"Schutzgeld-Trojaner" sind kein Phänomen der Gegenwart. Vielmehr schicken Kriminelle schon seit Jahren immer wieder neue Schadsoftware auf den Weg, in der Regel mit dem Ziel, sich dadurch finanziell zu bereichern. [...]
Daher rührt auch der für diese Form von Angriffen gebildete Begriff: „Ransom“ steht dabei dafür, von den Opfern Lösegeld zu verlangen. Sei es, um gekaperte Systeme wieder in ihren Urzustand zurückzusetzen oder auf die im Zuge der Attacke verschlüsselten Daten zugreifen zu können.
Alleine 2016 soll die Zahl an Ransomware-Angriffen gegenüber dem Vorjahr weltweit um 16 Prozent gestiegen sein („2016 Data Breach Investigation Report“) hervorgeht. Alleine von Januar bis März sollen 2.900 neue Ransomware-Versionen das Licht der Welt erblickt – dies entspricht einem Anstieg von 14 Prozent – und die Zahl der betroffenen User um 30 Prozent zugenommen haben.
Ransomware im Wandel der Zeit
Die ersten Ransomware-Programme waren als Software zum Entfernen von Spyware oder zur PC-Bereinigung getarnt. Diese setzten nicht auf die Verschlüsselung von Daten, sondern beschädigten die PCs der Betroffenen und boten gegen Bezahlung eine Anwendung zur Schadensbehebung an.
Später lösten gefälschte Antivirenprogramme diese Form von Attacken ab. Wenngleich ihre Vorgehensweise früheren Angriffsversuchen mit Ransomware ähnelte, gingen die Cyberkriminellen nun einen Schritt weiter und forderten von ihren Opfern mehrjährige Zahlungen für Support. 2011 kam dann die auf Verschlüsselung basierende Schadsoftware auf, die den Zugriff auf die befallenen Computersysteme verhindert.
Parallel zur Verbesserung der Schutz- und Wiederherstellungsmethoden entwickelte sich die Ransomware weiter. Dabei entstanden die stark verbreiteten Kryptotrojaner. Zu den aktuell bekanntesten der mittlerweile unzähligen Varianten zählen:
1. CryptoWall: Die älteste der drei Spielarten, von der bislang mit einem Anteil von 83 Prozent weltweit die meisten Systeme befallen wurden.
2. Locky: Hierbei handelt es sich um den neuesten und am höchsten entwickelten Verschlüsselungstrojaner, der sich im ersten Quartal 2016 am schnellsten verbreitete. 16 Prozent der zwischen dem 17. Februar und dem 2. März erfolgten Attacken lassen sich auf diesen Angriffstyp zurückführen.
3. TeslaCrypt: Diese Malware wurde vorwiegend durch gekaperte WordPress- und Joomla-Websites in Umlauf gebracht und ist für 0,08 Prozent aller Infektionen verantwortlich. Die Veröffentlichung des Masterkeys für die Entschlüsselung von TeslaCrypt leitete jedoch das Ende dieser Variante ein.
Technischer Fortschritt leistet Ransomware-Entwicklern Vorschub
Ein Grund für die rasante Verbreitung ist, der technische Aspekt, denn Verschlüsselungstrojaner lassen sich heute relative einfach entwickeln. Mittlerweile werden sogar fertige Toolkits als „Ransomware-as-a-Service“ angeboten.
Allerdings spielen auch andere weitaus bedrohlichere Faktoren eine Rolle. Einhergehend mit dem digitalen Wandel verändert sich auch das Gesicht der Kriminalität – so gibt es inzwischen „professionelle“ Internetverbrecher, die sich auf das Erpressen von Lösegeld und die Geldwäsche spezialisiert haben. Das Aufkommen digitaler Zahlungssysteme wie Bitcoin erleichtert den Angreifern zudem den anonymen Geldtransfer und damit die Erpressung, da sich ihre Spuren nicht nachverfolgen lassen.
Schwachstelle Mensch
Fast alle Strategien zielen dabei auf das Verhalten der Anwender ab. Entweder werden sie durch raffinierte Phishing-E-Mails dazu gebracht, angehängte Dateien zu öffnen oder Links zu vermeintlich seriösen Websites aufzurufen. Sie können aber auch beim Surfen im Internet auf verseuchte Seiten gelangen. Hochentwickelte Software zur Erkennung von Bedrohungen kann vor einigen dieser Angriffsmethoden schützen, greift jedoch nicht, wenn der Befall über das Internet erfolgt.
Bei den Angriffen per E-Mail gehen die Täter inzwischen immer geschickter vor. Anstatt die Opfer aufzufordern, einen Anhang zu öffnen, der leicht zu blockieren oder zu überprüfen ist, leiten sie sie an eine gefälschte Website weiter, über welche die PCs der Betroffenen infiziert werden. E-Mail-Sicherheitsprogramme nehmen aufwendige Website-Authentifizierungen vor. Dabei überprüfen sie unter anderem, ob die URL zur Domain des Absenders gehört, vergleichen die Website mit bekannten gefälschten Webseiten, überprüfen sie auf gültige Zertifikate und so weiter.
So können sich Nutzer schützen
Ransomware-Angriffe werden künftig auch auf andere Plattformen wie Macs und IoT-Endgeräte übergreifen. Die erfolgreichsten Kryptotrojaner werden sich weiterentwickeln und den Schutzmaßnahmen einen Schritt voraus bleiben, wie die jüngst entdeckte neue Variante von Locky erahnen lässt.
Nutzer sollten daher vielschichtige Maßnahmen implementieren, um ihre Netzwerke bestmöglich zu schützen. Dazu zählen vor allem drei Sicherheitskomponenten: Next Generation Firewalls, E-Mail-Security- und Backup-Lösungen, die Folgendes bieten sollten:
- Hochentwickelte Technologien, mit denen sich Bedrohungen erkennen und verdächtige oder unbekannte Dateien vor der Weiterleitung an den Nutzer in einer Sandbox-Umgebung ausführen lassen.
- Webfilter, um Drive-By-Downloads und Phone Home-Versuche mithilfe eines Web Security Gateways oder anderer Webfilterlösungen zu unterbinden.
- E-Mail-Schutz am Standort oder in der Cloud (zum Beispiel Office 365), um mit Ransomware sowie anderer Malware infizierte E-Mails zu identifizieren und abzufangen, bevor sie in die Postfächer der Anwender gelangen.
- Sicherheitsrichtlinien, um Office-Makros und andere potenzielle Angriffspfade zu deaktivieren.
- Datensicherungen, um Backups aller Daten sowie einen Disaster-Recovery-Plan vorzuhalten, damit Daten im Fall eines Ransomware-Angriffs wiederhergestellt werden können.
Ganzheitliche statt punktuelle Maßnahmen
Internetkriminellen ist es egal, wer ihre Opfer sind, ihnen kommt es nur darauf an, dass diese zahlen. Zielscheibe sind inzwischen und vermehrt Organisationen jeder Größenordnung – in jüngster Vergangenheit waren vor allem das Gesundheitswesen und der öffentliche Sektor betroffen.
Doch auch wenn sich Ransomware ständig weiterentwickelt, können sich Unternehmen davor schützen. Die Umsetzung eines mehrstufigen Sicherheitsansatzes in Kombination mit der Schulung von Anwendern beziehungsweise Mitarbeitern ist die vielversprechendste Strategie für den Schutz vor Ransomware.
*Wieland Alge ist VP und General Manager EMEA Barracuda Networks.
Be the first to comment