VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Cyber Crime RansomwareLaut einer Erhebung von McAfee hatten Unternehmen bereits im ersten Quartal 2015 mit einem rasanten Anstieg von 165 % bei Ransomware zu kämpfen. Einer Malware, der zudem der Ruf vorauseilt, dass sie ausgesprochen schwierig aufzudecken sei.

Insbesondere zwei Eigenschaften haben dafür gesorgt Ransomware als besonders ausgefeilten und schwer zu verhindernden Angriffstypus zu bewerten. Sie ist äußerst stabil beschaffen und das Daten-Kidnapping kann enorme Schäden verursachen. Entweder sind die Dateien unwiederbringlich verloren oder vertrauliche wie kompromittierende Inhalte werden veröffentlicht. Beides nicht gerade wünschenswert.

Ransomware, eine unaufhaltsame Erfolgsgeschichte?

Leitfaden Ransomware Teil 1Aber es gibt auch andere Sichtweisen auf die Erfolgsgeschichte der Ransomware. Die Northeastern University veröffentlichte beispielsweise einen Forschungsbericht unter dem Titel: Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, der eine andere als die sonst übliche Haltung zum Thema Ransomware einnimmt. Zwischen 2006 und 2014 analysierten die Forscher insgesamt 1.359 Ransomware-Fälle und kamen zu dem interessanten Schluss, dass „eine genaue Beobachtung der Aktivitäten innerhalb der Filesysteme, und dies trifft auf eine Reihe von Ransomware-Fällen zu, es nahelegt, den Master File Table (MFT) im NTFS-Filesystem besonders zu schützen. Eine genaue Beobachtung hätte es in vielen Fällen ermöglicht den Angriff nicht nur zu erkennen, sondern auch etliche dieser Zero-Day-Attacken zu verhindern.“

Um das tun zu können, braucht man allerdings ein umfassendes Verständnis davon wie solche Angriffe funktionieren, welche Rolle die digitale Währung Bitcoin dabei spielt und welche unterschiedlichen Typen, Varianten und Methoden es bei Ransomware gibt.

Was Bitcoin mit Ransomware zu tun hat

Bitcoin ist eine der digitalen Währungen, die es erlaubt Waren und Dienstleistungen anonym zu bezahlen. Entweder über die entsprechende App auf dem Mobiltelefon oder über einen Computer. Nicht komplizierter als würde man mit Kreditkarte zahlen. Die Bitcoins werden in einer digitalen Geldbörse gespeichert, entweder in der Cloud oder auf dem Computer des betreffenden Nutzers. Im Prinzip funktioniert das wie ein normales Online-Konto. Allerdings mit einigen Unterschieden. So ist die Währung beispielsweise nicht über die FDIC (Federal Deposit Insurance Corporation) abgesichert und sie ist nicht an eine bestimmte Nation gekoppelt. Bitcoins unterliegen also keiner der damit verbundenen Richtlinien und Regulierungen. Und es existieren keine Kreditkartengebühren.

Jede Bitcoin-Transaktion befindet sich auf einem Public Log. Die Namen von Käufern und Verkäufern bleiben anonym, es wird lediglich die ID der jeweiligen digitalen Geldbörse angezeigt. Dieses Prinzip gestattet beiden Seiten Geschäfte zu tätigen, die sich nicht einer bestimmten Person zuordnen lassen. Keine große Überraschung, dass Cyberkriminelle Bitcoin schnell als ideale Zahlungsmethode für sich entdeckt haben.

Um eine Identifikation zu verhindern, verwenden Cyberkriminelle ihre Bitcoin-Adresse in der Regel nicht mehr als höchstens sechsmal. Die Opfer werden zumeist aufgefordert, ihre Bitcoin-Lösegeldzahlungen über einen anonymen Browser wie Tor2web oder das Torproject zu leisten. Die entsprechende URL wird auf einem anonymen Server gehostet. Tor (The Onion Router) macht es vergleichsweise schwierig, den Standort eines bestimmten Servers oder die Identität des jeweiligen Betreibers festzustellen.

Zahlen oder nicht zahlen?

Im Oktober des letzten Jahres hatte Joseph Bonavolonta, Assistant Special Agent und verantwortlich für das „CYBER and Counterintelligence Program des FBI“, auf dem Cybersecurity Summit empfohlen: “Ransomware ist so gut, dass wir, wenn ich ehrlich bin, den Betroffenen empfehlen, das Lösegeld zu zahlen. Der Erfolg von Ransomware kommt sozusagen indirekt sogar den Opfern zu gute: Weil nämlich so viele der Betroffenen zahlen, dass die Malware-Entwickler nicht darauf angewiesen sind, ihren Profit mit einem einzigen Opfer zu „erwirtschaften“. In vielen Fällen bleibt die Summe des zu zahlenden Lösegelds relativ niedrig. Zudem hat die Erfahrung gezeigt, dass die meisten Angreifer Wort halten und den Zugriff auf die Dateien wieder freigeben.”

Die Lösegeldforderungen liegen nach Aussagen des FBI typischerweise zwischen 200 und 10.000 US-Dollar. Es sind allerdings Fälle bekannt geworden bei denen die Summen weitaus höher lagen. Im Jahr 2014 wurden beispielsweise Dateien der Stadt Detroit verschlüsselt und die Angreifer forderten eine Summe von 2.000 Bitcoins was etwa 800.000 Dollar entspricht. Und natürlich kamen für die Stadt weitere Kosten dazu, um die Folgen des Vorfalls zu beseitigen.

Und es gibt weitere Fälle. Im November 2014 zahlte das Tennessee Dickson County Sheriff’s Office 622.00 Dollar in Bitcoins. Hacker hatten sämtliche Dateien der Fallakten verschlüsselt, so dass die Ermittler nicht mehr auf die Daten zugreifen konnten. Man hatte also die Wahl entweder sämtliche Daten auf Nimmerwiedersehen zu verlieren und damit praktisch handlungsunfähig zu sein oder die vergleichsweise geringe Summe zu zahlen. Und das tat man dann auch. In diesem Fall hatten die Opfer Glück und konnten nach der Zahlung des Lösegelds wieder auf die Dateien zugreifen.

Es gibt allerdings eine ganze Reihe von IT-Sicherheitsexperten, die davon abraten zu zahlen. Schließlich gebe es keinerlei Garantie dafür, tatsächlich wieder auf die verschlüsselten Dateien zugreifen zu können. Zudem macht das Zahlen eines Lösegelds das Problem an sich nicht kleiner und man setzt sich einem höheren Risiko aus mit zusätzlicher Malware infiziert zu werden. Das Department of Homeland Security beispielsweise rät dringend davon ab mit den Hackern zu verhandeln oder gar zu zahlen. In den USA war eine hitzige Debatte darüber entbrannt, ob das FBI mit seinen Empfehlungen nicht sogar Hacker ermuntert. In der November-Ausgabe des Wall Street Journal sah sich FBI-Sprecherin Kristen Setera genötigt deutlich zu bekunden, dass das FBI nicht grundsätzlich empfehle Lösegelder zu zahlen.

Bevor man sich entscheidet zu zahlen oder nicht sollte man auf jeden Fall vorher im Internet recherchieren ob es entsprechende Tools gibt um die Dateien zu entschlüsseln. Wenn ja, gibt es keinen Grund ein Lösegeld zu zahlen. Manchmal finden sich solche Schlüssel bei Ermittlungen gegen Cyberkriminelle auf deren Servern und werden dann im Anschluss von Sicherheitsexperten oder der Polizei öffentlich zugänglich gemacht. Solche Entschlüsselungs-Tools gibt es beispielsweise für CoinVault, TeslaCrypt, oder auch den populären CryptoLocker.

In diesem Zusammenhang ist es nicht ganz uninteressant, dass eine interdisziplinäre Studie 2014 ergeben hat, dass mehr als 40 % derer die Opfer einer CryptoLocker-Attacke geworden sind das Lösegeld für die verschlüsselten Dateien tatsächlich gezahlt haben. Bevor es dem FBI and Justice Department gelungen ist die CryptoLocker-Organisation aufzudecken, hatten die Cyberkriminellen in den ersten 100 Tagen bereits mehr als 30 Millionen US-Dollar erbeutet.

Ein anderer Grund nicht zu zahlen ist, wenn man vermuten darf, dass es sich um einen einigermaßen schlechten Programmierer von Ransomware handelt. Power Worm, beispielsweise zerstört die Daten der Opfer schlussendlich ohnehin. Und warum zahlen, wenn man keine Chance hat, seine Dateien wiederherstellen zu können. Kurz gesagt, es gibt keine einfachen Antworten.

Der zweite Teil dieser Serie beschäftigt sich mit den verschiedenen Typen von Ransomware und damit welche Verschlüsselungsmethoden sie im Einzelnen verwenden.

David LinDavid Lin, Varonis

 

 

 

 
GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt