Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Ransomware: Werkzeug der Cyber-Erpresser

14.04.2020        Bedrohungslage
Ransomware: Werkzeug der Cyber-Erpresser
Shutterstock ID 544292380

Erpressungen durch unbekannte Cyberkriminelle sind eine akute Gefahr für Unternehmen jeder Größe. Aber auch vor Verwaltungen und Regierungsorganen machen die Hacker keinen Halt. Einen zuverlässigen Schutz vor der allgegenwärtigen Gefahr durch etwa Ransomware bietet nur ein umfassender Ansatz an die IT-Sicherheit.

Was ist Ransomware?

Ransomware gehören zu den Schadprogrammen (Malware), mit deren Hilfe sich Kriminelle Zugang zu Daten oder ganzen Netzwerken verschaffen mit dem Ziel, den Zugriff und die Nutzung zu blockieren. Entweder werden die betroffenen Daten verschlüsselt oder in einen passwortgeschützten Bereich verschoben, um anschließend Lösegeld zu erpressen. 

Das Wort Ransomware ist ein Kofferwort aus den Begriffen Ransom (deutsch: Lösegeld) und Software. Oftmals fordern die Kriminellen Lösegeldzahlungen in Form von Kryptowährungen wie Bitcoin, um ihre digitalen Spuren zu verschleiern. Das Problem für die Opfer der Cyber-Erpressung: Trotz erfolgter Zahlung der geforderten Geldsumme besteht keine Garantie, dass die Täter den Zugriff wiederherstellen. Straftaten, die mithilfe von Ransomware begangen werden, zählen zur Internetkriminalität (Cybercrime).

Welche Ransomware-Typen gibt es?

Die eine Definition für Ransomware gibt es nicht, denn individuelle Varianten können sich stark in ihrer Komplexität von einander abheben. Grundsätzlich unterscheidet man aber diese zwei typischen Arten von Ransomware.

Zugriffssperre

In den meisten Fällen steckt eine wenig komplexe Technologie hinter dem Erpressungsversuch. Das bedeutet, dass die Daten nicht etwa verschlüsselt werden, sondern das Schadprogramm ein digitales Schloss vorschiebt, das den weiteren Zugriff unmöglich macht. Auch ohne Freigabe durch die Täter ist die Überwindung der Zugriffssperre für IT-Spezialisten in manchen Fällen möglich. 

Üblich ist bei solchen Attacken außerdem, dass die Täter vorgeben, von einer Sicherheitsbehörde zu sein. Mit Logos und förmlich klingenden Ansprachen soll so der Anschein erweckt werden, dass die feindliche Übernahme rechtens ist. Ein Beispiel sind die sogenannten GVU- und BKA-Trojaner. Mit etwas Pech gehen die Betroffenen den Tätern also gleich doppelt auf den Leim: Sie erkennen die Sperrung nicht als kriminellen Akt, zahlen ein „Strafgeld“ und melden den scheinbar legitimen Vorgang nicht der Polizei. 

Verschlüsselung

Die „professionelleren” Varianten von Ransomware-Attacken bedienen sich einer tatsächlichen Verschlüsselung der Daten innerhalb der gekaperten Netzwerke. Man spricht deshalb auch von Krypto-Ransomware. Diese Art von Schadprogramm ist in der Regel gefährlicher, da die Entschlüsselung entweder viel komplexer oder sogar unmöglich ist. Im schlimmsten Fall sind die Daten also verloren, wenn die Täter der versprochenen Freigabe nach der Lösegeldzahlung nicht nachkommen. 

Bekannte Beispiele für Ransomware

  • UmbreCrypt
  • Ryuk
  • WannaCry
  • GandCrab

Wie gelangt Ransomware in ein System?

Den Zugang zu Netzwerken findet die Erpresser-Software meist über infizierte Datei-Anhänge oder durch den Klick auf einen scheinbar harmlosen Link in E-Mails, die einen Download starten. Einmal im System, laden Downloader im Hintergrund die nötigen Schadprogramme auf den Computer nach, die sich auf die Suche nach Schwachstellen begeben (exploit). Das Tückische ist wie bei vielen Malware-Arten, dass sie sich über einen einzelnen infizierten Rechner Zugang zu einem gesamten Netzwerk verschaffen können. Schwachstellen im Kleinen haben so oft eine fatale Auswirkung auf das Große. Besonders gefährlich ist Ransomware, die in der Lage ist, vorhandene System-Backups zu löschen

Wie sollten Betroffene auf eine Ransomware-Attacke reagieren?

  1. Lösegeldforderung ignorieren
  2. Ransomware-Attacke der zuständigen Polizeibehörde (Landeskriminalamt) melden
  3. Unterstützung suchen z. B. bei nomoreransom.org
  4. Mögliche Handlungsoptionen prüfen: z. B. Wiederherstellung durch Backups, Durchbrechen der Passwort-Schranke mithilfe von Entschlüsselungstools

Die Polizei rät im Regelfall dazu, nicht auf die Erpressungsversuche zu reagieren. Der Grund: Auch wenn sich Unternehmen oder Behörden auf den Deal einlassen, kommen die Täter häufig nicht der Freigabe bzw. Entschlüsselung nach. Das heißt, das Problem bleibt für die Ransomware-Opfer weiterhin bestehen – abgesehen vom finanziellen Schaden. Das Cybercrime Bundeslagebild 2018 des Bundeskriminalamtes nennt einen weiteren wichtigen Punkt, der gegen die Lösegeldzahlung spricht: Wer zahlt, unterstützt damit ein wachsendes kriminelles Geschäftsmodell. Da viele Attacken als Dienstleistung (Cybercrime as a Service) angeboten werden, motiviert jede erfolgreiche Erpressung den Ausbau des Marktes für Ransomware.

In der Regel wählen die Cyber-Kriminellen die Höhe der geforderten Lösegeldsumme strategisch klug. Sie setzen eine Summe fest, die das Opfer mit großer Wahrscheinlichkeit finanziell stemmen kann. So ist der Anreiz groß, sich das Problem durch eine schnelle Zahlung vom Hals zu schaffen – ohne die Strafverfolgungsbehörden oder teure IT-Experten einbinden zu müssen. Genau das ist Ziel der Täter.

Wer steckt hinter Ransomware-Angriffen?

Das Angebot von „Ransomware-Komplettlösungen" ermöglicht es mehr und mehr Kriminellen, die selbst keinen fundierten IT-Kenntnisse besitzen, die Erpressermasche einzusetzen. Wer sich auf die Suche nach solchen Angeboten begibt, muss mittlerweile nicht mehr bis ins Darknet verstoßen. Leider sind auch im öffentlich zugänglichen Internet (Clearnet) Quellcodes mit passender Anleitung zu finden, zum Beispiel auf der Developer-Plattform GitHub.

Nicht selten verlagern sich persönliche Konflikte ins Internet, indem Cyber-Kriminelle engagiert werden. Unter dem Stichwort Cybercrime as a Service sind solche Programme und Anleitungen online für jedermann zugänglich, der die einschlägigen Marktplätze findet. Die Entlohnung der Dienstleistung erfolgt häufig nach dem Prinzip, dass das erpresste Lösegeld anteilig an den Malware-Verkäufer geht. 

Strafverfolgung

Die Angriffe verstoßen in Deutschland gegen das Strafrecht und werden nach § 253 (Erpressung) und § 303b (Computersabotage) des Strafgesetzbuches geahndet. 

Weitere Daten zu Ransomware und ihrer Verbreitung

Laut Cybercrime Bundeslagebild sind vermehrt KMUs im Kreuzfeuer der Cyber-Erpresser geraten. Dies kann damit zusammenhängen, dass ihre IT-Sicherheit häufig weniger ausgereift und damit anfälliger ist als die der Großunternehmen. Angriffe auf kleinere Firmen haben weiterhin den Vorteil, dass sie weniger medienwirksam sind. Gleichzeitig ist der Zugang zum nötigen IT-Know-how für eine Abwehr geringer. Besonders gefährdet für jegliche Art von Cyber-Attacke sind die Betreiber Kritischer Infrastrukturen (KRITIS). Aus diesem Grund gelten für sie gesonderte gesetzliche Anforderungen an die IT-Sicherheit.

Strategische Angriffe nehmen zu

Ein Trend, den laut BKA mehrere Studien beobachtet haben, ist der Rückgang der Gesamtzahl der verzeichneten Ransomware-Fälle. Allerdings ist gleichzeitig eine Spezialisierung zu verzeichnen, die zurecht Besorgnis auslöst: 

„Die neue, harte Realität ist, dass die Angreifer mehr Zeit damit verbringen, Informationen über ihre Opfer zu sammeln, um ein Maximum an Störungen und Lösegeldern zu erzielen,” so kommentiert der 2020 Cyber Security Report von Check Point die aktuelle Lage (S. 14). 

Anstatt infizierte Mails und Dateien breit zu streuen, wählen Kriminelle ihre Opfer immer öfter sehr bedacht aus und nutzen komplexere Schadprogramme. Diese Entwicklung bestätigt, dass das Geschäft mit der Cyber-Erpressung von Profis betrieben wird und so rentabel ist, dass sie auch höhere Strafen in Kauf nehmen.

Deutschland ist ein beliebtes Ziel

Eine globale Studie zu Cybersecurity von Sophos zeigt, dass deutsche Unternehmen überdurchschnittlich oft von Ransomware befallen werden. Knapp jeder dritte (30 %) der befragten deutschen IT-Verantwortlichen berichteten, dass sie Opfer einer Erpresser-Attacke wurden. Gleichzeitig geht aus der internationalen Betrachtung die E-Mail als IT-Schwachstelle Nummer 1 hervor (33%). Doch nicht nur Unternehmen haben mit der wachsenden Bedrohung von Erpresser-Attacken zu kämpfen, sondern auch Privatpersonen gehören zu den Opfern. Das Ziel ist die Verschlüsselung persönlicher Bilder und Dokumente. 

Städte und Versorger geraten unter Beschuss

Die Profitgier der Täter spiegelt sich in ihren Zielen wider. Immer wieder werden ganze Städte durch Attacken lahmgelegt: Im Juli 2019 wurde die Stadt Lake City im US-Bundesstaat Florida angegriffen und zahlte nach einem 14-tägigen administrativen Totalausfall eine halbe Million US-Dollar an ihre Erpresser. Im selben Monat wurde City Power, der Elektrizitätsversorger der südafrikanischen Großstadt Johannisburg, Opfer von Ransomware. Die Attacke hatte weitreichende Konsequenzen für die Stromversorgung der Großstadt. 

Im Februar 2019 meldete die mexikanische CI Banco eine Cyber-Erpressung, die einen Totalausfall der Services verursachte, berichtet eine Intsights Studie

Auch 2020 reißt die Welle der prominenten Attacken nicht ab: Im Februar wurde ein US-Amerikanischer Gaspipeline-Betreiber attackiert, der in der Presse allerdings nicht namentlich genannt wurde. Dennoch ist bekannt, dass das Unternehmen gezwungen war, seine Anlagen zwei Tage abzuschalten. Auch in diesem Fall war eine E-Mail der Eintrittspunkt für die Schadsoftware. 



Quellen: 

  • Banking & Financial Services Cyber Threat Landscape Report, Intsights, April 2019, S. 7
  • Cybercrime, Bundeslagebild 2018, BKA, November 2019, S. 11, 22, 24-27
  • The Impossible Puzzle of Cybersecurity, Sophos, Juni 2019
  • 2020 Cyber Security Report, Check Point, Januar 2020, S. 10

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter