Der Rechner fährt hoch, Sie loggen sich ein und plötzlich erscheint eine Meldung, dass alle Ihre Fotos, Videos und Dokumente gesperrt sind. Mit großer Wahrscheinlichkeit sind Sie dann Opfer von Ransomware. Stefan Bange, Country Manager Deutschland bei Digital Shadows, hat für die COMPUTERWELT die gefährlichste Ransomware zusammengefasst. [...]
Das Geschäft mit der Erpressersoftware ist in den letzten Jahren enorm gewachsen, wobei ein wahres Ökosystem an Services und Tools entstanden ist. Über Ransomware-as-a-Service (RaaS) lassen sich beispielsweise Schadprogramme für einen Angriff ganz einfach von einem Anbieter im Dark Web „mieten“. Zudem wird fleißig mit Verbreitungstechniken experimentiert, um mit einfachsten Mitteln die größtmögliche Wirkung zu erzielen.
Die bösartige Schadsoftware infiziert Rechner, verschlüsselt wichtige Dateien und verlangt vom Nutzer ein Lösegeld in Bitcoins, ehe sie wieder freigegeben werden. Die Beträge reichen von ein paar Hundert Dollar für Privatpersonen bis zu zehntausenden Dollar für Unternehmen. Bei der Vielzahl an Ransomware lohnt ein Blick auf die gefährlichsten Ransomware-„Familien“, um im Ernstfall die richtige Strategie zur Verteidigung parat zu haben. Zu den Top 5 Versionen zählen:
Platz 1: Locky
Locky ist seit Anfang 2016 aktiv und wird überwiegend über Spam-E-Mails zugestellt, obwohl auch Exploit-Kits wie Nuclear und RIG in der Vergangenheit verwendet wurden. Diese Ransomware wird ständig aktualisiert und verbessert, insbesondere was die Art und Weise angeht, in der die verschlüsselten und gefährlichen Dateien in E-Mails angehängt und so in die Computer eingeschleust werden. Diese Wandelfähigkeit hat dazu geführt, dass unterschiedliche Locky-Versionen auf unterschiedliche Namen getauft wurden (z. B. Zepto – benannt nach der .zepto-Erweiterung). Das Risiko für Anwender wie Unternehmen ist jedoch gleich hoch geblieben. Einen Höhepunkt erreichten die Aktivitäten rund um Locky im Dezember 2017 mit der Wiederaufnahme des Spam-Versands über den Botnet Necurs: Über die Weihnachtsfeiertage wurden bis zu 47 Millionen Spam-E-Mails pro Tag zugestellt.
Platz 2: Cerber
Seit den Anfängen von Cerber im Februar 2016 wurde die Malware kontinuierlich weiterentwickelt. Bis heute sind mindestens sechs verschiedene Versionen bekannt. Cerber wird vor allem als RaaS (Ransomware-as-a-Service) genutzt. Dieses Modell garantiert einen hoch automatisierten Ablauf von Angriffen, der es Akteuren extrem einfach macht, die Dateien zu verschlüsseln, Lösegeldzahlungen abzuwickeln und schließlich die Dateien wieder freizugeben. Zugestellt wird die Ransomware in der Regel über Spam-E-Mails und Drive-by-Downloads, also Downloads die oft automatisch mit Klicken auf eine Website ausgeführt und vom Nutzer kaum bemerkt werden. Cerber verschlüsselt die Dateien seiner Opfer mit einer zufälligen Erweiterung um vier Buchstaben. Die Lösegeldforderungen lassen sich spezifisch anpassen, der durchschnittliche Preis für das Freischalten liegt zwischen 1.000 und 2.000 Dollar.
Platz 3: DMA Locker
Erstmals im Januar 2016 entdeckt, unterscheidet sich DMA Locker von herkömmlichen Ransomware-Varianten, da es keine Dateierweiterung vornimmt, um Dateien zu verschlüsseln, sondern stattdessen eine Kennung zum Dateiheader hinzufügt. DMA Locker wird über das Remote-Desktop-Protokoll (RDP) von Microsoft sowie über Spam-E-Mails und das RIG-Exploit-Kit verbreitet. Einmal infiziert, beginnt die Ransomware damit Datei um Datei zu verschlüsseln. Ist der Rechner offline, installiert sich DMA Locker selbstständig und wartet auf den Verbindungsaufbau, ehe mit der Verschlüsselung begonnen wird.
Platz 4: Crysis
Auch die Ransomware Crysis schleicht sich über Spam-E-Mails und RDP auf die Systeme ein und auch hier existieren mehrere Varianten. Gab es anfangs noch öffentlich zugängliche Decryption-Schlüssel, wurden in späteren Versionen die Dateien mit den Erweiterungen .arena, .cobra und .dharma chiffriert, für die keine entsprechenden Lösungen bereit stehen. Crysis punktet bei den Angreifern durch zusätzliche Funktionen: die Malware ermöglicht das Sammeln von Informationen auf dem Rechner (z. B. Login-Daten, Messaging Apps, Webcam oder Browser) und kann diese per Fernzugriff an einen Command and Control Server senden, einen zentralen Computer, der Daten von infizierten Computern empfängt und Befehle an ein Botnet übermittelt.
Platz 5: SamSam
SamSam greift spätestens seit Dezember 2015 gezielt Anwender, Organisationen und Unternehmen in den USA, Europa und in Asien an. Zu den Opfern gehören Verkehrsbetriebe aber auch das Gesundheitswesen und Bildungseinrichtungen. Statt Phishing-E-Mails und Exploit-Kits, setzt die Ransomware auf internetfähige JBoss-Anwendungsserver, um zunächst Zugangsdaten von Administratoren zu sammeln und sich dann weiter verbreitet, um alle Endgeräte eines Netzwerks zu infizieren. Für jeden infizierten Rechner wird ein Lösegeld ausgesetzt, wobei die Höhe der Forderungen bei rund 4.000 Dollar pro Rechner oder rund 33.000 Dollar für alle Netzwerkgeräte liegen.
- So unterschiedlich die Ransomware-Familien auch sind, gibt es doch einige grundlegenden Schutzmaßnahmen, die Anwender wie Unternehmen ergreifen sollten:
Sichern Sie regelmäßig Daten entweder in cloudbasierten oder physischen Backups und überprüfen Sie regelmäßig deren Integrität. Dabei sollten die Backups unbedingt vom Hauptnetzwerk und den zu sichernden Rechnern getrennt sein, um der Verbreitung einer Ransomware einen Riegel vorzuschieben. - Da manche Ransomware wie SamSam anfällige, externe Server nutzt, um auf Rechner zu gelangen, sollten Sie entsprechende Patches und Updates regelmäßig und zeitnah installieren.
- Eine grundlegende und tiefgreifende Verteidigungsstrategie im Vorfeld kann helfen die Verbreitung der Malware einzudämmen. Dazu zählt die Segmentierung von Netzwerken, die Abschottung des SMB-Verkehrs und eine Zugriffsbeschränkung auf wichtige Daten für auf einzelne Personen.
- Auf Unternehmensseite empfiehlt es sich zudem, Richtlinien und Verhaltensmaßnahmen festzulegen, um alle Mitarbeiter und Akteure (Betrieb, IT, Sicherheit, Rechtsabteilung, PR) auf den Ernstfall.
*Stefan Bange ist Country Manager Deutschland bei Digital Shadows.
Be the first to comment