Anzeige

Ransomware

Vor drei Jahren, 2017, litten New Yorker Pendler unter einem Sommer mit überfüllten U-Bahnen und Verspätungen, allgemein der "Höllensommer" genannt. Leider weitete sich der auch gleich auf die Cybersicherheitsbranche aus.

Tatsächlich erlebte die Welt in diesem Sommer das, was nach Einschätzung vieler Sicherheitsexperten zum bisher größten Ransomware-Angriff überhaupt wurde. 

Er sorgte vor allem deshalb weltweit für Chaos, weil er unter anderem den Betrieb kritischer Infrastrukturen wie den von Krankenhäusern, Eisenbahnen und der Telekommunikation vorübergehend lahmlegte. 

Auf der Liste der bekannten wie berüchtigten Ransomware-Namen steht auch WannaCry, die im Mai 2017 das Licht der Welt erblickte. Der Name WannaCry war durchaus Programm, und allein die schiere Menge an teils schwerwiegenden Störungen, brachte den Begriff Ransomware nachhaltig ins Bewusstsein einer breiten Öffentlichkeit. WannaCry missbrauchte zwei von der NSA entwickelte Exploits, die von der Hackergruppe Shadow Brokers veröffentlicht wurden. Berichten zufolge wurden hunderttausende Endpunkte in 150 Ländern weltweit infiziert. Dazu kam zunächst das Tool DoublePulsar zum Einsatz und öffnete eine Backdoor, für die auf einem Endpunkt zu installierende Ransomware. Dann wurde mit EternalBlue eine nicht gepatchte Schwachstelle im Betriebssystem von Microsoft ausgenutzt, um die Daten auf dem jeweiligen Endpunkt zu verschlüsseln und die übliche Lösegeldforderung zu stellen. Der der britische NHS war nur einer von tausenden WannaCry-Geschädigten. Insgesamt wurden bei dem Angriff etwa zweihunderttausend Computer gekapert und Verluste von über 92 Millionen Pfund gemeldet. Kurz darauf, im Juni desselben Jahres, folgte NotPetya. Zunächst tauchte die Malware in der Ukraine als gefälschtes Steuersoftware-Update auf, bevor sie Geräte in über hundert Ländern infizierte. 



Etwa zum selben Zeitraum rückt das Ransomware-as-a-Service (RaaS)-Modell in den Vordergrund. Anstatt einen Angriff selbst auszuführen, haben Ransomware-Autoren ihren sorgfältig erstellten Code gegen eine Gewinnbeteiligung an Partnerunternehmen auszulagern. RaaS veränderte die Dynamik der Cyberkriminalität erheblich. Jetzt konnten sich auch technisch weniger versierte Hacker an ziemlich profitablen Unternehmungen beteiligen. GandCrab ist ein bemerkenswertes Beispiel. Die Ransomware tauchte erstmals Anfang 2018 auf. Ihr Entwickler bot Interessierten im Rahmen einer gemeinsamen Phishing-Kampagne, die Möglichkeit einer Gewinnbeteiligung von 60/40 an den Lösegeldzahlungen. Im Laufe eines Jahres reklamierten die GandCrab-Autoren Einnahmen von über 150 Millionen Dollar für sich und verhalfen ihren Partnern angeblich zu weiteren Einnahmen in Höhe von insgesamt 2 Milliarden US-Dollar. Gand-Crab ist zwar ziemlich schnell von der Bildfläche verschwunden, allerdings nur um von Ransomware-as-a-Service wie Sodinokibi von REvil ersetzt zu werden. 

Etlichen Cyberkriminellen ist allerdings das mit Ransomware-Zahlungen verbundene Unsicherheitsmoment schon lange ein Dorn im Auge. Ein Grund, das sogenannte "Doxxing" in das Angriffsarsenal aufzunehmen. Dabei werden die Daten vor der Verschlüsselung zunächst auf einen vom Angreifer kontrollierten Server exportiert. Die Androhung eines Daten-Leaks wird dazu benutzt, den Einsatz zu erhöhen und die Opfer zur Zahlung zu bewegen. Im Worst-Case-Szenario werden die Daten im Dark Web gegen Gebühr verkauft.  

Die neueste Entwicklung in der Geschichte der Ransomware sind gezielte Angriffe gegen Betriebstechnologien (OT) und industrielle Steuerungssysteme (ICS). Während wir in der Vergangenheit eine Reihe von staatlich geförderten Hacking-Kampagnen gegen industrielle Steuerungssysteme erlebt haben, wurden wir inzwischen Zeuge, dass auch durchschnittliche Cyberkriminelle in diesen Bereich vordringen. Die im Dezember 2019 entdeckte Ransomware Ekans oder auch Snake scheint wohl der nachweislich erste Angriff dieser Art zu sein, bei dem Cyberkriminelle OT und ICS aus reiner Profitgier ins Visier genommen haben. Mit Beginn der Corona-Pandemie haben diese Fälle weiter zugenommen.

Ransomware in ihren mannigfachen Spielarten ist gekommen, um zu bleiben. Was sollten Unternehmen angesichts dessen tun? 

Erstens: Auch wenn Ransomware sich weiterentwickelt hat und raffinierter geworden ist, wird sie doch weiterhin auf die gleiche Art und Weise verbreitet. Zum überwiegenden Teil wird die Erpressersoftware immer noch erfolgreich über Phishing-E-Mails verteilt. Eine effiziente Eindämmungsstrategie sind Schulungen und Mitarbeitertrainings, die das Sicherheitsbewusstsein verbessern. Je mehr Mitarbeiter wissen, worauf sie achten müssen, desto besser. Darunter niemals Anhänge aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen oder auf nicht verifizierte Links klicken. 

Zweitens sollten Unternehmen aktiv dafür sorgen, dass alle Schwachstellen zügig gepatcht und sämtliche Betriebssysteme sowie Software von Drittanbietern regelmäßig upgedated werden. Für den Fall, dass dies für einen Endpunkt nicht möglich ist, sollten Unternehmen ein " Social Distancing" für Assets in Erwägung ziehen. Auf diese Weise wird die Verbreitung von Ransomware minimiert. Darüber hinaus helfen Endpunkt-Sicherheitslösungen, Bedrohungen fast sofort zu erkennen und zu blockieren, ehe sie in das System eindringen. 

Unternehmen sollten regelmäßig Backups von privaten Geräten und Unternehmenssystemen erstellen. Die Daten wiederherzustellen macht nach einem Ransomware-Vorfall den größten Teil des Aufwands aus. Und schließlich sollten Sie darauf verzichten, ein gefordertes Lösegeld zu zahlen, es sei denn, es gibt im konkreten Fall keine Alternative. Behalten Sie im Hinterkopf, dass Ehrlichkeit unter Dieben eher die Ausnahme ist. Das Lösegeld zu zahlen, gewährleistet nicht unbedingt, dass Sie den Entschlüsselungscodes zum Entsperren der Dateien tatsächlich bekommen. Wer profitiert, sind in jedem Fall die Angreifer, und Lösegeldzahlungen verschaffen ihnen die nötigen Ressourcen, um in weitere, komplexere Angriffe zu investieren. Abgesehen von der Tatsache, dass die Opfer Ransomware-Angriffe so als eine immer noch ausgesprochen lukrative Methode promoten. 

Yossi Rachman, Director of Security Research
Yossi Rachman
Director of Security Research, Cybereason

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberattack
Aug 11, 2020

Unternehmen fürchten mehr Cyberangriffe bei Remote-Arbeit

Neueste Forschungsergebnisse zeigen: Fast drei Viertel der Verantwortlichen in großen…
Ransomware
Aug 09, 2020

Chronik eines Ransomware-Angriffs

Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!