Erpresser-Trojaner: Besser nicht bezahlen

Vor Ransomware schützen

Im Interview gibt Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab, Tipps, wie man sich am besten vor Ransomware-Angriffen schützen kann.

Christian Funk, Kaspersky Lab

Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab

Herr Funk, wie häufig laufen Ransomware-Angriffe inzwischen über mobile Endgeräte ab?
Christian Funk:
Der Trend ist steigend. Laut unseren Daten hat sich das Aufkommen mobiler Erpresser-Trojaner-Familien innerhalb des Jahres 2015 verdoppelt – inklusive 3,5 Mal mehr Modifikationen dieser Schädlinge. Zudem hat sich die Anzahl der angegriffenen Nutzer laut Security Network im Jahr 2015 verfünffacht.

Über welche Einfallstore oder Sicherheitslücken infizieren sich mobile Nutzer in der Regel mit Erpresser-Software? Welche Rolle spielt dabei das mobile Betriebssystem?
Funk:
Das Einfallstor Nummer ist unangefochten der Drittanbieter-Appstore. Viele Anwender suchen ihre Wunsch-App über eine Suchmaschine zu einem günstigeren Preis oder gar kostenlos. Die Ergebnisse führen häufig zu zweifelhaften Appstores, welche trojanisierte Versionen legitimer Apps zum Download anbieten. Auf Googles Playstore wurden ebenfalls immer wieder Schadprogramme gefunden, jedoch ist dort das Risiko weit geringer. Das mobile Betriebssystem spielt hier ebenfalls eine große Rolle. Über 99 Prozent aller Schadprogramme im mobilen Bereich zielen auf Android ab. Auch die Version ist entscheidend, da immer häufiger Exploits zur Erweiterung der Rechte auf dem Gerät eingesetzt werden. Neuere Versionen von Android sind daher als sicherer zu erachten.

Welche Zielgruppen oder Branchen sind prädestiniert für Ransomware-Attacken?
Funk: Da die Verbreitung von mobiler Schad-Software in erster Linie durch trojanisierte Apps geschieht, kann es jeden App-User treffen. Die Methode erinnert eher an eine Schrottflinte als ein Gewehr. Aus der Sicht der Cyber-Kriminellen gilt: je mehr desto besser. Im PC-Bereich ist die Situation ähnlich, jedoch gehen die Angreifer zunehmend gezielt auf Unternehmen. Dabei wird die Schadsoftware über Spearshishing mit unternehmensgerechten Inhalten in E-Mails verteilt.

Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
Funk:
Wir raten davon ab, das geforderte Lösegeld zu bezahlen. Es gibt viele Beispiele, bei denen Opfern trotz Zahlung nicht geholfen wird oder ein nicht funktionierender Freischaltcode bzw. ein nicht funktionierendes Tool herausgegeben wird. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden. Zudem sollten Opfer Locky auf ihrem Rechner entfernen.

Welche Höhe betragen die Lösegelder in der Regel?
Funk:
Bei Ransomware im mobilen Bereich bewegen sich die Lösegelder im Bereich zwischen 50 und 500 Euro.

Wie können sich Firmen vor Angriffen durch Erpresser-Software schützen?

Funk: Um sich vor einem Ransomware-Angriff zu schützen, empfehlen wir die folgenden Sicherheitsmaßnahmen:

  • Vorsicht bei E-Mail-Anhängen: Nutzer sollten keine Attachments innerhalb von E-Mails von unbekannten Personen öffnen. Zudem empfiehlt es sich, die Makro-Funktion in Dokumenten zu deaktivieren, weil sich Locky über eben diese auf einem Rechner einnistet.
  • Regelmäßig Backups erstellen, damit man im Ernstfall wieder auf die verschlüsselten Daten zurückgreifen kann.
  • Software aktualisieren: Betriebssystem, Browser und alle weiteren genutzten Programme sollten immer mit den aktuell verfügbaren Patches auf den neuesten Stand gebracht werden.
  • Aktuelle Sicherheits-Software einsetzen: Moderne IT-Sicherheitstechnologien schützen vor einer Infizierung. Mittels spezieller Technologien wie unserem Aktivitätsmonitor können bei einer unerlaubten Verschlüsselung die betroffenen Daten wiederhergestellt und ein System auf den ursprünglichen Zustand zurückgesetzt werden.
  • Nicht bezahlen: Wir raten davon ab, das geforderte Lösegeld zu bezahlen. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden.

Welches ist – Ihres Wissens nach – das bekannteste Beispiel einer
Ransomware-Attacke?
Funk:
Die wohl bekanntesten Beispiele der vergangenen Jahre dürften Teslacrypt und auch Locky sein – nicht zuletzt durch die Schlagzeilen, dass einige Firmen und öffentliche Einrichtungen davon betroffen waren. Einen besonderen Platz nimmt GpCode ein, der Urvater von verschlüsselnder Ransomware. Zuerst gesichtet 2005, plagte er über viele Jahre und in zigtausenden Varianten zahlreiche Internetnutzer.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok