Thought Leadership
Laut einer Erhebung von McAfee hatten Unternehmen bereits im ersten Quartal 2015 mit einem rasanten Anstieg von 165 % bei Ransomware zu kämpfen. Einer Malware, der zudem der Ruf vorauseilt, dass sie ausgesprochen schwierig aufzudecken sei.
Insbesondere zwei Eigenschaften haben dafür gesorgt Ransomware als besonders ausgefeilten und schwer zu verhindernden Angriffstypus zu bewerten. Sie ist äußerst stabil beschaffen und das Daten-Kidnapping kann enorme Schäden verursachen. Entweder sind die Dateien unwiederbringlich verloren oder vertrauliche wie kompromittierende Inhalte werden veröffentlicht. Beides nicht gerade wünschenswert.
Ransomware, eine unaufhaltsame Erfolgsgeschichte?
Aber es gibt auch andere Sichtweisen auf die Erfolgsgeschichte der Ransomware. Die Northeastern University veröffentlichte beispielsweise einen Forschungsbericht unter dem Titel: Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, der eine andere als die sonst übliche Haltung zum Thema Ransomware einnimmt. Zwischen 2006 und 2014 analysierten die Forscher insgesamt 1.359 Ransomware-Fälle und kamen zu dem interessanten Schluss, dass „eine genaue Beobachtung der Aktivitäten innerhalb der Filesysteme, und dies trifft auf eine Reihe von Ransomware-Fällen zu, es nahelegt, den Master File Table (MFT) im NTFS-Filesystem besonders zu schützen. Eine genaue Beobachtung hätte es in vielen Fällen ermöglicht den Angriff nicht nur zu erkennen, sondern auch etliche dieser Zero-Day-Attacken zu verhindern.“
Um das tun zu können, braucht man allerdings ein umfassendes Verständnis davon wie solche Angriffe funktionieren, welche Rolle die digitale Währung Bitcoin dabei spielt und welche unterschiedlichen Typen, Varianten und Methoden es bei Ransomware gibt.
Was Bitcoin mit Ransomware zu tun hat
Bitcoin ist eine der digitalen Währungen, die es erlaubt Waren und Dienstleistungen anonym zu bezahlen. Entweder über die entsprechende App auf dem Mobiltelefon oder über einen Computer. Nicht komplizierter als würde man mit Kreditkarte zahlen. Die Bitcoins werden in einer digitalen Geldbörse gespeichert, entweder in der Cloud oder auf dem Computer des betreffenden Nutzers. Im Prinzip funktioniert das wie ein normales Online-Konto. Allerdings mit einigen Unterschieden. So ist die Währung beispielsweise nicht über die FDIC (Federal Deposit Insurance Corporation) abgesichert und sie ist nicht an eine bestimmte Nation gekoppelt. Bitcoins unterliegen also keiner der damit verbundenen Richtlinien und Regulierungen. Und es existieren keine Kreditkartengebühren.
Jede Bitcoin-Transaktion befindet sich auf einem Public Log. Die Namen von Käufern und Verkäufern bleiben anonym, es wird lediglich die ID der jeweiligen digitalen Geldbörse angezeigt. Dieses Prinzip gestattet beiden Seiten Geschäfte zu tätigen, die sich nicht einer bestimmten Person zuordnen lassen. Keine große Überraschung, dass Cyberkriminelle Bitcoin schnell als ideale Zahlungsmethode für sich entdeckt haben.
Um eine Identifikation zu verhindern, verwenden Cyberkriminelle ihre Bitcoin-Adresse in der Regel nicht mehr als höchstens sechsmal. Die Opfer werden zumeist aufgefordert, ihre Bitcoin-Lösegeldzahlungen über einen anonymen Browser wie Tor2web oder das Torproject zu leisten. Die entsprechende URL wird auf einem anonymen Server gehostet. Tor (The Onion Router) macht es vergleichsweise schwierig, den Standort eines bestimmten Servers oder die Identität des jeweiligen Betreibers festzustellen.
Zahlen oder nicht zahlen?
Im Oktober des letzten Jahres hatte Joseph Bonavolonta, Assistant Special Agent und verantwortlich für das „CYBER and Counterintelligence Program des FBI“, auf dem Cybersecurity Summit empfohlen: “Ransomware ist so gut, dass wir, wenn ich ehrlich bin, den Betroffenen empfehlen, das Lösegeld zu zahlen. Der Erfolg von Ransomware kommt sozusagen indirekt sogar den Opfern zu gute: Weil nämlich so viele der Betroffenen zahlen, dass die Malware-Entwickler nicht darauf angewiesen sind, ihren Profit mit einem einzigen Opfer zu „erwirtschaften“. In vielen Fällen bleibt die Summe des zu zahlenden Lösegelds relativ niedrig. Zudem hat die Erfahrung gezeigt, dass die meisten Angreifer Wort halten und den Zugriff auf die Dateien wieder freigeben.”
Die Lösegeldforderungen liegen nach Aussagen des FBI typischerweise zwischen 200 und 10.000 US-Dollar. Es sind allerdings Fälle bekannt geworden bei denen die Summen weitaus höher lagen. Im Jahr 2014 wurden beispielsweise Dateien der Stadt Detroit verschlüsselt und die Angreifer forderten eine Summe von 2.000 Bitcoins was etwa 800.000 Dollar entspricht. Und natürlich kamen für die Stadt weitere Kosten dazu, um die Folgen des Vorfalls zu beseitigen.
Und es gibt weitere Fälle. Im November 2014 zahlte das Tennessee Dickson County Sheriff’s Office 622.00 Dollar in Bitcoins. Hacker hatten sämtliche Dateien der Fallakten verschlüsselt, so dass die Ermittler nicht mehr auf die Daten zugreifen konnten. Man hatte also die Wahl entweder sämtliche Daten auf Nimmerwiedersehen zu verlieren und damit praktisch handlungsunfähig zu sein oder die vergleichsweise geringe Summe zu zahlen. Und das tat man dann auch. In diesem Fall hatten die Opfer Glück und konnten nach der Zahlung des Lösegelds wieder auf die Dateien zugreifen.
Es gibt allerdings eine ganze Reihe von IT-Sicherheitsexperten, die davon abraten zu zahlen. Schließlich gebe es keinerlei Garantie dafür, tatsächlich wieder auf die verschlüsselten Dateien zugreifen zu können. Zudem macht das Zahlen eines Lösegelds das Problem an sich nicht kleiner und man setzt sich einem höheren Risiko aus mit zusätzlicher Malware infiziert zu werden. Das Department of Homeland Security beispielsweise rät dringend davon ab mit den Hackern zu verhandeln oder gar zu zahlen. In den USA war eine hitzige Debatte darüber entbrannt, ob das FBI mit seinen Empfehlungen nicht sogar Hacker ermuntert. In der November-Ausgabe des Wall Street Journal sah sich FBI-Sprecherin Kristen Setera genötigt deutlich zu bekunden, dass das FBI nicht grundsätzlich empfehle Lösegelder zu zahlen.
Bevor man sich entscheidet zu zahlen oder nicht sollte man auf jeden Fall vorher im Internet recherchieren ob es entsprechende Tools gibt um die Dateien zu entschlüsseln. Wenn ja, gibt es keinen Grund ein Lösegeld zu zahlen. Manchmal finden sich solche Schlüssel bei Ermittlungen gegen Cyberkriminelle auf deren Servern und werden dann im Anschluss von Sicherheitsexperten oder der Polizei öffentlich zugänglich gemacht. Solche Entschlüsselungs-Tools gibt es beispielsweise für CoinVault, TeslaCrypt, oder auch den populären CryptoLocker.
In diesem Zusammenhang ist es nicht ganz uninteressant, dass eine interdisziplinäre Studie 2014 ergeben hat, dass mehr als 40 % derer die Opfer einer CryptoLocker-Attacke geworden sind das Lösegeld für die verschlüsselten Dateien tatsächlich gezahlt haben. Bevor es dem FBI and Justice Department gelungen ist die CryptoLocker-Organisation aufzudecken, hatten die Cyberkriminellen in den ersten 100 Tagen bereits mehr als 30 Millionen US-Dollar erbeutet.
Ein anderer Grund nicht zu zahlen ist, wenn man vermuten darf, dass es sich um einen einigermaßen schlechten Programmierer von Ransomware handelt. Power Worm, beispielsweise zerstört die Daten der Opfer schlussendlich ohnehin. Und warum zahlen, wenn man keine Chance hat, seine Dateien wiederherstellen zu können. Kurz gesagt, es gibt keine einfachen Antworten.
Der zweite Teil dieser Serie beschäftigt sich mit den verschiedenen Typen von Ransomware und damit welche Verschlüsselungsmethoden sie im Einzelnen verwenden.
David Lin, Varonis
