Status quo von Ransomware

Das Geschäftsmodell der Datengeiselnahme hat für Cyberkriminelle nichts an Attraktivität eingebüßt. Im Gegenteil: Mit dem raschen Ansteigen von IoT-Systemen gewinnen die Macher von Ransomware neue Angriffsvektoren. [...]

Dass Spam nicht nur lästig sein kann sondern auch gefährlich, zeigt die aktuelle Spam-Welle, die von Russland aus in Richtung Europa schwappt. Der ESET Security Specialist Thomas Uhlemann berichtet von Ransomware namens »Shade«, die sich hinter den Körperteilverlängerungs- und Sonnenbrillen-für-die Nacht-Mails versteckt. Wer den JavaScript-Anhang unvorsichtigerweise anklickt, aktiviert ihn und lädt sich ungewollt die Erpressersoftware auf den eigenen Rechner.
„Bereits von Oktober bis Mitte Dezember 2018 beobachteten wir eine SPAM-Kampagne, die Shade einsetzte. Seit Januar 2019 erleben wir wohl den Nachfolger“, sagt Thomas Uhlemann. Offensichtlich stehen Unternehmen ganz gezielt im Fokus der Angreifer: „Die ESET-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren. Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne.“

In SPAM-Mails wird das JavaScript als getarnter Anhang namens „Information“ versendet. Einmal extrahiert, lädt das Script einen bösartigen Loader herunter, der von ESET Produkten als Win32/Injector erkannt wird. Das Perfide an der Methode ist laut Thomas Uhlemann die vermeintliche Quelle des sogenannten Loaders: Die Malware-Entwickler missbrauchen legitime WordPress-Webseiten als unfreiwillige Hosts.

Diese werden über massive Brute-Force-Angriffe von Bots gekapert und dienen dann als Speicher für Bilddateien, die mit Schadcode verseucht sind. ESET entdeckte bereits Hunderte dieser Dateien im Internet, die alle auf „ssj.jpg“ enden. Um sich gegenüber dem Betriebssystem zu legitimieren, ist der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen. Dadurch wird seine Identifizierung im System erschwert. Zudem tarnt sich der Loader den Angaben des ESET-Speziliasten zufolge als legitimer Systemprozess Client Server Runtime Process.

Flexible Kriminelle

Um die Methoden der Cyberkriminellen besser zu verstehen, haben sich Experten von SophosLabs in die Rolle des Opfers begeben. Ziel eines Forschungsprojekts war die Ransomware-Familie „Matrix“. Die Malware, die seit 2016 im Umlauf ist, bricht in Unternehmensnetzwerke ein und infiziert Computer über das Remote Desktop Protocol (RDP), ein integriertes Remote Access Tool für Windows-Computer. Der Unterschied zu anderen Ransomware-Varianten: Matrix zielt nur auf einen einzelnen Computer im Netzwerk ab, anstatt sich unternehmensweit zu verbreiten.

Im Rahmen der Untersuchung haben die SophosLabs den Code und die Techniken der Angreifer inklusive der Methoden und Lösegeldforderungen zurückverfolgt. Dabei kam schnell heraus, dass die kriminellen Macher von Matrix ihre Angriffsparameter im Laufe der Zeit mit neuen Dateien und Skripten weiterentwickelt haben, um unterschiedliche Vorgänge und Aktionen bei ihren Netzwerkattacken auszulösen.

Flexibel zeigten sich die Programmierer auch bei den Lösegeldforderungen, die in den Angriffscode eingebettet sind. Seit der Existenz von Matrix haben die Kriminellen dafür meist den kryptographisch geschützten und anonymen Instant-Messaging-Dienst namens „bitmsg.me“ genutzt. Dieser Dienst wurde aber inzwischen eingestellt, worauf die Autoren der Ransomware zur Kommunikation über herkömmliche E-Mail-Konten übergegangen sind.

Bei einem fingierten Angriffserfolg und der anschließenden Kommunikation, die die Experten der SophosLabs mit den Angreifern hatten, lagen die Lösegeldforderung zunächst bei 2.500 US-Dollar. Dieser Betrag wurde von den Angreifern im Verlauf der Kommunikation auf 1.500 US-Dollar reduziert, als die SophosLabs-Spezialisten aufhörten, auf die Forderungen zu reagieren. „Matrix ist ein Äquivalent zum Schweizer Taschenmesser. Neuere Varianten sind in der Lage, potenzielle Opfer zu scannen und zu finden, sobald sie in das Netzwerk integriert sind“, so Michael Veit, IT-Security-Experte bei Sophos. „Trotz der geringen Anzahl an Varianten ist Matrix extrem durchschlagskräftig. Der Code entwickelt sich weiter und es erscheinen immer neue Versionen auf Basis der Erkenntnisse, welche die Angreifer aus ihren Attacken gewinnen.“

Zukunft von Ransomware

„Mittlerweile haben Cyberkriminelle auch Angriffe auf Mobilgeräte als lohnendes Geschäft entdeckt und mobile Ransomware-Attacken nehmen weiter zu“, sagt Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. „Am häufigsten tritt auf Android- und anderen Mobilgeräten die Variante der Locker-Ransomware auf. Anstatt Dateien zu verschlüsseln, nimmt die Schadware das gesamte Gerät in Geiselhaft und verweigert Nutzern den Zugriff. In der Regel durch Sperren der Benutzeroberfläche oder durch ein Popup-Overlay.“

Daneben sei vor allem die steigende Masse an IoT-Geräten zunehmend verwundbar, von smarten Elektro- und Haushaltsgeräten über Connected Cars bis hin zu intelligentem Facility Management, smarten Fabriken und kritischen Infrastrukturen wie Krankenhäusern, Stromnetzen und Verkehrssystemen. Der Ransomware-Angriff, bei dem 2017 Komponenten des Keycard-Systems eines österreichischen Hotels vorübergehend deaktiviert wurden, zeige sich als ein möglicher Vorläufer für schwerwiegendere Infrastruktur-Attacken. „Die Geschwindigkeit, mit der das IoT wächst – kombiniert mit den immer noch enormen Sicherheitslücken vieler Geräte –, eröffnet Cyberkriminellen ganz neue Dimensionen im Bereich möglicher Angriffsziele. Best Practices für den Schutz vor Ransomware wie regelmäßige Backups und Softwareaktualisierung zählen bei den meisten IoT-Devices immer noch nicht zum Standard. Viele IoT-Hersteller handeln teils fahrlässig, wenn es um die Veröffentlichung von Software-Patches geht“, ist Christoph M. Kumpa überzeugt.

Software aktuell zu halten, ist ein Weg, sich vor den Gefahren von Ransomware zu schützen. Ein anderer ist Eigenverantwortung: Bevor man auf etwas Unbekanntes klickt, sollte man seine Intelligenz spielen lassen.