Die größten Hackerangriffe mit Erpressungstrojanern in den letzten fünf Jahren zeigen eindrucksvoll, wie sich Ransomware von der Netz-Kuriosität zum internationalen Unternehmensschreck entwickelt hat. [...]
Malware, die Ihre Daten als Geisel nimmt, gibt es schon seit vielen Jahren. Genauer gesagt seit mehr als 28 Jahren. 1989 breitet sich der AIDS-Trojaner (auch bekannt unter der Bezeichnung PC Cyborg) über Floppy Disks aus. Bei einer Infektion folgt eine Zahlungsaufforderung: 189 Dollar sollen per Verrechnungsscheck nach Panama geschickt werden.
Im Jahr 2006 erscheint mit Archiveus die erste Ransomware, die Daten auch verschlüsselt. Mit dem Aufkommen von anonymen Online-Zahlungsdiensten finden kriminelle Hacker ab 2011 zudem neue, einträgliche Verbreitungsmaschen. Erpressungstrojaner werden in E-Mails eingebettet, die vermeintlich von Strafverfolgungsbehörden stammen, die wegen Copyright-Verletzungen Kontakt mit dem betreffenden User aufnehmen wollen. Doch das ist nur der Anfang.
Das Jahr 2017 markiert schließlich den bisherigen Höhepunkt der Ransomware-Welle: Mit WannaCry und Petya wüten gleich zwei Erpressungstrojaner auf internationaler Ebene. Wir haben die fünf größten Ransomware-Attacken der vergangenen fünf Jahre für Sie zusammengefasst.
CryptoLocker: Bühne frei für Ransomware
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um User Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Laut Jonathan Penn, Director of Strategy bei Avast, bringt es CryptoLocker zu seinen Hochzeiten (Ende 2013, Anfang 2014) auf rund 500.000 infizierte Rechner.
Trotzdem ist CryptoLocker noch recht primitiv ausgestaltet: Eine White-Hat-Kampagne macht dem Botnetz, das die Ransomware steuert, den Garaus. So kommen auch die Entschlüsselungs-Keys an die Öffentlichkeit. Dennoch ist es laut Penn vor allem CryptoLocker, der die Tore für andere Ransomware-Familien weit aufstößt: Seine Code-Basis findet sich in vielen anderen Erpressungstrojanern. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen (von denen CryptoWall die populärste ist) rund drei Millionen Dollar.
TeslaCrypt: Gamer im Visier der Hacker
Wenig später entsteht mit TeslaCrypt bereits die nächste Bedrohung. Zunächst gehen Experten davon aus, dass es sich bei TeslaCrypt um eine Abwandlung von CryptoLocker handelt. Der Erpressungstrojaner zielt (in seiner ursprünglichen Form) auf die File-Erweiterungen populärer Videospiele wie Call of Duty – also gespeicherte Spielstände, Multiplayer-Karten oder auch Download-Content. Diese Dateien sind für Hardcore-Gamer durchaus von gesteigerter Bedeutung, werden aber in der Regel lokal vorgehalten und nicht in der Cloud oder auf einem externen Medium. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen.
Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. So bleibt Betroffenen kein anderer Ausweg mehr, als mit den kriminellen Hackern in Kontakt zu treten, wenn sie ihre Daten wiederbekommen wollen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme durch TeslaCrypt beendet.
SimpleLocker: Ransomware wird mobil
Der Mobile-Boom sorgt dafür, dass mehr und mehr sensible (Unternehmens-)Daten Einzug auf mobilen Endgeräten halten. Das erkennen auch die Ransomware-Scammer und „küren“ Android zum Betriebssystem ihrer Wahl: Zwischen Ende 2015 und Anfang 2016 vervierfacht sich die Zahl der Ransomware-Angriffe auf Android-Geräte. SimpleLocker ist dabei die erste echte Bedrohung: Es ist die erste bekannte, mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt – und zwar ganz ohne Zutun der kriminellen Hacker. Noch dazu ist es auch die erste Ransomware, die ihre maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet.
Und jetzt die gute Nachricht: Auch wenn die „SimpleLocker-Ära“ für einen sprunghaften Anstieg bei den Malware-Infektionen von Android-Geräten sorgt, ist die Zahl der Betroffenen relativ gering: Ende 2016 liegt sie bei circa 150.000 Infektionen – wovon nur ein kleiner Anteil auf die Android-Nutzer entfällt. Und: Die allermeisten Betroffenen infizieren sich mit der erpresserischen Malware, weil sie auf Porno-Apps oder ähnliche „inoffizielle“ App-Store-Inhalte hereinfallen. Google arbeitet unterdessen daran, den Usern klar zu machen, dass es ziemlich schwer ist, sich mit Ransomware zu infizieren. Dennoch: Die Bedrohung ist real.
WannaCry: Wenn der IT Security zum Heulen ist
CryptoLocker hat Ransomware „salonfähig“ gemacht und dem Status der Web-Kuriosität enthoben. Mitte 2017 sorgen dann gleich zwei globale Attacken mit erpresserischen Schädlingen für einen erneuten Paradigmenwechsel: Ransomware wird zur existenziellen Bedrohung. Den Anfang macht Mitte Mai 2017 WannaCry, die laut Jonathan Penn „schlimmste Ransomware-Attacke in der Geschichte“. Am 12. Mai beginnt die Ausbreitung, vier Tage später registriert Sicherheitsanbieter Avast bereits 250.000 befallene Systeme in 116 Ländern.
Die Bedeutsamkeit von WannaCry liegt jedoch nicht in den Zahlen. Denn es ist die erste Angriffswelle, bei der gestohlene Hacking-Tools aus dem Bestand der NSA zum Einsatz kommen. Im Fall von WannaCry handelt es sich dabei um „EternalBlue“ – ein Exploit der eine Schwachstelle im Windows-SMB-Protokoll ausnutzt. Microsoft rollt bereits Monate zuvor ein Sicherheitsupdate aus, das die Lücke beheben soll. Das Problem ist nur: Kaum ein Unternehmen, beziehungsweise Institution hat dieses installiert.
So kann sich WannaCry ungehemmt über die Endgeräte über ganze Netzwerke ausbreiten – eine zusätzliche Interaktion durch den User ist dazu nämlich nicht von Nöten. Laut Kyle Wilhoit, Sicherheitsforscher bei DomainTools, machen es manche Unternehmen den Hackern besonders einfach: „Der betroffene SMB-Port 445 war in vielen Unternehmen offen über das Netz angreifbar. Das hat bei der Verbreitung des Wurms geholfen.“
Petya / NotPetya: Und täglich grüßt die Ransomware
WannaCry läutet das neue Ransomware-Zeitalter ein, Petya (auch bekannt als NotPetya) macht kurz darauf deutlich, wie ernst die Bedrohung einzuschätzen ist. Erstmals tritt Petya bereits 2016 als Ransomware in Erscheinung. Ende Juni 2017 verbreitet sich dann eine Abwandlung – über dieselbe Sicherheitslücke wie WannaCry („Eternal Blue“). Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland.
Im Zuge ihrer Untersuchungen gehen viele Experten wenig später davon aus, dass hinter der Petya-Ransomware keine monetären Interessen stecken. Stattdessen gehe es um die gezielte Zerstörung von Daten. Möglicher Hintergrund: Ein von Moskau aus gelenkter Hackerangriff auf die Ukraine.
„Es gab jede Menge Diskussionen darüber, wer hinter der WannaCry-Attacke stecken könnte“, so Varun Badhwar, CEO von RedLock. „Aber auch diese Information wird künftige Angriffe nicht verhindern können. Malware Exploits und Toolkits sind im Internet für jeden frei verfügbar – egal ob Script-Kiddie, Mitglied der organisierten Kriminalitität oder Geheimdienst-Mitarbeiter. Der Fakt, dass sich Petya so schnell ausbreiten konnte, zeigt, dass Unternehmen auf der ganzen Welt das Thema IT Security nicht so ernst nehmen wie sie sollten.“
Ransom-Awareness?
Wie bei den meisten Datenschutz- und Sicherheits-Fails liegt auch in Sachen Ransomware der Fehler nicht unbedingt im Programmcode, sondern beim Menschen. „Die meisten Ransomware-Attacken beginnen mit einer simplen Phishing-E-Mail, also auf sehr unpersönlicher und nicht zielgerichteter Ebene“, weiß Sicherheitsberater Alan Levine von Wombat Security. „Aber ob es zu einer Infektion kommt oder nicht, hängt ganz von den Entscheidungen des Endanwenders ab. Sie stehen zwischen der IT-Abteilung und einem potenziellen Desaster.“
* Josh Fruhlinger schreibt für unsere US-Schwesterpublikation csoonline.com.
Be the first to comment