Ransomware

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Beispiel einer Nachricht nach erfolgreicher Attacke. Bild: Polizei Bayern

Bei Ransomware handelt es sich um Malware (Schadsoftware), mit deren Hilfe Cyberkriminelle versuchen, Lösegeld (engl. ransom) zu erpressen. Hierzu sperrt die Ransomware auf befallenen Rechnern den Zugang zum System oder zu Daten, indem es diese verschlüsselt oder Zugangsschutzmechanismen ändert oder neu einrichtet. Der Betroffene wird dann aufgefordert, Lösegeld für seine Daten/Systeme zu bezahlen, um wieder Zugriff zu erlangen.

Da auch bei erfolgter Zahlung keine Garantie für die Übersendung eines Zugriffspassworts oder die Freischaltung der Daten besteht und zudem die Lösegeldzahlung selbst in der Regel ein Risiko bedeutet (Preisgabe von persönlichen oder Kreditkarten-Informationen), wird zumeist davon abgeraten, sich auf die Forderungen einzulassen[1].

Ältere Ransomware war überwiegend schlicht programmiert und ihre Zugriffssperren ließen sich meist durch (oft kostenlose) Reparaturprogramme von Anti-Viren-Anbietern wieder entfernen. Wie andere Malware wird jedoch auch Ransomware mit zunehmender Professionalisierung der Angreifer ausgefeilter und nutzt zunehmend starke Verschlüsselung – auf eine problemlose Aufhebung der Sperren kann man daher heute nicht mehr bauen.

Neben den üblichen Mechanismen zur Systemsicherheit und Malware-Abwehr liegt die beste Vorsorge gegen die Folgen von Ransomware (und anderen Angriffen sowie "Datenunfällen") in einer umfassenden Backup-Strategie, die den Zugriff auf wichtige Daten auch bei Nichtverfügbarkeit des verarbeitenden Systems gewährleistet.

Verbreitung

Nach Beobachtungen des Sicherheitsanbieters Kaspersky Lab war 2014 nach vorübergehendem Rückgang ein "wahres Revival cyberkrimineller Verschlüsselungsprogramme" festzustellen[2].


Häufig auftretende Schadprogramme

Die Ransomware "ZeroLocker" verschlüsselt nahezu alle Dateien auf dem infizierten Rechner und fügt den chiffrierten Dateien die Erweiterung „encrypt“ („verschlüsselt“) hinzu. Die Cyberkriminellen hinter ZeroLocker verlangen zunächst eine Zahlung von 300 US-Dollar in Bitcoins für die Entschlüsselung der Dateien. Zahlt das Opfer nicht umgehend, so erhöht sich die Gebühr auf 500 und mit der Zeit dann auf 1.000 US-Dollar.

Das Programm "Onion" nutzt nicht nur das Anonymisierungsnetzwerk Tor, um Server zu verbergen, sondern unterstützt auch die vollständige Interaktion mit Tor. Onion verwendet zudem einen ansonsten unüblichen kryptographischen Algorithmus, der die Dateientschlüsselung fast unmöglich macht.

2014 wurden vermehrt Android-Anwender mit Ransomware-Programmen attackiert – unter anderem durch den Schädling "Svpeng". Das Programm blockiert das Smartphone unter dem Vorwand, sein Besitzer habe angeblich kinderpornografische Inhalte angesehen, und verlangt eine „Strafe“ von 500 US-Dollar, nach deren Zahlung das Mobiltelefon wieder entsperrt würde.

Ein anderer Trojaner mit dem Namen "Koler" verwendet denselben Ansatz: Er blockiert den Zugriff auf das Gerät und verlangt eine Lösegeldzahlung in Höhe von 100 bis 300 US-Dollar, damit das Smartphone entsperrt wird. Wie Svpeng versendet Koler diese Nachricht im Namen der Polizei. Koler greift Opfer in mehr als 30 Ländern weltweit an und verwendet dabei lokalisierte „Polizei“-Mitteilungen – auch in deutscher Sprache.

Im vergangenen Jahr tauchte auch der erste Dateiverschlüsseler unter Mac OS X auf – "Trojan-Ransom.OSX.FileCoder". Ein bedingt funktionierender Prototyp, dessen Autor allerdings beschlossen hat, den Schädling nicht weiterzuentwickeln.

Einer der bekanntesten Schädlinge überhaupt ist die Banking-Malware "ZeuS". Mit ZeuS kommt das Programm "Cryptolocker" zum Einsatz, das Dateien des Opfers verschlüsselt und ein Lösegeld verlangt, wenn der Banktrojaner ZeuS auf dem Opfer-PC keinen Erfolg hatte (http://blog.kaspersky.de/ransomware-ausbruch/3361/).

Mittlerweile gibt es auch Ransomware-as-a-Service.


Non-encrypting Ransomware

Neben Ransomware, die per Datenverschlüsselung Lösegeld erpressen will, gibt es auch noch andere Spielarten ohne Kryptotechnik-Einsatz. Beispielsweise werden pornografische Bilder angezeigt sowie der Bildschirm gesperrt und ggf. der Nutzer beschuldigt, (Kinder-)Pornografie aus dem Internet herunterzuladen. Auch werden nach Möglichkeit sensible Geschäftsinformationen gestohlen und den Opfern androht, diese im Internet zu veröffentlichen, falls man nicht auf die Forderungen eingeht (sogenannte Extortionware[3]).


Ransomware als Computerwurm

Twitter-Tweet mit infizierter Anzeigetafel der Deutschen Bahn

Mitte Mai 2017 wurde eine weltweit grassierende Ransomware WannaCry (WanaDecrypt0r 2.0) erkennbar. Als für jeden sichtbares Beispiel wurden auch die Anzeigetafeln der Deutschen Bahn infiziert. Innerhalb der ersten drei Tagen sollen schon mehr als 220.000 Computer in 150 Ländern befallen worden sein. Neu an WannaCry ist die Kombination aus Verschlüsselungstrojaner und Computerwurm (analog Conficker-Wurm)[4][5]. Das Patchen dieser Wurm-Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte eine Infektion verhindert.

Einige Wochen später wurde ein zweiter solchartiger weltweiter Angriff gestartet. Zunächst hieß es, das eine neue Version der älteren Schadsoftware Petya verwendet wurde, die zur Verbreitung die gleiche Schwachstelle wie im Fall WannaCry nutze. Allerdings benutzte die Malware in internen Netzen zusätzlich das gängige Administrationswerkzeug "PsExec" sowie weitere Methoden (z.B. Starten der Windows Management Instrumentation Commandline -WMIC- mittels vorheriges Erbeuten von Windows-Credentials) zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind[6]. Auch die Erstinfektion soll über ein Update-System der ukrainischen Steuersoftware M.E.Doc gelaufen sein. Die Software scheint die digitalen Signaturen ihrer Updates nur ungenügend zu prüfen, da das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen war. Damit war am härtesten zunächst die Ukraine betroffen, über deren wirtschaftlichen Kontakte wurde das Problem dann schnell international. Auf Grund der dagegen unprofessionellen Bezahlmöglichkeiten für Opfer (die schnell abgeschalten werden konnte) wird daher eher von einer politisch motivierte Attacke (sogenannten Wiper-Trojaner) ausgegangen, der Fall nun mit NotPetya oder NonPetya bezeichnet. Die Schäden gingen dann auch wirklich in die Millionen, allein das wohl am stärksten betroffene Unternehmen Maersk erwartet einen geschätzten Verlust von 200 Millionen bis 300 Millionen US-Dollar[7]. Auch Fedex hat Schäden bei der niederländischen Tochter TNT Express von 300 Millionen US-Dollar eingestanden[8].


Was kann man gegen "Ransomware" tun?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Themenpapier Ransomware mit wertvollen Hilfestellungen, Auswirkungen, vorbeugenden Maßnahmen und Vorfallsbehandlungen herausgegeben. Darin werden auch die seit Ende 2015 im Umlauf befindlichen neuen Varianten von Ransomware-Trojanern behandelt. Ausführliche Informationen zum Thema Ransomware auch im Lagedossier des BSI. Das Online-Portal bleib-Virenfrei.de pflegt eine Liste mit bekannten Ransomware-Varianten inkl. Entschlüsselungs-Tools. Im Portal NoMoreRansom.org finden sich ebenfalls nützliche Informationen über Ransomware, wie diese funktioniert, wie man sich davor schützt und wie verschlüsselte Dateien mit kostenfreien Tools wieder entschlüsselt werden können. Das Online-Portal ist auf Englisch, Französisch, Italienisch, Niederländisch, Russisch und Portugiesisch und nun auch Deutsch[9] verfügbar (https://www.nomoreransom.org/de/index.html). Weitere Sprachversionen sind in Arbeit.


Weblinks


Einzelnachweis

  1. SecuPedia Aktuell: Chimera Schadsoftware legt Unternehmen und Behörden lahm
  2. SecuPedia Aktuell: Die derzeit gefährlichsten Verschlüsselungsschädlinge
  3. SecuPedia Aktuell: Immer mehr Unternehmen Opfer von Ransomware-Attacken
  4. SecuPedia Aktuell: BSI zu den weltweiten Cyber-Sicherheitsvorfälle durch Ransomware
  5. SecuPedia Aktuell: WannaCry: Handlungsempfehlungen für Betroffene
  6. SecuPedia Aktuell: BSI und andere zu der neuen Ransomware-Welle
  7. "NotPetya: Maersk erwartet bis zu 300 Millionen Dollar Verlust" in heise.de/Security vom 16.August.2017
  8. "NotPetya: Auch Fedex kostet die Cyber-Attacke 300 Millionen US-Dollar" in heise.de/Security vom 22.September.2017
  9. SecuPedia Aktuell: NoMoreRansom.org ab sofort in deutscher Sprache verfügbar


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 22. September 2017 um 12:08 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Andreas Funke, Markus Albert und Redaktion <kes>.

Anzeigen