Der unaufhaltsame Aufstieg der Ransomware

Angriffe mit Ransomware haben in den letzten Jahren massiv zugenommen. Jüngste Opfer sind die Verlagsgruppe Heise und die Stadtverwaltung Baltimore. Die Methode hat sich aus Sicht der Cyberkriminellen bewährt, genügend Firmen geben der Erpressung nach und zahlen das geforderte Lösegeld. Ein Ende ist noch lange nicht in Sicht. Unternehmen können allerdings mit Hilfe von Applikations-Isolation die Angreifer ins Leere laufen lassen.

Illustration: Absmeier

Das Muster einer Ransomware-Attacke ist immer ähnlich: Ein Virus befällt den Rechner, verschlüsselt die Daten und gibt sie erst frei, nachdem eine entsprechende Lösegeldzahlung meist in Kryptowährungen wie Bitcoin auf den Konten der Erpresser eingegangen ist. Längst haben die Angreifer eine Professionalität erreicht, die auch leistungsstarke Security-Lösungen austrickst, gleichzeitig haben sie es so leicht wie nie zuvor. Einerseits lassen sich Schadprogramme nach dem Baukastenprinzip für wenig Geld zusammenstellen. Die Anonymität von Bitcoin ist zudem ideal, um Lösegeldforderungen zu stellen. Andererseits machen die Unternehmen es den Kriminellen selber zu einfach: Viele sind bei essenziellsten Sicherheitsmaßnahmen wie dem Einspielen neuester Security- und Betriebssystem-Updates nachlässig. Die Gründe dafür sind unterschiedlich und reichen von Bequemlichkeit über fehlende Kapazitäten bis hin zu einer über die Jahre gewachsenen und dadurch unübersichtlich gewordenen IT-Infrastruktur. Jüngstes Beispiel ist die Verwaltung der amerikanischen Stadt Baltimore, die seit Mai wegen einer Microsoft-Sicherheitslücke stillsteht, für die der Redmonder Konzern bereits zwei Jahre zuvor Updates zur Verfügung gestellt hat.

 

Ein bekanntes altes Problem

Der Verschlüsselungstrojaner »Robin Hood«, der Baltimore verwaltungstechnisch lahmgelegt hat, nutzt das NSA-Tool »EternalBlue«. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme abhanden und wurden von einer Gruppe anonymer Hacker stückweise veröffentlicht. Seitdem wurden die Tools immer wieder für Angriffe genutzt. Das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner »WannaCry«, der im Mai 2017 innerhalb weniger Tage Hundertausende von Rechnern in rund 150 Ländern infizierte. Kurze Zeit später legte Petya weltweit Computer lahm. Die Schadsoftware verbreitete sich hier nicht über Phishing-Mails, bei denen Mitarbeiter unbedacht auf Anhänge klicken. Vielmehr drang der Virus in Form eines Software-Updates für ein Buchhaltungsprogramm in Unternehmensnetze ein, das alle verwenden mussten, die mit der ukrainischen Regierung zusammenarbeiten. Unter den Petya-Betroffenen finden sich so bekannte Unternehmen wie die deutsche Beiersdorf AG und der internationale Lebensmittelriese Mondelēz.

Die neueste Ransomware-Welle, vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor ein paar Wochen gewarnt hat, nutzt laut Bundesbehörde Angriffsmethoden, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Der erste Schritt sind dabei meist breit angelegte Dynamit-Phishing-Kampagnen, wie die von Emotet, um sich Zugang zum Netzwerk zu verschaffen. Eine Dynamit-Phishing-Mail der neuesten Generation hängt bereits gestohlene Mails an, um so eine schon existierende Kommunikation aufzugreifen. Zudem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Einmal im Netz, breiten sich die Angreifer dann systematisch weiter aus. Dabei versuchen sie etwaige Backups zu manipulieren oder zu löschen und infizieren anschließend selektiv kritische Systeme manuell mit Ransomware.

Mitte Mai wurde die Verlagsgruppe Heise Ziel einer Emotet-Attacke. Ein Mitarbeiter öffnete eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Nach der Erst-Infektion hat der Schädling anscheinend weitere Module nachgeladen, die dann recht schnell Windows-Arbeitsplätze im Netz infizierten. Die Heise-Verantwortlichen entschieden sich für einen harten Shutdown des Internet-Zugangs, um das Verschlüsseln wichtiger Daten mit anschließender Lösegeldforderung zu verhindern. Danach wurde ein komplett neues Windows-Netz mit neu aufgesetzten Rechnern und einem neuen Active Directory eingerichtet. Allein die hinzugezogenen Experten kosteten Heise rund 50.000 Euro, nicht mitgerechnet sind die Sonderschichten der IT-Abteilung und anderer Mitarbeiter, um die Arbeitsfähigkeit so schnell wie möglich wiederherzustellen. Der Gesamtschaden, so schätzt Heise, dürfte noch einmal um einen deutlich fünfstelligen Betrag höher liegen.

 

Unternehmen sollten ihre Strategie überdenken

Wie können sich Unternehmen schützen? Regelmäßig Sicherheitskopien anzulegen, Betriebssystem und installierte Programme auf dem neuesten Stand zu halten, Benutzer- und Netzwerkrichtlinien einzuführen, aktuelle Schutzsoftware zu installieren sowie die Mitarbeiter zu schulen, sind die allgemeinen Ratschläge. Aber selbst wenn Unternehmen Intrusion-Prevention-Systeme, Antiviren-Tools, Next-Generation-Firewalls und ein Vulnerability Patch Management implementiert haben, haben diese Lösungen ein großes Manko: Sie können immer raffiniertere Ransomware-Trojaner nicht zuverlässig aufspüren, weil sie auf die Erkennung von Schadsoftware angewiesen sind und bei bisher unbekannter, neuer Malware an ihre Grenzen stoßen. Applikations-Isolation mittels Micro-Virtualisierung ist deshalb die bessere Lösung. Wenn einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs in einer eigenen Micro-Virtual Machine (VM) stattfinden, sind sie strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Mögliche Schädigungen bleiben somit immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu oder alt oder aggressiv das Schadprogramm ist. Nach Beendigung einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, wird die VM einfach gelöscht.

Längst ist Ransomware ein lukratives Geschäft für Cyberkriminelle und es gibt keine Anzeichen dafür, dass dieser Trend endet. Werden die Attacken allerdings isoliert, sind Unternehmen und Behörden auf der sicheren Seite.

Jochen Koehler ist Regional VP Sales Europe beim Sicherheitsanbieter Bromium in Heilbronn

 

628 search results for „Ransomware“

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige…

Gefahr durch Ransomware

Medienberichten zufolge wurde der norwegische Aluminiumhersteller Norsk Hydro Opfer einer Cyberattacke mit Ransomware, die gravierende Auswirkungen auf die Produktion des Unternehmens hat. Wie akut die Bedrohung für Unternehmen durch Ransomware ist, belegt auch eine Befragung des Technologieunternehmens Datto unter 300 IT-Dienstleistern aus ganz Europa.   Einige der wichtigsten Ergebnisse der Untersuchung:   92 % der…

Jeder dritte Onliner hat Angst vor Ransomware

Bekanntheit von Verschlüsselungsattacken steigt. Nur wenige machen Sicherheitskopien ihrer Daten. Geld her oder Daten weg – das ist das Prinzip von sogenannter Ransomware. So werden Schadprogramme bezeichnet, die Kriminelle über das Internet verbreiten und damit Daten auf den Endgeräten von Verbrauchern verschlüsseln. Anschließend fordern die Angreifer ihre Opfer zur Zahlung eines Lösegeldes auf, ohne die…

Sicherheitsrisiko Mitarbeiter: Drei von vier Anwendern wissen nicht, was Ransomware ist

Studie offenbart gefährliche Wissenslücken bei deutschen IT-Anwendern. Proofpoint, ein Next-Generation Cybersecurity-Unternehmen, hat seinen neuen »End User Risk Report 2018« der Öffentlichkeit präsentiert. Dabei traten erschreckende und für Unternehmen sowie Privatpersonen gefährliche Wissenslücken im Bereich IT-Sicherheit auf. Dies gilt auch und insbesondere im Alltag, wenn man bedenkt, dass jeder zehnte Deutsche sein Smartphone nicht schützt. Und…

Ransomware as a Service: Cybererpressung auf Bestellung

Geschäftsmodell Satan & Co.     CryptoLocker, GoldenEye, Locky, WannaCry – Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware as a Service (RaaS) rasch ein lukratives Geschäftsmodell…

Ransomware: Zahlungsbereitschaft hat sich mehr als versechsfacht

Angriffe durch Ransomware sind im Vergleich zum Vorjahr gesunken, zugleich ist die Zahlungsbereitschaft der Unternehmen jedoch deutlich gestiegen, so das Ergebnis einer neuen Barracuda-Umfrage bei rund 630 Organisationen weltweit, davon 145 Unternehmen aus EMEA. In der neuen Ransomware-Umfrage gaben rund ein Drittel (30 Prozent) der Unternehmen an, Opfer eines Ransomware-Angriffs geworden zu sein. Damit verzeichnet…

Ransomware der Dinge: Das IoT-Gerät als Geisel

Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things: So war Ende 2016 das erste Mal ein groß angelegter Cyberangriff in Form der Mirai-Malware erfolgreich, der hunderttausende IoT-Geräte wie Router,…

Ein Jahr nach WannaCry: Deutsche Unternehmen unzureichend gegen Ransomware und Cyberattacken geschützt

46 Prozent aller Befragten halten ihr Unternehmen für stärker gefährdet als vor einem Jahr. Am 12. Mai war es genau ein Jahr her, dass auf vielen Computer-Bildschirmen nichts mehr ging: Die Ransomware WannaCry hatte weltweit zugeschlagen und viele Systeme lahmgelegt. In Deutschland waren laut einer aktuellen Umfrage des Cybersecurity-Unternehmens Tanium mit 31 Prozent knapp ein…

Ransomware: 70 Prozent der großen Unternehmen in Deutschland von Erpresser-Malware betroffen

Ransomware-Angriffe kosten große Unternehmen durchschnittlich 750.000 Euro. Angriffe mit Erpresser-Malware haben sich zu einem kostspieligen Massenphänomen entwickelt, wie eine Studie nun offenbart [1]. 70 Prozent und damit fast drei Viertel der Unternehmen mit mehr als 1000 Mitarbeitern in Deutschland wurden in den vergangenen zwölf Monaten demnach Opfer eines Ransomware-Angriffs. Der Großteil der Unternehmen wurde dabei…

IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise

Cyberkriminalität ist längst zu einem äußerst lukrativen Geschäftsmodell geworden. In seinen Vorhersagen für IT-Sicherheit 2018 hat der IT-Sicherheitsanbieter Trend Micro die Vorgehensweise künftiger Angriffe untersucht, damit Unternehmen sich besser vor diesen schützen können.