Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Cyber Crime RansomwareLaut einer Erhebung von McAfee hatten Unternehmen bereits im ersten Quartal 2015 mit einem rasanten Anstieg von 165 % bei Ransomware zu kämpfen. Einer Malware, der zudem der Ruf vorauseilt, dass sie ausgesprochen schwierig aufzudecken sei.

Insbesondere zwei Eigenschaften haben dafür gesorgt Ransomware als besonders ausgefeilten und schwer zu verhindernden Angriffstypus zu bewerten. Sie ist äußerst stabil beschaffen und das Daten-Kidnapping kann enorme Schäden verursachen. Entweder sind die Dateien unwiederbringlich verloren oder vertrauliche wie kompromittierende Inhalte werden veröffentlicht. Beides nicht gerade wünschenswert.

Ransomware, eine unaufhaltsame Erfolgsgeschichte?

Leitfaden Ransomware Teil 1Aber es gibt auch andere Sichtweisen auf die Erfolgsgeschichte der Ransomware. Die Northeastern University veröffentlichte beispielsweise einen Forschungsbericht unter dem Titel: Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, der eine andere als die sonst übliche Haltung zum Thema Ransomware einnimmt. Zwischen 2006 und 2014 analysierten die Forscher insgesamt 1.359 Ransomware-Fälle und kamen zu dem interessanten Schluss, dass „eine genaue Beobachtung der Aktivitäten innerhalb der Filesysteme, und dies trifft auf eine Reihe von Ransomware-Fällen zu, es nahelegt, den Master File Table (MFT) im NTFS-Filesystem besonders zu schützen. Eine genaue Beobachtung hätte es in vielen Fällen ermöglicht den Angriff nicht nur zu erkennen, sondern auch etliche dieser Zero-Day-Attacken zu verhindern.“

Um das tun zu können, braucht man allerdings ein umfassendes Verständnis davon wie solche Angriffe funktionieren, welche Rolle die digitale Währung Bitcoin dabei spielt und welche unterschiedlichen Typen, Varianten und Methoden es bei Ransomware gibt.

Was Bitcoin mit Ransomware zu tun hat

Bitcoin ist eine der digitalen Währungen, die es erlaubt Waren und Dienstleistungen anonym zu bezahlen. Entweder über die entsprechende App auf dem Mobiltelefon oder über einen Computer. Nicht komplizierter als würde man mit Kreditkarte zahlen. Die Bitcoins werden in einer digitalen Geldbörse gespeichert, entweder in der Cloud oder auf dem Computer des betreffenden Nutzers. Im Prinzip funktioniert das wie ein normales Online-Konto. Allerdings mit einigen Unterschieden. So ist die Währung beispielsweise nicht über die FDIC (Federal Deposit Insurance Corporation) abgesichert und sie ist nicht an eine bestimmte Nation gekoppelt. Bitcoins unterliegen also keiner der damit verbundenen Richtlinien und Regulierungen. Und es existieren keine Kreditkartengebühren.

Jede Bitcoin-Transaktion befindet sich auf einem Public Log. Die Namen von Käufern und Verkäufern bleiben anonym, es wird lediglich die ID der jeweiligen digitalen Geldbörse angezeigt. Dieses Prinzip gestattet beiden Seiten Geschäfte zu tätigen, die sich nicht einer bestimmten Person zuordnen lassen. Keine große Überraschung, dass Cyberkriminelle Bitcoin schnell als ideale Zahlungsmethode für sich entdeckt haben.

Um eine Identifikation zu verhindern, verwenden Cyberkriminelle ihre Bitcoin-Adresse in der Regel nicht mehr als höchstens sechsmal. Die Opfer werden zumeist aufgefordert, ihre Bitcoin-Lösegeldzahlungen über einen anonymen Browser wie Tor2web oder das Torproject zu leisten. Die entsprechende URL wird auf einem anonymen Server gehostet. Tor (The Onion Router) macht es vergleichsweise schwierig, den Standort eines bestimmten Servers oder die Identität des jeweiligen Betreibers festzustellen.

Zahlen oder nicht zahlen?

Im Oktober des letzten Jahres hatte Joseph Bonavolonta, Assistant Special Agent und verantwortlich für das „CYBER and Counterintelligence Program des FBI“, auf dem Cybersecurity Summit empfohlen: “Ransomware ist so gut, dass wir, wenn ich ehrlich bin, den Betroffenen empfehlen, das Lösegeld zu zahlen. Der Erfolg von Ransomware kommt sozusagen indirekt sogar den Opfern zu gute: Weil nämlich so viele der Betroffenen zahlen, dass die Malware-Entwickler nicht darauf angewiesen sind, ihren Profit mit einem einzigen Opfer zu „erwirtschaften“. In vielen Fällen bleibt die Summe des zu zahlenden Lösegelds relativ niedrig. Zudem hat die Erfahrung gezeigt, dass die meisten Angreifer Wort halten und den Zugriff auf die Dateien wieder freigeben.”

Die Lösegeldforderungen liegen nach Aussagen des FBI typischerweise zwischen 200 und 10.000 US-Dollar. Es sind allerdings Fälle bekannt geworden bei denen die Summen weitaus höher lagen. Im Jahr 2014 wurden beispielsweise Dateien der Stadt Detroit verschlüsselt und die Angreifer forderten eine Summe von 2.000 Bitcoins was etwa 800.000 Dollar entspricht. Und natürlich kamen für die Stadt weitere Kosten dazu, um die Folgen des Vorfalls zu beseitigen.

Und es gibt weitere Fälle. Im November 2014 zahlte das Tennessee Dickson County Sheriff’s Office 622.00 Dollar in Bitcoins. Hacker hatten sämtliche Dateien der Fallakten verschlüsselt, so dass die Ermittler nicht mehr auf die Daten zugreifen konnten. Man hatte also die Wahl entweder sämtliche Daten auf Nimmerwiedersehen zu verlieren und damit praktisch handlungsunfähig zu sein oder die vergleichsweise geringe Summe zu zahlen. Und das tat man dann auch. In diesem Fall hatten die Opfer Glück und konnten nach der Zahlung des Lösegelds wieder auf die Dateien zugreifen.

Es gibt allerdings eine ganze Reihe von IT-Sicherheitsexperten, die davon abraten zu zahlen. Schließlich gebe es keinerlei Garantie dafür, tatsächlich wieder auf die verschlüsselten Dateien zugreifen zu können. Zudem macht das Zahlen eines Lösegelds das Problem an sich nicht kleiner und man setzt sich einem höheren Risiko aus mit zusätzlicher Malware infiziert zu werden. Das Department of Homeland Security beispielsweise rät dringend davon ab mit den Hackern zu verhandeln oder gar zu zahlen. In den USA war eine hitzige Debatte darüber entbrannt, ob das FBI mit seinen Empfehlungen nicht sogar Hacker ermuntert. In der November-Ausgabe des Wall Street Journal sah sich FBI-Sprecherin Kristen Setera genötigt deutlich zu bekunden, dass das FBI nicht grundsätzlich empfehle Lösegelder zu zahlen.

Bevor man sich entscheidet zu zahlen oder nicht sollte man auf jeden Fall vorher im Internet recherchieren ob es entsprechende Tools gibt um die Dateien zu entschlüsseln. Wenn ja, gibt es keinen Grund ein Lösegeld zu zahlen. Manchmal finden sich solche Schlüssel bei Ermittlungen gegen Cyberkriminelle auf deren Servern und werden dann im Anschluss von Sicherheitsexperten oder der Polizei öffentlich zugänglich gemacht. Solche Entschlüsselungs-Tools gibt es beispielsweise für CoinVault, TeslaCrypt, oder auch den populären CryptoLocker.

In diesem Zusammenhang ist es nicht ganz uninteressant, dass eine interdisziplinäre Studie 2014 ergeben hat, dass mehr als 40 % derer die Opfer einer CryptoLocker-Attacke geworden sind das Lösegeld für die verschlüsselten Dateien tatsächlich gezahlt haben. Bevor es dem FBI and Justice Department gelungen ist die CryptoLocker-Organisation aufzudecken, hatten die Cyberkriminellen in den ersten 100 Tagen bereits mehr als 30 Millionen US-Dollar erbeutet.

Ein anderer Grund nicht zu zahlen ist, wenn man vermuten darf, dass es sich um einen einigermaßen schlechten Programmierer von Ransomware handelt. Power Worm, beispielsweise zerstört die Daten der Opfer schlussendlich ohnehin. Und warum zahlen, wenn man keine Chance hat, seine Dateien wiederherstellen zu können. Kurz gesagt, es gibt keine einfachen Antworten.

Der zweite Teil dieser Serie beschäftigt sich mit den verschiedenen Typen von Ransomware und damit welche Verschlüsselungsmethoden sie im Einzelnen verwenden.

David LinDavid Lin, Varonis

 

 

 

 
GRID LIST
Tb W190 H80 Crop Int 022fcb3300800252d034b5a8c131ecf2

Der Virenrückblick Dezember 2018

Im Dezember 2018 standen verschiedene PC-Schädlinge, die insbesondere für das…
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Smarte News aus der IT-Welt