31. Januar 2022

DSGVO und Ransomware-Angriffe (Teil1)

Ransomware Angriffe sind ärgerlich und mitunter existenzbedrohend. Wir zeigen Ihnen die wichtigsten Arten, und ob eine Meldepflicht an die Behörde existiert. [...]

Tagebuch eines Datenschutz-Beauftragten (c) CW
Tagebuch eines Datenschutz-Beauftragten (c) CW

In den letzten Jahren hat ein Aufstieg der Ransomware-Angriffe Millionen auf der ganzen Welt zu Opfern hungriger Hacker gemacht. Mittlerweile werden pro Jahr Millionen von Dollar an Lösegeld erpresst und die Unternehmen haben Gewinne in beträchtlicher Höhe verloren.

Die häufigste Art Ransomware zu verbreiten, sind Phishing Mails, die auf schädliche Inhalte verweisen oder gefährliche Anhänge enthalten. So ein Anhang kann z.B. auch ein vermeintliches Foto sein, in dem schadhafter Code versteckt ist. Der Vorgang spielt sich meist wie folgt ab: Der User erhält eine E-Mail das als offizielles Schreiben getarnt ist und eine wsf-Datei enthält (wsf = Windows Scipt File) und eine jpg-Datei aus dem Internet ladet. Aus Sicht des Virenscanners ist das nichts Verwerfliches, da jpg Dateien nicht ausführbare Dateien sind. Der Teufel steckt in der Kombination Script File und Inhalte der jpg-Datei, die am Ende fatal ist. Die Script-Datei wird mit dem Inhalt der gefälschten jpg-Datei ausgeführt, wenn unbewusst oder durch ungünstige Systemkonfiguration auch automatisch, die Ausführung von Script Dateien zugelassen wird. Wenn User sich daher „nur“ auf seinen Virenscanner verlässt und der Virenscanner diese Kombination nicht ausreichend prüft, kann er die Attacke wahrscheinlich nicht schnell genug erkennen (passiert unter entsprechenden Stressfaktoren auch versierten Benutzern).

Eine weitere Möglichkeit besteht darin, dass Benutzer nicht wissentlich Schadsoftware herunterladen, wenn sie infizierte Websites besuchen. Schädliche Software kann wiederum ohne bewusste Zustimmung des Users installiert werden. Auch die Verbreitung über Social-Media und Instant Messaging-Apps sind weit verbreitet.

Wird Ransomware auf einem Computer installiert, werden die Daten innerhalb kurzer Zeit verschlüsselt so dass man nur sehr wenig Zeit hat, um zu reagieren. Das Problem besteht im Regelfall darin, dass nicht nur lokale Computer, auf denen die Schadsoftware installiert wird betroffen sind, sondern dass die Funktionalität der Malware die Eigenschaft hat, über das Netzwerk auch Server anzugreifen und dort mit der Verschlüsselung von Daten (z.B. Exchange Server, Backups…) zu beginnen.

Häufig wird mittels Spam versucht, über meist professionelles Social Engineering den Benutzer zum Öffnen von E-Mail-Anhängen zu bewegen. So werden angebliche Rechnungen, Bestellbestätigungen, Paketempfangsbestätigungen, eingescannte Dokumente, empfangene Faxe, teilweise unter Verwendung von echten Firmennamen und -adressen und zum Teil in perfekter Nachahmung tatsächlicher Firmen-E-Mails, versendet. Im Anhang befindet sich meist ein sog. Downloader, der die eigentliche Schadsoftware nachlädt. Dabei kommen die u.a. Arten von Ransomware zum Einsatz.

Emotet

Unter anderem war seit September 2019 bis zum Takedown durch Strafverfolgungsbehörden das Netzwerk um den Trojaner Emotet aktiv. Dieser spähte z.B. Outlook Kontakte und E-Mails aus und verteilte Schadprogramme, indem die Spam-Mails als vermeintliche Antworten auf zuvor ausgespähte tatsächliche E-Mails versendeten. Die bekannten Betreffzeilen und Zitate einer vorhergehenden Kommunikation ließen die gefälschten E-Mails für die Empfänger noch authentischer erscheinen. Entsprechende Verteilung mit
echtem Text in der E-Mail wird aber auch von anderer Schadsoftware genutzt. Emotet lud im Auftrag anderer Tätergruppen andere Schadprogramme wie z.B. Trickbot nach, welches wiederum die Ransomware Ryuk verteilen kann

Arten von Ransomware

Computer Locker werden als auch Locker-Ransomware bezeichnet. Sie blockieren den Zugriff auf der Benutzeroberfläche eines Computers und verhindern die Verwendung des Geräts. Im Regelfall wird beim Start des Computers ein Bildschirm mit der Nachricht des Autors und den Zahlungsanweisungen angezeigt. Manchmal wird versucht den User davon zu überzeugen, dass es Lösegeld tatsächlich eine Geldbuße ist, die zum Beispiel von einer Strafverfolgungsbehörde ausgestellt wurde. Computer Locker sind eine harmlose Ransomware Variante, da keine Daten verschlüsselt werden, sondern nur die Benutzeroberfläche gesperrt wird. Durch eine neue Installation des Computer-Betriebssystems wird die Ransomware inaktiv und vernichtet. Alle Daten bleiben intakt.

Der Data-Locker Locky ist seit Februar 2016 in den Schlagzeilen. Vor allem in Europa ist diese Art Cryptoware verbreitet. Die Opfer infizieren Rechner meist über schadhafte Word-Dokumente in E-Mail-Anhängen. Locky ist potentiell gefährlicher als Computer locker, da Dateien auf dem lokalen Rechner oder gleich im ganzen Netzwerk verschlüsselt werden. Diese Variante von Ransomware wird als auch als Crypto-Ransomware bezeichnet. Sie durchsucht Computer nach wertvollen Dateien und verschlüsselt diese oder versieht die Dateien mit einer Extension, die der Computer nicht erkennen kann.

Die Situation ist besonders schwierig, denn Locky entwickelt sich ständig weiter und es werden immer neue Verbreitungswege entdeckt. Neben schadhaften E-Mailanhängen werden auch immer öfter Spezialisten bezahlt, die in das Netzwerk eines Unternehmens eindringen und Locky installieren.

Um einen Schlüssel zur Entschlüsselung zu erhalten, muss im Regelfeld Lösegeld bezahlt werden. Erfolgreich sind Data Locker insbesondere in jenen Fällen, wo Daten nicht regelmäßig gesichert werden. Sind die Daten sehr wertvoll und liegt die letzte das letzte Backup weit zurück, besteht kaum eine andere Möglichkeit, als das Lösegeld nicht zu zahlen.

Die Cryptoware Petya ist besonders aggressiv. Sie verschlüsselt nicht nur Dateien, sondern die ersten Sektoren des Laufwerks, auf dem das Betriebssystem installiert ist. So wird verhindert, dass der PC überhaupt hochfährt. Damit bleibt er komplett nutzlos, bis das Lösegeld überwiesen ist. Das bedeutet aber nicht, dass der Computer nachher wieder benutzt werden kann. Die Daten darauf könnten immer noch verschlüsselt sein. Petya ist daher noch aggressiver als Locky.

Die Cryptoware CTB Locker wurde im Februar 2021 entdeckt und verbreitet sich am häufigsten über E-Mails und schadhafte Webseiten. Die E-Mails werden dabei ebenfalls speziell an den Empfänger angepasst. Ist der Rechner infiziert, durchsucht CTB Locker heimlich alle Laufwerke und Verzeichnisse im Netzwerk nach Dateien (Office Dokumente, Bilder, Textdateien, etc.) und verschiebt diese in ein verschlüsseltes, passwortgeschütztes Archiv.

Um von IT-Sicherheitsexperten nicht entdeckt zu werden verfügt CTB Locker über einen speziellen Mechanismus, der verhindern soll, dass die Schadsoftware auf virtuellen Maschinen mit der Arbeit beginnt. Da solche virtuellen Maschinen genutzt werden, um potentielle Bedrohungen zu erkennen und zu analysieren, wird CTB Locker in diesem Verfahren übersehen. Darüber hinaus ist diese Ransomware sehr flexibel. Es gibt mittlerweile zahlreiche Variationen, darunter auch eine, die speziell für Server entwickelt und von Stormshield entdeckt wurde.

SamSam macht sich eine Technik Namens „Pass the Hash“ zunutze und ist damit besonders gefährlich für die Netzwerksicherheit

Kriminelle nutzen diese Technik, um die Authentifizierungssysteme von Servern zu umgehen. So erhalten sie Zugriff auf vertrauliche Daten oder kritische Anwendungen.

Über einen infizierten Arbeitsplatz können die Angreifer ihre Kontrolle auf alle Geräte eines Netzwerkes und somit die gesamte IIT-Infrastruktur eines Unternehmens ausweiten. Da SamSam von traditioneller Anti-Virus Software nicht erkannt wird, sollten Unternehmen ihre IT-Sicherheit an diese Gefahr entsprechend anpassen.

Scareware wird normalerweise als Antiviren Software eingesetzt und verwendet Pop-Ups, um das Opfer über die angeblichen Probleme zu informieren die auf dem Computer gefunden wurden. Die Opfer werden aufgefordert, schnell die gefälschte Antivirensoftware zu kaufen, mit der angeblich die Probleme behoben werden können.

Das Gegenteil ist der Fall: Einmal installiert und bezahlt, verhält sich die Software wie Malware und sammelt die persönlichen Daten der Opfer oder verschlüsselt diese Daten, was wieder Lösegeldforderungen zur Folge hat.

Leakware – auch Doxware bezeichnet – arbeitet mit der Variante, dass die Opfer bedroht werden, persönliche Informationen der Opfer zu veröffentlichen, sofern das Lösegeld nicht bezahlt wird.

Im Regelfall zielen die Hecker nicht auf bestimmte Dateien, um sie zu verschlüsseln. Die Hacker gehen davon aus, dass viele Benutzer private Informationen auf ihrem Computer speichern, Kreditkarteninformationen, Videos, Fotos oder persönliche Dokumente) und hoffen mit der Androhung der Veröffentlichung Panik auszulösen.

Ransomware as a Service (RaaS): Ransomware ist ein aufstrebendes Geschäftsmodell, das im DarkNet boomt, prominentes Beispiel ist Cerber. Anstatt ihren eigenen Code zu schreiben, schließen Hacker einen Vertrag mit einem Drittanbieter, der die Malware für sie entwickelt und die sie an potenzielle Opfer verteilen können.

Sogenannte Full-Service-RaaS-Betreiber stellen nicht nur die gesamte Backend-Infrastruktur für die Durchführung der Ransomware-Kampagne wie der eigentliche Ransomware-Code, ein Portal, über das sich potenzielle Kunden anmelden und den Dienst nutzen können zur Verfügung, sondern wickeln darüber hinaus auch die Ransomware-Zahlungen ab.

Das cyberkriminelle Netzwerk ist damit nicht länger ein enger Kreis von Programmierern, sondern ein wachsender und zunehmend professioneller Schwarzmarkt für Schadsoftware. Betrüger können die Schadsoftware auch ohne Vertrag kaufen überall nach Belieben einsetzen. Das erpresste Lösegeld wird zwischen Hacker und Drittanbieter aufgeteilt.

Weitere Schadprogramme sind – siehe BSI-Paper:

  • Ryuk
  • REvil / Sodinokibi
  • DoppelPaymer
  • Egregor
  • Clop
  • Conti
  • Darkside
  • Defray777
  • IEncrypt / BitPaymer

 „Super Cryptoware“ als nächste Generation

In nächster Zeit ist mit einer Vielzahl neuer Ransomwares zu rechnen. Existierende Ransomware wird sich jedenfalls weiterentwickeln und immer komplexer werden. Ransomware wird die Nachrichten garantiert noch eine Zeit lang beschäftigen.

Vor allem werden sich neue Verbreitungswege entwickeln. Schon jetzt setzen Locky und Cerber auch auf Zero-Day-Exploits. Diese schlummern bis zu einem definierten Datum und werden dann gesamthaft aktiv. Damit können wesentlich mehr Maschinen infiziert werden als per E-Mail. Das macht Ransomware für Kriminelle sehr lukrativ.

Besteht eine Meldepflicht an die Datenschutzbehörde?

Bei einem Ransomware-Angriff liegt in jedem Fall eine Datenschutzverletzung vor, da Sicherheit der Verarbeitung gemäß Art.32 lit. b) DSGVO nicht gegeben ist.

Von einer Meldung an die Behörde kann bei einem Verschlüsselungs-Angriff abgesehen werden, wenn personenbezogene Daten zwar verschlüsselt werden, aber dies kein Risiko für Betroffene darstellt und wenn vor allem keine personenbezogenen Daten entwendet werden.

In letzter Zeit wurde beobachtet, dass zunehmend versucht wurde, vor der Verschlüsselung Daten abzuziehen (zu stehlen). Falls es sich dabei um personenbezogene Daten handelt, ist natürlich eine Meldung an die Behörde erforderlich. Zusätzlich sind die Betroffenen zu informieren, falls das Vorliegen eines erheblichen Risikos für die Betroffenen existiert.

Aufsichtsbehörden prüfen Maßnahmen gegen Ransomware!

Nach eigenen Angaben hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine neue Stabstelle „Prüfverfahren des BayLDA“ gegründet. Diese hat am 30.11.2021 mit der Arbeit begonnen und kontrolliert Unternehmen im Hinblick darauf, ob diese geeignete technische und organisatorische Maßnahmen i.S.d. Art. 32 DSGVO gegen Ransomware-Angriffe getroffen haben. Es ist nur eine Frage der Zeit, bis auch die Österreichische Datenschutzbehörde derartige Prüfungen durchführt.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*