ransomware_lock_cybercrime_encryption-25.jpg

Ransomware: Werkzeug der Cyber-Erpresser

Bedrohungslage

Ransomware: Werkzeug der Cyber-Erpresser

Erpressungen durch unbekannte Cyberkriminelle sind eine akute Gefahr für Unternehmen jeder Größe. Aber auch vor Verwaltungen und Regierungsorganen machen die Hacker keinen Halt. Einen zuverlässigen Schutz vor der allgegenwärtigen Gefahr durch etwa Ransomware bietet nur ein umfassender Ansatz an die IT-Sicherheit.

Was ist Ransomware?

Ransomware gehören zu den Schadprogrammen (Malware), mit deren Hilfe sich Kriminelle Zugang zu Daten oder ganzen Netzwerken verschaffen mit dem Ziel, den Zugriff und die Nutzung zu blockieren. Entweder werden die betroffenen Daten verschlüsselt oder in einen passwortgeschützten Bereich verschoben, um anschließend Lösegeld zu erpressen. 

Das Wort Ransomware ist ein Kofferwort aus den Begriffen Ransom (deutsch: Lösegeld) und Software. Oftmals fordern die Kriminellen Lösegeldzahlungen in Form von Kryptowährungen wie Bitcoin, um ihre digitalen Spuren zu verschleiern. Das Problem für die Opfer der Cyber-Erpressung: Trotz erfolgter Zahlung der geforderten Geldsumme besteht keine Garantie, dass die Täter den Zugriff wiederherstellen. Straftaten, die mithilfe von Ransomware begangen werden, zählen zur Internetkriminalität (Cybercrime).

Welche Ransomware-Typen gibt es?

Die eine Definition für Ransomware gibt es nicht, denn individuelle Varianten können sich stark in ihrer Komplexität von einander abheben. Grundsätzlich unterscheidet man aber diese zwei typischen Arten von Ransomware.

Zugriffssperre

In den meisten Fällen steckt eine wenig komplexe Technologie hinter dem Erpressungsversuch. Das bedeutet, dass die Daten nicht etwa verschlüsselt werden, sondern das Schadprogramm ein digitales Schloss vorschiebt, das den weiteren Zugriff unmöglich macht. Auch ohne Freigabe durch die Täter ist die Überwindung der Zugriffssperre für IT-Spezialisten in manchen Fällen möglich. 

Üblich ist bei solchen Attacken außerdem, dass die Täter vorgeben, von einer Sicherheitsbehörde zu sein. Mit Logos und förmlich klingenden Ansprachen soll so der Anschein erweckt werden, dass die feindliche Übernahme rechtens ist. Ein Beispiel sind die sogenannten GVU- und BKA-Trojaner. Mit etwas Pech gehen die Betroffenen den Tätern also gleich doppelt auf den Leim: Sie erkennen die Sperrung nicht als kriminellen Akt, zahlen ein „Strafgeld“ und melden den scheinbar legitimen Vorgang nicht der Polizei. 

Verschlüsselung

Die „professionelleren” Varianten von Ransomware-Attacken bedienen sich einer tatsächlichen Verschlüsselung der Daten innerhalb der gekaperten Netzwerke. Man spricht deshalb auch von Krypto-Ransomware. Diese Art von Schadprogramm ist in der Regel gefährlicher, da die Entschlüsselung entweder viel komplexer oder sogar unmöglich ist. Im schlimmsten Fall sind die Daten also verloren, wenn die Täter der versprochenen Freigabe nach der Lösegeldzahlung nicht nachkommen. 

Bekannte Beispiele für Ransomware

  • UmbreCrypt
  • Ryuk
  • WannaCry
  • GandCrab

Wie gelangt Ransomware in ein System?

Den Zugang zu Netzwerken findet die Erpresser-Software meist über infizierte Datei-Anhänge oder durch den Klick auf einen scheinbar harmlosen Link in E-Mails, die einen Download starten. Einmal im System, laden Downloader im Hintergrund die nötigen Schadprogramme auf den Computer nach, die sich auf die Suche nach Schwachstellen begeben (exploit). Das Tückische ist wie bei vielen Malware-Arten, dass sie sich über einen einzelnen infizierten Rechner Zugang zu einem gesamten Netzwerk verschaffen können. Schwachstellen im Kleinen haben so oft eine fatale Auswirkung auf das Große. Besonders gefährlich ist Ransomware, die in der Lage ist, vorhandene System-Backups zu löschen

Wie sollten Betroffene auf eine Ransomware-Attacke reagieren?

  1. Lösegeldforderung ignorieren
  2. Ransomware-Attacke der zuständigen Polizeibehörde (Landeskriminalamt) melden
  3. Unterstützung suchen z. B. bei nomoreransom.org
  4. Mögliche Handlungsoptionen prüfen: z. B. Wiederherstellung durch Backups, Durchbrechen der Passwort-Schranke mithilfe von Entschlüsselungstools

Die Polizei rät im Regelfall dazu, nicht auf die Erpressungsversuche zu reagieren. Der Grund: Auch wenn sich Unternehmen oder Behörden auf den Deal einlassen, kommen die Täter häufig nicht der Freigabe bzw. Entschlüsselung nach. Das heißt, das Problem bleibt für die Ransomware-Opfer weiterhin bestehen – abgesehen vom finanziellen Schaden. Das Cybercrime Bundeslagebild 2018 des Bundeskriminalamtes nennt einen weiteren wichtigen Punkt, der gegen die Lösegeldzahlung spricht: Wer zahlt, unterstützt damit ein wachsendes kriminelles Geschäftsmodell. Da viele Attacken als Dienstleistung (Cybercrime as a Service) angeboten werden, motiviert jede erfolgreiche Erpressung den Ausbau des Marktes für Ransomware.

In der Regel wählen die Cyber-Kriminellen die Höhe der geforderten Lösegeldsumme strategisch klug. Sie setzen eine Summe fest, die das Opfer mit großer Wahrscheinlichkeit finanziell stemmen kann. So ist der Anreiz groß, sich das Problem durch eine schnelle Zahlung vom Hals zu schaffen – ohne die Strafverfolgungsbehörden oder teure IT-Experten einbinden zu müssen. Genau das ist Ziel der Täter.

Lösegeldzahlungen nach US-amerikanischem Recht strafbar

Opfer einer Ransomware-Attacke haben häufig den Impuls, die geforderte Summe einfach zu bezahlen. Dies könnte aber für Unternehmen böse ausgehen – vorausgesetzt sie unterliegen dem US-amerikanischen Recht. Im Oktober 2020 warnte das US-Finanzministerium davor, dass Betroffene sich so selbst strafbar machen könnten. Gleiches gilt für beteiligte Dritte wie Finanzinstitute, Cyber-Versicherungsgesellschaften und Unternehmen, die in der digitalen Forensik und der Vorfallsreaktion tätig sind.

Die Strafandrohung ist nicht allein auf auf die Zahlung von Lösegeld bie Festplattenverschlüsselungen beschränkt, sondern kann von den Behörden auf jedwege Erpressungszahlung angewendet werden, etwa im Fall von DDoS-Erpressung.

Was sind DDoS-Attacken

Hohe Geld- und Freiheitsstrafen möglich

Grundsätzlich setzen Lösegeldzahlungen ab sofort eine Genehmigung des Office of Foreign Assets Control (OFAC) voraus. Hintergrund für die Kriminalisierung der Opfer ist die Tatsache, dass die Geldsummen häufig an Personen oder Staaten fließen, gegen die bereits Sanktionen oder Embargos ausgesprochen wurden. Darunter fallen zum Beispiel Syrien, Nordkorea, Iran, Kuba oder die Krim sowie bekannte Urheber der Ransomware Cryptolocker, SamSam, WannaCry und Dridex. 

„Lösegeldzahlungen, die an sanktionierte Personen oder an umfassend sanktionierte Rechtssysteme geleistet werden, könnten zur Finanzierung von Aktivitäten verwendet werden, die den Zielen der nationalen Sicherheit und der Außenpolitik der Vereinigten Staaten zuwiderlaufen. Lösegeldzahlungen können auch Cyber-Akteure ermutigen, sich an künftigen Angriffen zu beteiligen“, begründet das US Department of Treasury die neuen Vorgaben in seinem neuen Ratgeber Advisory on Potenial Sanctions Risks for Facilating Ransomware Payments

Bei Missachtung der Sanktionen drohen neben heftigen Strafgeldern auch hohe Freiheitsstrafen. Wer allerdings einen Erpressungsversuch zur Anzeige bringt, bevor eine rechtswidrige Lösegeldzahlung erfolgt, kann auf eine deutliche Strafmilderung hoffen. Dies setzt allerdings eine „selbständige, zeitnahe und vollständige Meldung“ des Vorfalls voraus. 

Wer steckt hinter Ransomware-Angriffen?

Das Angebot von „Ransomware-Komplettlösungen“ ermöglicht es mehr und mehr Kriminellen, die selbst keinen fundierten IT-Kenntnisse besitzen, die Erpressermasche einzusetzen. Wer sich auf die Suche nach solchen Angeboten begibt, muss mittlerweile nicht mehr bis ins Darknet verstoßen. Leider sind auch im öffentlich zugänglichen Internet (Clearnet) Quellcodes mit passender Anleitung zu finden, zum Beispiel auf der Developer-Plattform GitHub.

Nicht selten verlagern sich persönliche Konflikte ins Internet, indem Cyber-Kriminelle engagiert werden. Unter dem Stichwort Cybercrime as a Service sind solche Programme und Anleitungen online für jedermann zugänglich, der die einschlägigen Marktplätze findet. Die Entlohnung der Dienstleistung erfolgt häufig nach dem Prinzip, dass das erpresste Lösegeld anteilig an den Malware-Verkäufer geht. Das BKA beschreibt sogar ein etabliertes Affiliate System, nach dem mehrere Tätergruppen an der Beute beteiligt werden: Programmierer, Operatoren und Crypter.

Strafverfolgung

Die Angriffe verstoßen in Deutschland gegen das Strafrecht und werden nach § 253 (Erpressung) und § 303b (Computersabotage) des Strafgesetzbuches geahndet. 

Ransomware und ihre Verbreitung

Laut Cybercrime Bundeslagebild sind vermehrt KMUs im Kreuzfeuer der Cyber-Erpresser geraten. Dies kann damit zusammenhängen, dass ihre IT-Sicherheit häufig weniger ausgereift und damit anfälliger ist als die der Großunternehmen. Angriffe auf kleinere Firmen haben weiterhin den Vorteil, dass sie weniger medienwirksam sind. Gleichzeitig ist der Zugang zum nötigen IT-Know-how für eine Abwehr geringer. Besonders gefährdet für jegliche Art von Cyber-Attacke sind die Betreiber Kritischer Infrastrukturen (KRITIS). Aus diesem Grund gelten für sie gesonderte gesetzliche Anforderungen an die IT-Sicherheit.

Corona-Pandemie erhöht Risiken für KMU

Ransomware-Attacken erleben in der Corona-Pandemie einen großen Aufschwung, der sich auch in Deutschland seit März 2020 bemerkbar macht. Die Gefahr geht dabei nicht mehr nur für Großunternehmen, sondern verstärkt für kleine und mittlere Unternehmen aus. Diese sind in Bezug auf IT-Sicherheit oft schlechter aufgestellt. Damit sind lange Ausfälle oder existenzbedrohliche Schäden wahrscheinlicher. Der Anreiz, die geforderte Summe stillschweigend zu zahlen, könnte aus diesen Gründen noch stärker als bei cyber-resilienten Unternehmen sein.

Strategische Angriffe nehmen zu

Anstatt infizierte Mails und Dateien breit zu streuen, wählen Kriminelle ihre Opfer immer öfter sehr bedacht aus und nutzen komplexere Schadprogramme. Diese Entwicklung bestätigt, dass das Geschäft mit der Cyber-Erpressung von Profis betrieben wird und so rentabel ist, dass sie auch höhere Strafen in Kauf nehmen.

Ein Trend, den laut BKA mehrere Studien beobachtet haben, ist der Rückgang der Gesamtzahl der verzeichneten Ransomware-Fälle. Allerdings ist gleichzeitig eine Spezialisierung zu verzeichnen, die zurecht Besorgnis auslöst. In der 2019er Ausgabe des Cybercrime Bundeslagebilds warnt die Behörde vor einem neuen Modus Operandi: Double Extortion (doppelte Erpressung). Bevor die eigentliche Verschlüsselung und Lösegeldforderung geschieht, werden sensible Informationen aus dem geschäftlichen und privaten Bereich einer oder mehrerer Zielpersonen ausgespäht. Erst danach folgt die eigentliche Ransomware-Attacke. Dabei drohen Täter mit einer höchst öffentlichen Bloßstellung ihrer Opfer und erhöhen so den Druck, das Lösegeld möglichst stillschweigend zu zahlen. 

Deutschland ist ein beliebtes Ziel

Eine globale Studie zu Cybersecurity von Sophos zeigt, dass deutsche Unternehmen überdurchschnittlich oft von Ransomware befallen werden. Knapp jeder dritte (30 %) der befragten deutschen IT-Verantwortlichen berichteten, dass sie Opfer einer Erpresser-Attacke wurden. Gleichzeitig geht aus der internationalen Betrachtung die E-Mail als IT-Schwachstelle Nummer 1 hervor (33%). Doch nicht nur Unternehmen haben mit der wachsenden Bedrohung von Erpresser-Attacken zu kämpfen, sondern auch Privatpersonen gehören zu den Opfern. Das Ziel ist die Verschlüsselung persönlicher Bilder und Dokumente. 

Städte und Versorger geraten unter Beschuss

Die Profitgier der Täter spiegelt sich in ihren Zielen wider. Immer wieder werden ganze Städte durch Attacken lahmgelegt: Im Juli 2019 wurde die Stadt Lake City im US-Bundesstaat Florida angegriffen und zahlte nach einem 14-tägigen administrativen Totalausfall eine halbe Million US-Dollar an ihre Erpresser. Im selben Monat wurde City Power, der Elektrizitätsversorger der südafrikanischen Großstadt Johannisburg, Opfer von Ransomware. Die Attacke hatte weitreichende Konsequenzen für die Stromversorgung der Großstadt. 

Auch 2020 reißt die Welle der prominenten Attacken nicht ab: Im Februar wurde ein US-Amerikanischer Gaspipeline-Betreiber attackiert, der in der Presse allerdings nicht namentlich genannt wurde. Dennoch ist bekannt, dass das Unternehmen gezwungen war, seine Anlagen zwei Tage abzuschalten. Auch in diesem Fall war eine E-Mail der Eintrittspunkt für die Schadsoftware. 

Weiterhin wurde die Universitätsklinik Düsseldorf Opfer einer tückischen Ransomware-Attacke namens DoppelPaymer. Vermutlich wurde die schädliche Software schon im Vorjahr eingeschleust und der Angriff monatelang vorbereitet. Die eigentliche Verschlüsselung fand erst am 10. September 2020 statt. Ohne den nötigen Zugriff auf das Computersystem musste der Klinikbetrieb für zwei Wochen eingeschränkt werden. Laut Justizministerium führt die Fährte zu einer russischen Hacker-Gruppe.

Nur etwa einen Monat später meldet das Darmstädter Unternehmen Software AG einen weiteren Fall: Die Täter forderten eine Rekordsumme von 20 Millionen US-Dollar und veröffentlichten gestohlene Daten online, nachdem Verhandlungen gescheitert waren. Weitere aktuelle Fälle können Sie in unserem Nachrichten-Überblick zu Datenklau nachlesen.


Quellen: 

  • Banking & Financial Services Cyber Threat Landscape Report, Intsights, April 2019, S. 7
  • Cybercrime, Bundeslagebild 2018, BKA, November 2019, S. 11, 22, 24-27
  • Cybercrime, Bundeslagebild 2019, BKA, September 2020, S. 21f
  • The Impossible Puzzle of Cybersecurity, Sophos, Juni 2019