Wie groĂź ist die Gefahr von neuen SchadÂproÂgramÂmen, erweiÂterÂten AngriffsÂmeÂthoÂden und ungeÂwollÂtem EinÂdrinÂgen in UnterÂnehÂmensÂnetzÂwerke? So sehr die DigiÂtaÂliÂsieÂrung zu schätÂzen ist, bedeuÂtet das fĂĽr den IT-Bereich auch neue GefahÂren.
ExperÂten bei CERT-Bund und dem BSI-LageÂzenÂtrum mussÂten sich in jĂĽngsÂter Zeit mit ausÂgeÂfeilÂten AngriffsÂtechÂniÂken ausÂeinÂanÂderÂsetÂzen, die ameÂriÂkaÂniÂsche DienstÂleisÂter, aber auch deutÂschen UnterÂnehÂmen das Leben schwer machÂten.
Eines davon ist die RanÂsomÂware. Was darÂunÂter zu verÂsteÂhen ist, wo die Gefahr liegt und wie Sie sich schĂĽtÂzen könÂnen, verÂraÂten wir Ihnen in den nächsÂten MinuÂten.
Was ist RanÂsomÂware?
Das BunÂdesÂamt fĂĽr SicherÂheit in der InforÂmaÂtiÂonsÂtechÂnik (BSI) gibt ausÂreiÂchend AufÂkläÂrung ĂĽber diese fortÂschrittÂliÂche Art von SchadÂproÂgramÂmen mit hohem BedroÂhungsÂpoÂtenÂzial.
RanÂsomÂware zielt auf die VerÂschlĂĽsÂseÂlung von NutÂzerÂdaÂten ab sowie auf die EinÂschränÂkung und UnterÂbinÂdung von DatenÂsysÂteÂmen. Seit JahÂren beobÂachÂtet das BSI diese Art AngriffsÂmeÂthoÂden.
Nach der VerÂschlĂĽsÂseÂlung der Daten werÂden die BetrofÂfeÂnen mit einem LöseÂgeld (engÂlisch: RanÂsom) erpresst. InfolÂgeÂdesÂsen auch die BezeichÂnung “RanÂsomÂware”. Nach der ZahÂlung des meist digiÂtaÂlen LöseÂgelds werÂden verÂschlĂĽsÂselte Dateien wieÂder freiÂgeÂschalÂtet.
PrinÂziÂpiÂell lässt sich zwiÂschen zwei Arten von RanÂsomÂware unterÂscheiÂden:
- ScreenÂloÂcker: Diese sperÂren Ihren BildÂschirm, sobald Sie betrofÂfen sind.
- File-EncrypÂter: Hier werÂden Ihre Daten auf dem ComÂpuÂter verÂschlĂĽsÂselt. DarÂunÂter kann es sich um KinÂderÂfoÂtos, Text-Dateien oder weiÂtere wichÂtige OrdÂner hanÂdeln.
BesonÂders betrofÂfen von RanÂsomÂware sind gemäß AusÂsage des BSI WinÂdows-RechÂner. Im PrinÂzip könÂnen jedoch alle SysÂteme von dieÂsem SchadÂproÂgramm befalÂlen werÂden.
Opfer von RanÂsomÂware sind die unterÂschiedÂlichsÂten OrgaÂniÂsaÂtioÂnen:
LedigÂlich PriÂvatÂverÂbrauÂcher sind bisÂlang noch nicht betrofÂfen – bisÂlang!
Der UnterÂschied zwiÂschen RanÂsomÂware und MalÂware
MalÂware bedeuÂtet SchadÂsoftÂware und ist als OberÂbeÂgriff fĂĽr sämtÂliÂche verÂschieÂdene Arten von böser SoftÂware anzuÂseÂhen. Bei RanÂsomÂware hanÂdelt es sich um einen Typ bzw. eine Art von MalÂware.
Seit wann ist RanÂsomÂware ein Ernst zu nehÂmenÂdes ProÂblem?
Das ProÂblem RanÂsomÂware ist eigentÂlich nicht neu. Bereits vor der JahrÂtauÂsendÂwende gab es ForÂmen dieÂser digiÂtaÂlen ErpresÂsung. Ab dem Jahr 2006 konnte jedoch der Anstieg der RanÂsomÂware-VariÂanÂten auf WinÂdows-SysÂteme beobÂachÂtet werÂden. Das SchadÂproÂgramm zeichÂnete sich in ersÂter Linie darin aus, sämtÂliÂche PC-Daten in ein passÂwortÂgeÂschĂĽtzÂtes ZIP-Archiv zu komÂpriÂmieÂren. Erst gegen Geld erhielÂten die BetrofÂfeÂnen das zugeÂhöÂrige PassÂwort.
Im VerÂlauf der darÂaufÂfolÂgenÂden Jahre bis heute konnÂten sich verÂschieÂdene RanÂsomÂware-VariÂanÂten einen berĂĽchÂtigÂten Namen machen. DarÂunÂter
- CrypÂtoÂLoÂcker,
- ReveÂton,
- WanÂnaCry,
- REvil
- DeadÂbolt.
UnterÂschiede und ForÂmen:
Das pasÂsiert auf Ihrem RechÂner
BleiÂben wir bei dem BeiÂspiel der vorab erwähnÂten VariÂanÂten. Diese zeichÂnen bereits ein deutÂliÂches Bild der einÂzelÂnen VorÂgeÂhensÂweiÂsen sowie den damit verÂbunÂdeÂnen mögÂliÂchen AusÂmaÂĂźen und KonÂseÂquenÂzen fĂĽr Ihr UnterÂnehÂmen.
Bei dieÂser RanÂsomÂware aus dem Jahr 2005 hanÂdelte es sich um die erste VerÂsion mit einer VerÂschlĂĽsÂseÂlungsÂfunkÂtion. Sie trat groĂźÂfläÂchig auf. Durch das ProÂgramm wurÂden NutÂzerÂdaÂten eines bestimmÂten Typs mit krypÂtoÂgraÂfiÂschen VerÂfahÂren chifÂfriert. Davon waren jedoch nicht nur die lokaÂlen FestÂplatÂten der UnterÂnehÂmen betrofÂfen, sonÂdern auch angeÂbunÂdene NetzÂlaufÂwerke.
DieÂses SchadÂstoffÂproÂgramm trat 2010 in ErscheiÂnung und ist auch unter BKA‑, GVU oder BSI-TroÂjaÂner bekannt. Diese zeichÂneÂten sich durch einen erscheiÂnenÂden WarnÂhinÂweis auf dem DeskÂtop aus, mit der BehaupÂtung, der RechÂner sei aufÂgrund einer poliÂzeiÂliÂchen oder zollÂrechtÂliÂchen ErmittÂlung gesperrt.
Erst nach ZahÂlung eines “BuĂźÂgelÂdes” werde er wieÂder freiÂgeÂschalÂtet. Um die TäuÂschung mögÂlichst echt wirÂken zu lasÂsen, nutÂzen die Täter verÂschieÂdene Logos und Namen staatÂliÂcher StelÂlen.
Damit hanÂdelt es sich bisÂher um eines der größÂten beobÂachÂteÂten Angriffe. Im Mai 2017 verÂschlĂĽsÂselte das SchadÂproÂgramm innerÂhalb von nur drei(!) Tagen in ĂĽber 150 LänÂdern Daten auf mehr als 200.000 WinÂdows-RechÂnern. InsÂgeÂsamt betraf dies verÂmutÂlich ĂĽber MilÂlioÂnen von ComÂpuÂtern.
GlĂĽckÂliÂcher weise konnte gröÂĂźeÂrer SchaÂden aufÂgrund der schnelÂlen AktiÂvieÂrung einer speÂziÂelÂlen FunkÂtion durch AnaÂlysÂten verÂhinÂdert werÂden. Anders als bei typiÂschen ErpresÂsungsÂtroÂjaÂnern hanÂdelte es sich in dieÂsem Fall um einen Wurm, der sich aufÂgrund einer SicherÂheitsÂlĂĽÂcke im WinÂdows-BetriebsÂsysÂtem selbstÂstänÂdig verÂbreiÂten konnte.
FĂĽr eines der größÂten Angriffe 2021 sorgte REvil auf den ameÂriÂkaÂniÂschen IT-DienstÂleisÂter Kaseya. Gleich HunÂderte UnterÂnehÂmen waren betrofÂfen. AufÂgrund einer SchwachÂstelle legÂten die Hacker sämtÂliÂche KunÂden von Kaseya mit einem VerÂschlĂĽsÂseÂlungsÂtroÂjaÂner lahm.
Zugriffe auf SysÂteme wurÂden gesperrt und hohe LöseÂgeldÂsumÂmen angeÂsetzt. InsÂgeÂsamt solÂlen 70 MilÂlioÂnen DolÂlar geforÂdert worÂden sein. Der Angriff bewirkte einen Domino-Effekt, da an Kaseya viele IT-UnterÂnehÂmen mit weiÂteÂren groÂĂźen KunÂdenÂnetzÂwerÂken angeÂschlosÂsen waren.
So waren letztÂendÂlich sogar ein KasÂsenÂsysÂtem eines schweÂdiÂschen SuperÂmarkÂtes betrofÂfen, deutÂsche UnterÂnehÂmen sowie elf SchuÂlen und sämtÂliÂche KinÂderÂgärÂten und NeuÂseeÂland, um nur einige Opfer zu nenÂnen. Einige OrgaÂniÂsaÂtioÂnen sahen sich sogar gezwunÂgen, den GeschäftsÂbeÂtrieb zeitÂweise zu unterÂbreÂchen.
Das Jahr 2022 war noch keiÂnen Monat alt, als die RanÂsomÂware DeadÂbolt einen Angriff auf die NAS-Geräte von Qnap wagte. Dateien wurÂden verÂschlĂĽsÂselt und die AnmelÂdeÂseite der Geräte gekaÂpert. Von KunÂden und HerÂstelÂlern wurde anschlieÂĂźend ein LöseÂgeld geforÂdert. Qnap-KunÂden wurde eine LöseÂgeldÂforÂdeÂrung von 0,03 BitÂcoin (in etwa 1.000 Euro) unterÂbreiÂtet, HerÂstelÂlern 5 BitÂcoin (ca. 165.000 Euro).
Schutz vor RanÂsomÂware – sich vor tatÂsächÂliÂchen AngrifÂfen schĂĽtÂzen?
Die VorÂfälle zeiÂgen, dass mit dieÂser Art SchadÂproÂgramÂmen nicht zu spaÂĂźen ist. VerÂnetzte IT-InfraÂstrukÂtuÂren mit einer oder mehÂreÂren SicherÂheitsÂlĂĽÂcken sind “gefunÂdeÂnes FresÂsen”, um es salopp ausÂzuÂdrĂĽÂcken. Die AusÂmaĂźe erstreÂcken sich mitÂunÂter weltÂweit.
ĂśberÂträgt sich das Risiko einer RanÂsomÂware auch auf priÂvate RechÂner, gelÂten fĂĽr jeden PriÂvatÂanÂwenÂder wie auch fĂĽr UnterÂnehÂmen folÂgende zu unterÂnehÂmende Schritte.
In ersÂter Linie sollÂten jedoch UnterÂnehÂmen und BehörÂden Schutz- und PräÂvenÂtiÂonsÂmaĂźÂnahÂmen folÂgen und diese umsetÂzen. DemÂzuÂfolge gibt das BSI die notÂwenÂdige HilÂfeÂstelÂlung anhand des verÂöfÂfentÂlichÂten “MaĂźÂnahÂmenÂkaÂtaÂlog RanÂsomÂware”. DieÂser basiert auf PraÂxisÂerÂfahÂrunÂgen sowie FallÂbeÂhandÂlunÂgen und gibt UnterÂnehÂmen mögÂliÂche SchutzÂmaĂźÂnahÂmen vor den TroÂjaÂnern an die Hand. Die MaĂźÂnahÂmen gelÂten zusätzÂlich und ersetÂzen nicht den IT-GrundÂschutz.
Zudem hanÂdelt es sich um ein ZusamÂmenÂspiel verÂschieÂdeÂner sysÂteÂmaÂtiÂscher MaĂźÂnahÂmen, um mögÂlichst viele StelÂlen abzuÂdeÂcken, vor InfekÂtioÂnen und VerÂschlĂĽsÂseÂlunÂgen zu schĂĽtÂzen oder diese zeitÂnah aufÂzuÂdeÂcken.
RanÂsomÂware aufÂspĂĽÂren – welÂche TechÂniÂken gibt es?
Das ProÂblem: Es werÂden selbst RechÂner verÂseucht, die bereits ĂĽber eine SicherÂheitsÂsoftÂware verÂfĂĽÂgen. Das bedeuÂtet, es muss ein SicherÂheitsÂsysÂtem her, welÂches selbst eine tiefÂgeÂhende SchadÂsoftÂware wie RanÂsomÂware aufÂspĂĽrt. Diese kann sonst Wochen und Monate unentÂdeckt bleiÂben.
Ist der RanÂsomÂware-Stamm sehr stark und gefährÂlich, bleibt Ihnen mögÂliÂcherÂweise nichts andeÂres ĂĽbrig als auf eine engaÂgierte weltÂweite Taskforce zurĂĽckÂzuÂgreiÂfen.
Eine gesunde Mischung aus AutoÂmaÂtiÂsieÂrung und MalÂware-AnaÂlyse ist hilfÂreich, um sich um VorÂfeld vor MalÂware dieÂser Art zu schĂĽtÂzen oder frĂĽhÂzeiÂtig zu erkenÂnen, bevor ein groÂĂźer SchaÂden entÂsteht.
Sie könÂnen auf 3 bewährte MalÂware-ErkenÂnungsÂtechÂniÂken zurĂĽckÂgreiÂfen:
SysÂteme befalÂlen – was ist zu tun?
Es ist keiÂnesÂfalls sicher, dass Hacker Ihre verÂschlĂĽsÂselÂten Daten wieÂder freiÂschalÂten, sobald Sie der ZahÂlung nachÂgeÂkomÂmen sind. Statt auf eigene Faust zu hanÂdeln, empÂfiehlt das BSI eine soforÂtige Anzeige bei der zustänÂdiÂgen PoliÂzeiÂbeÂhörde (LanÂdesÂkriÂmiÂnalÂamt).
Haben Sie ĂĽbriÂgens im VorÂfeld regelÂmäÂĂźige SicherÂheitsÂkoÂpien angeÂlegt, könÂnen Sie trotz eines Angriffs die DatenÂbeÂstände wieÂder herÂstelÂlen – ohne LöseÂgeldÂzahÂlung. TeilÂweise ist es sogar mögÂlich, die PassÂwort-Schranke mitÂhilfe von EntÂschlĂĽsÂseÂlungsÂtools zu durchÂbreÂchen.
Um die schädÂliÂche SoftÂware wieÂder von Ihrem ComÂpuÂter zu löschen, braucht es recht drasÂtiÂsche MaĂźÂnahÂmen. Die grĂĽndÂlichste Art und Weise ist, das SysÂtem auf WerksÂeinÂstelÂlunÂgen wieÂder zurĂĽckÂzuÂstelÂlen. Dazu sei gesagt, dass alle auf dem PC befindÂliÂchen Dateien unwiÂderÂrufÂlich verÂloÂren sind.
Haben Sie ein SysÂtem-Back-up erstellt, könÂnen Sie den RechÂner wieÂder auf dieÂsen ZeitÂpunkt vor dem Angriff zurĂĽckÂstelÂlen. DemÂnach ginge nur eine “kleine” DatenÂmenge verÂloÂren. Bei groÂĂźen UnterÂnehÂmen, wo tägÂlich rieÂsige DatenÂmenÂgen verÂarÂbeiÂtet werÂden, entÂsteht allerÂdings denÂnoch ein immenser SchaÂden.
Wie akut ist die Gefahr fĂĽr UnterÂnehÂmen?
Mit nur einem Wort: Sehr!
Im Bereich RanÂsomÂware hat sich ein kriÂmiÂnelÂles GeschäftsÂmoÂdell mit mehÂreÂren Trends herÂausÂkrisÂtalÂliÂsiert. Unter andeÂrem wird RanÂsomÂware als DienstÂleisÂtung unter Cyber-KriÂmiÂnelÂlen angeÂboÂten. Das soll Angriffe erleichÂtern.
GrupÂpen wie DarksÂide oder REvil verÂmieÂten und verÂkauÂfen HackÂing-Tools zu dieÂsem Zweck wie groĂźe komÂmerÂziÂelle UnterÂnehÂmen. Selbst UnterÂstĂĽtÂzungsÂdienste werÂden angeÂboÂten.
Hinzu kommt, dass es oftÂmals nicht bei einer ErpresÂsung bleibt. Eine sogeÂnannte “DreiÂfach ErpresÂsung” hat bereits einige UnterÂnehÂmen heimÂgeÂsucht. Dabei hanÂdelt es sich um eine KomÂbiÂnaÂtion aus Denial-of-SerÂvice-AngrifÂfen, DateiÂverÂschlĂĽsÂseÂlung und DiebÂstahl von Daten.
LeidÂtraÂgend ist dann nicht mehr nur das UnterÂnehÂmen, sonÂdern mitÂunÂter auch GeschäftsÂpartÂner und KunÂden.
BekämpÂfung von RanÂsomÂware – je eher, desto besÂser
Das AusÂmaĂź der Cyber-KriÂmiÂnaÂliÂtät ist nicht zu UnterÂschätÂzen. Selbst kleine AktioÂnen könÂnen bei UnterÂnehÂmen einen groÂĂźen SchaÂden anstelÂlen. Die verÂloÂreÂnen oder verÂschlĂĽsÂselÂten Dateien sorÂgen mitÂunÂter fĂĽr einen zeitÂweiÂliÂgen StillÂstand und könÂnen BetriebsÂabÂläufe auch im NachÂhinÂein negaÂtiv beeinÂträchÂtiÂgen.
Fakt ist: Die meisÂten CyberÂanÂgriffe könnÂten verÂeiÂtelt werÂden, wĂĽrÂden sich UnterÂnehÂmen der VerÂstärÂkung ihrer CyberÂsiÂcherÂheit- und KonÂtrolÂlen annehÂmen. EntÂspreÂchende MaĂźÂnahme-CheckÂlisÂten helÂfen bereits, SicherÂheitsÂlĂĽÂcken zu verÂmeiÂden. Eine KomÂbiÂnaÂtion aus ErkenÂnungsÂtechÂniÂken bewahrt UnterÂnehÂmen anschlieÂĂźend vor gröÂĂźeÂrem SchaÂden.
Es liegt damit auch durchÂaus in Ihrem InterÂesse, sich der Sache anzuÂnehÂmen.