Stellt euch vor, ihr habt eine umfangreiche Bibliothek mit wertvollen Büchern angelegt. Plötzlich entführt ein Unbekannter diese Bücher und ihr habt keinen Zugriff mehr. Doch damit nicht genug: Der Entführer hat eure Bücher in eine geheime und unbekannte Sprache übersetzt, die nur er versteht. Um Ihre Bücher zurückzubekommen, müsst Ihr ein Lösegeld bezahlen, damit der Entführer Ihnen die Übersetzung und den Zugriff zur Verfügung stellt.
Obwohl diese Art der Erpressung in der analogen Welt weit hergeholt und umständlich wirkt, so ist sie im digitalen Raum jährlich millionenfache Realität. Die Bücher sind dabei nicht selten sensible Informationen und Geschäftsdaten. Ziel sind sowohl Unternehmen als auch Freelancer und Privatpersonen. Das Werkzeug für diese Erpressungen: Ransomware.
Was ist Ransomware?
Ransomware ist eine Art von Schadsoftware, welche die Dateien eines Computers oder sogar eines ganzen Netzwerkes verschlüsselt und den Zugriff darauf sperrt. Der Begriff „Ransom“ stammt aus dem Englischen und bedeutet „Lösegeld“. Vom Benutzer oder der Organisation wird ein Lösegeld gefordert. Bei Zahlung wird der Zugriff auf die verschlüsselten Daten wiederhergestellt. Diese Art von Cyberangriff richtet sich oft gezielt gegen Institutionen wie Unternehmen, Hochschulen und sogar Krankenhäuser. Die Angreifer zielen allerdings oft auch auf Kleinunternehmer und Freelancer ab. Für die Opfer kann das Ausmaß des Schadens enorm sein, nicht nur finanziell durch die Lösegeldforderung, sondern auch durch den Verlust kritischer Daten und den Betriebsausfall.
Ablauf bei Ransomware-Befall
Ansteckung
Ähnlich wie bei anderer Schadsoftware, ist die Ansteckung auf viele Arten möglich.
Ein Opfer kann beispielsweise durch eine Phishing-E-Mail dazu gebracht werden, sich das schädliche Programm selbst herunterzuladen. Dies kann als E-Mail-Anhang geschehen oder durch einen Link zu einer dubiosen Webseite. So können selbst gängige Dateiformate wie PDFs und Microsoft Word-Dokumente dazu missbraucht werden. Diese Methode der Verbreitung ist mit 45%, laut der Cyber Resilient Organization Study 2021 vom IBM, die größte Ursache von Ransomwarebefall.
Angreifer können Berechtigungsnachweise entwenden, die den direkten Zugriff auf das attackierte System gewähren. Sie können dies durch Social Engineering – Methoden tun, bei denen sie menschliche Interaktionen ausnutzen, um vertrauliche Informationen zu erhalten – oder durch Brute-Force-Attacken, bei denen sie alle möglichen Kombinationen ausprobieren, um ein Passwort zu erraten. So wurde das eigens von Microsoft entwickelte Protokoll für die Fernverwaltung eines Computers namens Remote Desktop Protocol (RDP) für den Diebstahl dieser Nachweise missbraucht. Solche Nachweise werden auch im Dark-Web gekauft.
Schwachstellen im Betriebssystem und in anderen Anwendungen sind ebenfalls eine Möglichkeit zur Übertragung der Schadsoftware. Insbesondere unbekannte und ungepatchte Schwachstellen sind dabei ein beliebtes Einfallstor. Cyberkriminelle teilen gelegentlich das Wissen von der Existenz dieser Schwachstellen. Wenn bereits andere Malware vorhanden ist, können die Täter die Ransomware zusätzlich auf das System laden.
Funktionsweise
Wenn Angreifer Zugriff auf ein System erlangen, durchlaufen sie in der Regel verschiedene Schritte, um ihren Angriff durchzuführen. Zuerst scannen sie das System gründlich, um sich einen Überblick über alle kritischen Daten und mögliche weitere Schwachstellen zu verschaffen. Diese Daten können persönliche Informationen, Geschäftsgeheimnisse oder andere wertvolle Dateien beinhalten. Im nächsten Schritt verschlüsseln sie diese Dateien, um sie für den Benutzer unzugänglich zu machen. In einigen Fällen deaktivieren sie auch Back-Up-Funktionen, um eine Wiederherstellung der Daten zu verhindern.
Ziel
Nachdem man die Dateien verschlüsselt hat, übermittelt man dem Opfer eine Lösegeldforderung. Dies geschieht häufig in der Form eines Pop-Ups. Die Angreifer fordern das Opfer auf, ein Lösegeld zu zahlen, damit dieses wieder Zugriff auf seine Daten bekommt. Bevorzugt wird die Zahlung durch Kryptowährungen wie z.B. Bitcoin, um die Identität der Angreifer vor insbesondere Ermittlungsbehörden zu verbergen.
Arten von Ransomware
In der Praxis gibt es viele verschiedene Varianten von Ransomware, meist mit unterschiedlicher Zielsetzung und unterschiedlichen Methoden.
So setzt Scareware Opfer durch (häufig unbegründete) Behauptungen unter Druck, um Geld zu erpressen. Beispielsweise könnte eine solche Software vorgeben, Nutzeraktivitäten bei sensiblen Handlungen aufgezeichnet zu haben und drohen, entsprechende Aufnahmen in sozialen Netzwerken zu teilen, falls nicht gezahlt wird. Ein weiteres Szenario könnte sein, dass der Angreifer sich als staatliche Institution ausgibt und behauptet, von nicht entrichteten Steuern zu wissen, verbunden mit der Drohung von Geldbußen und weiteren Konsequenzen. Diese Methoden setzen oftmals auf einen engen Zeitrahmen. Somit wird das Opfer zu einer hastigen Entscheidung gedrängt und es wird auch wenig Raum für Rationale Überlegungen gewährt.
Leakware agiert, indem sie vertrauliche Informationen aufspürt und dann mit deren Veröffentlichung droht. Oft sind Unternehmen wie Anwaltsbüros, medizinische Einrichtungen und Firmen mit wertvollen Geschäftsgeheimnissen die Hauptziele solcher Attacken. Es ist nicht unüblich, dass Betreiber von Leakware im Dark Web Plattformen unterhalten, auf denen sie die erbeuteten Daten zur Verfügung stellen und Dritten den Download ermöglichen.
Wiper– oder zerstörerische Ransomware droht damit, Daten zu vernichten, wenn kein Lösegeld gezahlt wird. Einige Varianten dieser Ransomware zerstören die Daten sogar trotz Lösegeldzahlung. Experten nehmen an, dass nicht herkömmliche Cyberkriminelle, sondern staatliche Akteure oder Hacktivisten diese zerstörerische Form verwenden.
Beispiele von Ransomware-Befall
Von 2013 bis 2014 gab es eine Cyberattacke namens CryptoLocker. Diese Ransomware verschlüsselte die Dateien der Opfer und verlangte dann ein Lösegeld, entweder in Bitcoin oder in Form von Gutscheinen. Aufgrund der hohen Verschlüsselungsstärke sahen viele Experten die Zahlung des Lösegelds oft als die einzige Möglichkeit, obwohl es keine Garantie für eine Entschlüsselung gab. Die Verbreitung erfolgte vorwiegend über infizierte E-Mails und ein Botnetzwerk mit dem Namen Gameover ZeuS. In einer koordinierten Sicherheitsaktion neutralisierten Experten 2014 CryptoLocker. Sie stellten ein Tool zur Dateiwiederherstellung bereit. Experten schätzen, dass die Angreifer mit CryptoLocker etwa 3 Millionen US-Dollar erpresst haben.
WannaCry ist eine schädliche Crypto-Ransomware, die Daten auf Windows-Systemen verschlüsselt und Lösegeld in Bitcoin fordert. Im Mai 2017 verbreitete sich diese Ransomware rasch weltweit und infizierte Hunderttausende von Computern. Sie nutzte eine Schwachstelle in Windows namens „EternalBlue“, die die NSA ursprünglich entdeckte und die eine Hackergruppe veröffentlichte. Obwohl Microsoft einen Schutz-Patch herausgebracht hatte, waren viele Systeme nicht aktualisiert und somit anfällig. Die Täter drohten den Opfern, ihre Daten dauerhaft zu löschen, wenn sie nicht zahlten, doch viele bekamen ihre Daten selbst nach Zahlung nicht zurück. Der Angriff führte zu massiven Störungen, insbesondere im britischen Gesundheitssystem (NHS), und verursachte Schäden in Höhe von geschätzten 4 Milliarden US-Dollar.
Wie schütze ich mich davor?
Prävention
Für die Prävention von Ransomware-Angriffen ist es unerlässlich, regelmäßig Back-ups wichtiger Daten zu erstellen. Zusätzlich sollten diese Back-ups von dem primären Netzwerk getrennt werden, um eine gleichzeitige Infektion zu verhindern. Genauso wichtig ist das Aufspielen regelmäßiger Sicherheitsupdates. Wenn man bekannte Schwachstellen schließt, reduziert man das Risiko einer Infektion durch Ransomware erheblich.
Die Verwendung von Sicherheitstools, einschließlich eines zuverlässigen Anti-Malware-Schutzes und einer Firewall, erhöhen die Chance, viele Ransomware-Angriffe von vornherein abzuwehren.
Da die menschliche Komponente jedoch meist Ursachen für den Befall mit Ransomware ist, sind Schulungen ebenso ein essenzieller Aspekt der Prävention. Das Bewusstsein für Phishing-Versuche zu schärfen und Mitarbeiter in der Erkennung potenziell schädlicher Inhalte zu schulen, kann den Unterschied ausmachen zwischen einem sicheren System und einem kompromittierten.
Weitere Tipps zur Prävention findet Ihr unteranderem auf der Webseite der Initative „No More Ransom“, ein Zusammenschluss von IT-Sicherheitsunternehmen und verschiedener Behörden wie z.B. Europol. Auch das Bundesamt für Sicherheit in der Informationstechnik hat eine Top 10 der Maßnahmen gegen einen Ransomware-Angriff zusammengestellt.
Verhalten bei Infektion
Sollte es dennoch zu einer Infektion kommen, ist schnelles Handeln erforderlich. Man sollte das infizierte System sofort vom Netzwerk isolieren, um die Ausbreitung der Ransomware zu verhindern. Obwohl man instinktiv das System herunterfahren möchte, sollte es in Betrieb bleiben. Der RAM-Speicher kann wertvolle Informationen für eine spätere forensische Analyse enthalten. Schließlich ist es wichtig, die Infektion bei den zuständigen Behörden zu melden und Experten für eine gründliche Untersuchung und mögliche Datenrettung hinzuzuziehen.
Es wird empfohlen, keinesfalls das Lösegeld der Erpresser zu bezahlen, denn einerseits gibt es keine Garantie, dass die Daten von Seiten der Angreifer entschlüsselt werden, und anderseits finanziert man somit diese Form der Cyberkriminalität und steigert die Attraktivität weiterer Attacken. Trotzdem ist die Zahlung des Lösegelds nicht unüblich, laut einer 2021 durchgeführten IBM-Studie, zahlten 61% der betroffenen Unternehmen in den zwei Jahren vor der Studie ein Lösegeld.
Opfer von Ransomware können unteranderem auch ein Tool namens „Crypto Sheriff“ der Initiative „No More Ransom“ verwenden, um die Ransomware zu identifizieren und zu prüfen, ob eine verfügbare Entschlüsselungslösung bereits vorhanden ist.
Die Rolle von KI
Bisher konnten Verteidiger KI und maschinelles Lernen nutzen, um ihre Prozesse zu automatisieren, insbesondere bei der Erkennung und Reaktion auf Angriffe. Dies gab ihnen einen Vorteil gegenüber Cyberkriminellen, die bisher nicht über die notwendige KI-Expertise verfügten.
Doch angesichts des enormen Reichtums, den Ransomware-Banden wie Conti in den letzten Jahren angehäuft haben, könnte sich dies bald ändern. Diese Banden könnten in den nächsten Jahren KI-Experten anwerben, um ihre Angriffe zu automatisieren. Dies würde die Landschaft der Cyberkriminalität erheblich verändern, da automatisierte Angriffe in größerem Umfang und gegen eine breitere Zielgruppe durchgeführt werden könnten.
Einige Experten sind jedoch skeptisch, ob Ransomware-Gruppen diesen Schritt tatsächlich gehen werden, da sie bereits sehr erfolgreich sind. Dennoch erwarten viele, dass der Einstieg in das KI-Feld in den kommenden Jahren einfacher wird, was das Bedrohungspotenzial weiter erhöhen könnte.
Image via Adobe Stock by zephyr_p
Artikel per E-Mail verschicken