunhofer-Institut in Bayreuth infizierte.

Wer nun denkt, mobile Nutzer sind vor solchen Angriffe gefeit, da sich diese vorrangig auf Desktop-PCs abspielen, liegt weit daneben. „Bereits im Juni 2014 entdeckten wir mit Simplocker die erste Ransomware für Mobilgeräte, die Dateien und die Kommunikation verschlüsselt“, berichtet Raphael Labaca Castro, Analyst bei Eset. Doch damit nicht genug verbreiten sich seitdem auch sogenannte PIN-Locker rasant, die den kompletten Zugriff auf Smartphone & Co. sperren.

Die Zunahme mobiler Ransomware-Angriffe bestätigt auch Christian Funk, Leiter des hiesigen Forschungs- und Analyseteams bei Kaspersky Lab. „Gemäß unserer Erhebungen hat sich das Aufkommen mobiler Erpresser-Trojaner-Familien innerhalb des Jahres 2015 sogar verdoppelt“, so Funk. Dabei spielt das mobile Betriebssystem eine nicht unbedeutende Rolle. So zielen generell 99 Prozent aller Schadprogramme im mobilen Bereich auf Android ab. Eine ähnliche Entwicklung zeichnet sich für Ransomware ab. „Für die letzten Jahre bemerkten wir insbesondere bei Verschlüsselungstrojanern für Android einen steigenden Trend”, bestätigt Labaca Castro.

Warum Android-User prädestinierte Ziele sind, erklärt Thorsten Henning vom Sicherheitsanbieter Palo Alto Networks: Android trage die Hauptlast der Malware-Angriffe und -Bedrohungen für mobile Geräte aufgrund des hohen Marktanteils, der offenen Struktur und der Tatsache, dass Apple mit seinem überschaubaren Ökosystem weit weniger fragmentiert sei als Android. Denn Apple besitze die Hardware, das Betriebssystem und den App Store, was eine bessere Kontrolle ermögliche. Nichtsdestotrotz gab es jüngst mit der Malware „Ace Deceiver“ auch erste Angriffe auf OS X und iOS. „Dies zeigt, dass auch das Sicherheitssystem von Apple zunehmend ins Visier von Cyber-Kriminellen gerät“, betont Henning.

Dies ist ein Artikel aus unserer neuen Print-Ausgabe. Bestellen Sie ein kostenfreies Probe-Abo frei Haus.

Egal ob Android oder iOS – bei ihren Angriffen gehen die Erpresser sehr perfide vor. Dabei gibt es verschiedene Wege, sich mit Ransomware zu infizieren. Beliebte Einfallstore stellen in erster Linie Appstores von Drittanbietern dar, über die sich die User verseuchte Apps herunterladen. Das Vorgehen gestaltet sich oft wie folgt: Viele Endnutzer suchen ihre Wunsch-App über eine Suchmaschine zu einem günstigeren Preis oder gar kostenlos. Die Ergebnisse führen häufig zu zweifelhaften Appstores, die laut Christian Funk trojanisierte Versionen legitimer Apps zum Download anbieten.

Zahlungswillige Opfer

Doch die Nutzer riskieren eine Infektion mit Ransomware nicht allein durch das Herunterladen mobiler Applikationen aus unbekannten Quellen. „Vielmehr kann sich die Malware auch über verdächtige E-Mail-Anhänge auf Mobilgeräten verbreiten“, ergänzt Alexandra Gheorghe, Analystin bei dem Sicherheitsanbieter Bitdefender.

Generell kann Ransomware-Malware jeden treffen, da sowohl Endnutzer als auch Mitarbeiter von Unternehmen angegriffen werden. Zwar haben in letzter Zeit vor allem gezielte Angriffe auf Banken und Krankenhäuser von sich reden gemacht, doch laut Labaca Castro geht es nicht um spezielle Branchen oder Geschäftsinteressen, sondern allein darum, Opfer zu finden, die das Lösegeld zahlen. Dabei ist die Höhe des Lösegeldes zum einen abhängig von der jeweiligen Ransomware-Variante. Zum anderen kommt es darauf an, ob Privatpersonen oder Unternehmen werden.

Besser Anzeige erstatten

Werden Mitarbeiter die Opfer einer Ransomware-Attacke, ist die schnelle Isolation des betroffenen Gerätes oberstes Gebot. Erster wichtiger Schritt ist daher die sofortige Trennung vom Firmennetzwerk, um eine weitere Verbreitung zu vermeiden. „Als nächstes hilft es, die Belegschaft per kurzer Nachricht zu informieren, um auszuschließen, dass der Angriff sich intern weiterverbreitet hat“, rät Raphael Labaca Castro. Erst anschließend sollte damit begonnen werden, der Ransomware auf den Grund zu gehen.

Im Zuge der Nachforschungen ist es sinnvoll, sich als Betroffener bei den Strafverfolgungsbehörden zu melden bzw. bei der Polizei offiziell Anzeige zu erstatten. „Daneben ist es wichtig, sich mit seinem Sicherheitsanbieter in Verbindung zu setzen. Denn manchmal stehen Dekryptoren oder andere Alternativen für bestimmte Ransomware-Varianten zur Verfügung. Manchmal hat man Glück und erhält auf diese Weise alle Daten wieder“, berichtet Labaca Castro.

Die meisten Sicherheitsexperten raten davon ab, das geforderte Lösegeld zu bezahlen. Zwar könnten die Angreifer nach der Bezahlung des Lösegeldes den Zugang zu den verschlüsselten Daten wiederherstellen. „Doch selbst wenn dies erfolgt, behalten sie möglicherwiese eine Kopie der Daten, um sie anderweitig zu verwenden oder nach einer gewissen Zeitspanne erneute Erpressungsversuche zu starten“, so Alexandra Gheorghe.

Thorsten Henning von Palo Alto Networks rät ebenfalls davon ab, monetären Forderungen vorschnell nachzugeben. „Viele Ransomware-Angriffe ermutigen die Betroffenen dazu, schnell zu reagieren und drohen mit steigenden Kosten, je länger man wartet“, so Henning. Zwar mag die zügige Bezahlung insbesondere Mitarbeitern als eine gute Möglichkeit erscheinen, ihre Fehler zu verdecken. Allerdings ist es für die Unternehmen wichtig zu verstehen, wie die Täter vorgehen, um sicherzustellen, dass sich dies nicht wiederholt. Zudem sollten die Verantwortlichen wissen, welche Daten verschlüsselt wurden, da es noch Kopien oder Backups geben könnte, um den Geschäftsbetrieb ungehindert fortzusetzen.

Feste Preise für das Auslösen privater oder Firmendaten gibt es nicht. Vielmehr startet die Höhe des Lösegelds bei ein paar hundert Euro und kann in einigen Fällen bis in die Tausende von Euro gehen. „Andere Ransomware-Angriffe wiederum richten die Höhe des Lösegelds nach dem Wert der Daten aus. Ihr Ziel ist es, dass das Lösegeld niedriger ist und dass es einfacher ist zu bezahlen als die Wiederherstellung durchzuführen“, betont Thorsten Henning. In der Regel fordern die Angreifer eine Zahlung des Lösegelds in Bitcoins, wobei ein Bitcoin derzeit knapp 400 Euro entspricht. 

Bildquelle: Thinkstock/ Photodisc

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok