Ran­som­ware – wenn Viren erpres­sen

Was ist Ran­som­ware?

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) gibt aus­rei­chend Auf­klä­rung über diese fort­schritt­li­che Art von Schad­pro­gram­men mit hohem Bedro­hungs­po­ten­zial.

Ran­som­ware zielt auf die Ver­schlüs­se­lung von Nut­zer­da­ten ab sowie auf die Ein­schrän­kung und Unter­bin­dung von Daten­sys­te­men. Seit Jah­ren beob­ach­tet das BSI diese Art Angriffs­me­tho­den.

Nach der Ver­schlüs­se­lung der Daten wer­den die Betrof­fe­nen mit einem Löse­geld (eng­lisch: Ran­som) erpresst. Infol­ge­des­sen auch die Bezeich­nung “Ran­som­ware”. Nach der Zah­lung des meist digi­ta­len Löse­gelds wer­den ver­schlüs­selte Dateien wie­der frei­ge­schal­tet.

Opfer von Ran­som­ware sind die unter­schied­lichs­ten Orga­ni­sa­tio­nen:

mit­tel­stän­di­sche Unter­neh­men

Kran­ken­häu­ser

Groß­kon­zerne
etc.

Ledig­lich Pri­vat­ver­brau­cher sind bis­lang noch nicht betrof­fen – bis­lang!

Der Unter­schied zwi­schen Ran­som­ware und Mal­ware

Mal­ware bedeu­tet Schad­soft­ware und ist als Ober­be­griff für sämt­li­che ver­schie­dene Arten von böser Soft­ware anzu­se­hen. Bei Ran­som­ware han­delt es sich um einen Typ bzw. eine Art von Mal­ware.

Seit wann ist Ran­som­ware ein Ernst zu neh­men­des Pro­blem?

Das Pro­blem Ran­som­ware ist eigent­lich nicht neu. Bereits vor der Jahr­tau­send­wende gab es For­men die­ser digi­ta­len Erpres­sung. Ab dem Jahr 2006 konnte jedoch der Anstieg der Ran­som­ware-Vari­an­ten auf Win­dows-Sys­teme beob­ach­tet wer­den. Das Schad­pro­gramm zeich­nete sich in ers­ter Linie darin aus, sämt­li­che PC-Daten in ein pass­wort­ge­schütz­tes ZIP-Archiv zu kom­pri­mie­ren. Erst gegen Geld erhiel­ten die Betrof­fe­nen das zuge­hö­rige Pass­wort.

Im Ver­lauf der dar­auf­fol­gen­den Jahre bis heute konn­ten sich ver­schie­dene Ran­som­ware-Vari­an­ten einen berüch­tig­ten Namen machen. Dar­un­ter 

• Cryp­to­Lo­cker,
• Reve­ton,
• Wan­naCry,
• REvil
• Dead­bolt.

Bei die­ser Ran­som­ware aus dem Jahr 2005 han­delte es sich um die erste Ver­sion mit einer Ver­schlüs­se­lungs­funk­tion. Sie trat groß­flä­chig auf. Durch das Pro­gramm wur­den Nut­zer­da­ten eines bestimm­ten Typs mit kryp­to­gra­fi­schen Ver­fah­ren chif­friert. Davon waren jedoch nicht nur die loka­len Fest­plat­ten der Unter­neh­men betrof­fen, son­dern auch ange­bun­dene Netz­lauf­werke.

Die­ses Schad­stoff­pro­gramm trat 2010 in Erschei­nung und ist auch unter BKA‑, GVU oder BSI-Tro­ja­ner bekannt. Diese zeich­ne­ten sich durch einen erschei­nen­den Warn­hin­weis auf dem Desk­top aus, mit der Behaup­tung, der Rech­ner sei auf­grund einer poli­zei­li­chen oder zoll­recht­li­chen Ermitt­lung gesperrt.

Erst nach Zah­lung eines “Buß­gel­des” werde er wie­der frei­ge­schal­tet. Um die Täu­schung mög­lichst echt wir­ken zu las­sen, nut­zen die Täter ver­schie­dene Logos und Namen staat­li­cher Stel­len.

Damit han­delt es sich bis­her um eines der größ­ten beob­ach­te­ten Angriffe. Im Mai 2017 ver­schlüs­selte das Schad­pro­gramm inner­halb von nur drei(!) Tagen in über 150 Län­dern Daten auf mehr als 200.000 Win­dows-Rech­nern. Ins­ge­samt betraf dies ver­mut­lich über Mil­lio­nen von Com­pu­tern.

Glück­li­cher weise konnte grö­ße­rer Scha­den auf­grund der schnel­len Akti­vie­rung einer spe­zi­el­len Funk­tion durch Ana­lys­ten ver­hin­dert wer­den. Anders als bei typi­schen Erpres­sungs­tro­ja­nern han­delte es sich in die­sem Fall um einen Wurm, der sich auf­grund einer Sicher­heits­lü­cke im Win­dows-Betriebs­sys­tem selbst­stän­dig ver­brei­ten konnte.

Für eines der größ­ten Angriffe 2021 sorgte REvil auf den ame­ri­ka­ni­schen IT-Dienst­leis­ter Kaseya. Gleich Hun­derte Unter­neh­men waren betrof­fen. Auf­grund einer Schwach­stelle leg­ten die Hacker sämt­li­che Kun­den von Kaseya mit einem Ver­schlüs­se­lungs­tro­ja­ner lahm.

Zugriffe auf Sys­teme wur­den gesperrt und hohe Löse­geld­sum­men ange­setzt. Ins­ge­samt sol­len 70 Mil­lio­nen Dol­lar gefor­dert wor­den sein. Der Angriff bewirkte einen Domino-Effekt, da an Kaseya viele IT-Unter­neh­men mit wei­te­ren gro­ßen Kun­den­netz­wer­ken ange­schlos­sen waren. 

So waren letzt­end­lich sogar ein Kas­sen­sys­tem eines schwe­di­schen Super­mark­tes betrof­fen, deut­sche Unter­neh­men  sowie elf Schu­len und sämt­li­che Kin­der­gär­ten und Neu­see­land, um nur einige Opfer zu nen­nen. Einige Orga­ni­sa­tio­nen sahen sich sogar gezwun­gen, den Geschäfts­be­trieb zeit­weise zu unter­bre­chen.

Das Jahr 2022 war noch kei­nen Monat alt, als die Ran­som­ware Dead­bolt einen Angriff auf die NAS-Geräte von Qnap wagte. Dateien wur­den ver­schlüs­selt und die Anmel­de­seite der Geräte geka­pert. Von Kun­den und Her­stel­lern wurde anschlie­ßend ein Löse­geld gefor­dert. Qnap-Kun­den wurde eine Löse­geld­for­de­rung von 0,03 Bit­coin (in etwa 1.000 Euro) unter­brei­tet, Her­stel­lern 5 Bit­coin (ca. 165.000 Euro).

Schutz vor Ran­som­ware – sich vor tat­säch­li­chen Angrif­fen schüt­zen?

Die Vor­fälle zei­gen, dass mit die­ser Art Schad­pro­gram­men nicht zu spa­ßen ist. Ver­netzte IT-Infra­struk­tu­ren mit einer oder meh­re­ren Sicher­heits­lü­cken sind “gefun­de­nes Fres­sen”, um es salopp aus­zu­drü­cken. Die Aus­maße erstre­cken sich mit­un­ter welt­weit.

Über­trägt sich das Risiko einer Ran­som­ware auch auf pri­vate Rech­ner, gel­ten für jeden Pri­vat­an­wen­der wie auch für Unter­neh­men fol­gende zu unter­neh­mende Schritte.

1. Schritt

Füh­ren Sie regel­mä­ßig, bes­ten­falls auto­ma­ti­sche Sicher­heits­up­dates auf allen Ihren Geräte durch.

2. Schritt

Akti­vie­ren Sie Viren­schutz­programme.

3. Schritt

Öff­nen sie keine E‑Mails von unse­riö­sen und unbe­kann­ten Absen­dern.

4. Schritt

Füh­ren Sie regel­mä­ßige Back-ups sowie externe Daten­sicherungen durch.

In ers­ter Linie soll­ten jedoch Unter­neh­men und Behör­den Schutz- und Prä­ven­ti­ons­maß­nah­men fol­gen und diese umset­zen. Dem­zu­folge gibt das BSI die not­wen­dige Hil­fe­stel­lung anhand des ver­öf­fent­lich­ten “Maß­nah­men­ka­ta­log Ran­som­ware”. Die­ser basiert auf Pra­xis­er­fah­run­gen sowie Fall­be­hand­lun­gen und gibt Unter­neh­men mög­li­che Schutz­maß­nah­men vor den Tro­ja­nern an die Hand. Die Maß­nah­men gel­ten zusätz­lich und erset­zen nicht den IT-Grund­schutz.

Zudem han­delt es sich um ein Zusam­men­spiel ver­schie­de­ner sys­te­ma­ti­scher Maß­nah­men, um mög­lichst viele Stel­len abzu­de­cken, vor Infek­tio­nen und Ver­schlüs­se­lun­gen zu schüt­zen oder diese zeit­nah auf­zu­de­cken.

Ran­som­ware auf­spü­ren – wel­che Tech­ni­ken gibt es?

Das Pro­blem: Es wer­den selbst Rech­ner ver­seucht, die bereits über eine Sicher­heits­soft­ware ver­fü­gen. Das bedeu­tet, es muss ein Sicher­heits­sys­tem her, wel­ches selbst eine tief­ge­hende Schad­soft­ware wie Ran­som­ware auf­spürt. Diese kann sonst Wochen und Monate unent­deckt blei­ben. 

Ist der Ran­som­ware-Stamm sehr stark und gefähr­lich, bleibt Ihnen mög­li­cher­weise nichts ande­res übrig als auf eine enga­gierte welt­weite Taskforce zurück­zu­grei­fen. 

Eine gesunde Mischung aus Auto­ma­ti­sie­rung und Mal­ware-Ana­lyse ist hilf­reich, um sich um Vor­feld vor Mal­ware die­ser Art zu schüt­zen oder früh­zei­tig zu erken­nen, bevor ein gro­ßer Scha­den ent­steht.

Sie kön­nen  auf 3 bewährte Mal­ware-Erken­nungs­tech­ni­ken zurück­grei­fen:

ver­hal­tens­ba­sierte Metho­den

Neue und jüngste Ver­hal­tens­wei­sen wer­den mit his­to­ri­schen Daten und der durch­schnitt­li­chen Ver­hal­tens-Base­line ver­gli­chen. So fällt es z. B. auf, wenn am glei­chen Tag aus einem ande­ren Staat und dem Büro vor Ort zuge­grif­fen wird.

signa­tur­ba­sierte Metho­den

Der Hash einer Ran­som­ware-Probe wird mit bekann­ten Signa­tu­ren ver­gli­chen. So kann die Schad­soft­ware zwi­schen auto­ri­sier­ten Dateien ent­deckt wer­den.

Täu­schun­gen

Durch Aus­trick­sen des Geg­ners wer­den Angriffe erkannt. Das geschieht bspw. durch Honey­pots. Die­ser Ser­ver dient als Köder. Nut­zer im Unter­neh­men grei­fen nicht auf den Ser­ver zu. Sobald er jedoch Akti­vi­tä­ten zeigt, ver­deut­licht dies einen mög­li­chen Angriff. 

Sys­teme befal­len – was ist zu tun?

Es ist kei­nes­falls sicher, dass Hacker Ihre ver­schlüs­sel­ten Daten wie­der frei­schal­ten, sobald Sie der Zah­lung nach­ge­kom­men sind. Statt auf eigene Faust zu han­deln, emp­fiehlt das BSI eine sofor­tige Anzeige bei der zustän­di­gen Poli­zei­be­hörde (Lan­des­kri­mi­nal­amt).

Haben Sie übri­gens im Vor­feld regel­mä­ßige Sicher­heits­ko­pien ange­legt, kön­nen Sie trotz eines Angriffs die Daten­be­stände wie­der her­stel­len – ohne Löse­geld­zah­lung. Teil­weise ist es sogar mög­lich, die Pass­wort-Schranke mit­hilfe von Ent­schlüs­se­lungs­tools zu durch­bre­chen.

Um die schäd­li­che Soft­ware wie­der von Ihrem Com­pu­ter zu löschen, braucht es recht dras­ti­sche Maß­nah­men. Die gründ­lichste Art und Weise ist, das Sys­tem auf Werks­ein­stel­lun­gen wie­der zurück­zu­stel­len. Dazu sei gesagt, dass alle auf dem PC befind­li­chen Dateien unwi­der­ruf­lich ver­lo­ren sind.

Haben Sie ein Sys­tem-Back-up erstellt, kön­nen Sie den Rech­ner wie­der auf die­sen Zeit­punkt vor dem Angriff zurück­stel­len. Dem­nach ginge nur eine “kleine” Daten­menge ver­lo­ren. Bei gro­ßen Unter­neh­men, wo täg­lich rie­sige Daten­men­gen ver­ar­bei­tet wer­den, ent­steht aller­dings den­noch ein immenser Scha­den. 

Bekämp­fung von Ran­som­ware – je eher, desto bes­ser

Das Aus­maß der Cyber-Kri­mi­na­li­tät ist nicht zu Unter­schät­zen. Selbst kleine Aktio­nen kön­nen bei Unter­neh­men einen gro­ßen Scha­den anstel­len. Die ver­lo­re­nen oder ver­schlüs­sel­ten Dateien sor­gen mit­un­ter für einen zeit­wei­li­gen Still­stand und kön­nen  Betriebs­ab­läufe auch im Nach­hin­ein nega­tiv beein­träch­ti­gen. 

Fakt ist: Die meis­ten Cyber­an­griffe könn­ten ver­ei­telt wer­den, wür­den sich Unter­neh­men der Ver­stär­kung ihrer Cyber­si­cher­heit- und Kon­trol­len anneh­men. Ent­spre­chende Maß­nahme-Check­lis­ten hel­fen bereits, Sicher­heits­lü­cken zu ver­mei­den. Eine Kom­bi­na­tion aus Erken­nungs­tech­ni­ken bewahrt Unter­neh­men anschlie­ßend vor grö­ße­rem Scha­den.

Es liegt damit auch durch­aus in Ihrem Inter­esse, sich der Sache anzu­neh­men.