Illustration Absmeier foto freepik

In der langen Geschichte der Computerkriminalität haben sich Akteure, Ziele und Taktiken stark verändert. Zu Beginn waren Computer noch isolierte Systeme, die hauptsächlich in akademischen Umgebungen für Nischenanwendungen eingesetzt wurden. Die ersten »Angriffe« kann man wohl eher als etwas aus dem Ruder gelaufene »Basteleien« ansehen, weniger als gezielt böswillige Aktivitäten. Viele Sicherheitsexperten beklagen, dass man bei der Entwicklung der ersten Netzwerkprotokolle zu naiv gewesen sei und sich die Betreffenden kaum Gedanken zum Thema Sicherheit gemacht hätten. Tatsache ist aber, dass es zu diesem Zeitpunkt noch nicht viel Schützenswertes gab. Der überwiegende Teil der Daten war wenig interessant, die Benutzerbasis nicht ausreichend groß.

Spulen wir schnell vor ins neue Jahrhundert: Computer sind jetzt schneller und miteinander verbunden. Die meisten Haushalte haben mindestens einen, Unternehmen einen für jeden Mitarbeitenden und etliche weitere laufen im Hintergrund. Computer werden tragbar. Kritische Infrastrukturen laufen darauf. Fahrzeughersteller streuen viele kleine Computer in Autos ein, etwa um kritische Steuerungsfunktionen zu übernehmen: Wenn Sie auf das Bremspedal treten, die Software das jedoch nicht korrekt registriert, können Sie möglicherweise nicht bremsen!

Diese immense Fülle an Daten ist naturgemäß auch für Kriminelle interessant. Sukzessive haben sie damit begonnen, Low-Tech-Betrügereien in die digitale Welt zu übertragen. Das hat uns Spam, Phishing und alle möglichen anderen Arten von E-Mail-basierten Angriffsmethoden beschert, um Benutzern Vermögenswerte aus der Tasche zu ziehen.

Technisch versierte Angreifer haben unterschiedliche Motive, vom schnellen Geld bis hin zum bloßen Austesten ihres technischen Know-hows. Viele Viren aus dieser Zeit waren eher destruktiv als explizit böswillig angelegt. Sie haben beispielsweise Computer verlangsamt oder Festplatten volllaufen lassen. Alles in allem war der Bereich Online-Kriminalität noch eher amateurhaft. Das Verbrechen eher ein Nebeneffekt als genuine Absicht.

Das blieb natürlich nicht so. Mit der Zeit professionalisierte sich die Cyberkriminalität. Online-Trolle, Betrüger und fehlgeleitete Technikfreaks sind nicht verschwunden. Aber die schwindelnden Höhen der »Bounties« lockt längst auch die großen Fische an. Organisierte Kriminalität und staatlich geförderte Gruppen treten auf den Plan, und machen aus der Cyberkriminalität einen Vollzeitjob. Und mit dieser Entwicklung ändert sich der Einsatz. Inzwischen müssen wir uns mit Cyber-Kriegsführung ebenso auseinandersetzen wie mit traditioneller Kriminalität, die digital unterstützt wird, mit Advanced Persistent Threats (APTs) und nicht zuletzt mit Ransomware.

Ransomware – so simpel wie effizient

Ransomware ist ein äußerst lukratives Beispiel für Computerkriminalität mit unternehmerischem Ansatz: eine Möglichkeit, mehr Geld mit weniger Aufwand zu verdienen. Es geht um Effizienz. Trendige Modelle wie »Ransomware-as-a-Service” sind längst in freier Wildbahn allgemein zugänglich.

Im Wesentlichen sind es drei Aspekte, die Ransomware zu dem erfolgreichen Instrument für Geldwäsche machen:

Vorschlaghammer statt Skalpell: Einen kompletten Rechner (oder ein Netzwerk) anzugreifen, unabhängig vom Inhalt, ist einfacher, als sich erst mühsam Zugang zu verschaffen, herauszufinden, welche Daten tatsächlich wertvoll sind, diese Daten abzuziehen und dann zu Geld zu machen.
Menschen schätzen ihre Daten so sehr, dass sie bereit sind, dafür (viel) Geld zu bezahlen.
Menschen schätzen ihre Daten nicht genug, um effektive Sicherheitsstrategien zu definieren, umzusetzen und zu testen.

Die meisten Ransomware-Angriffe folgen einem ähnlichen Muster: Zunächst wird ein schädliches Tool, ein Verschlüsselungsprogramm, auf dem Zielsystem ausgeführt.

Wie der Name schon sagt, verschlüsselt das Programm die gesamte Festplatte (oder die Festplatten) und löscht den Schlüssel. Wenn die Täter beabsichtigen, die Daten wiederherstellbar zu machen, behalten sie eine Kopie des Schlüssels getrennt von den betroffenen Systemen. Anschließend machen die Angreifer sich bemerkbar. Ein bekanntes Beispiel ist der WannaCry-Bildschirm, einer der berüchtigtsten und schädlichsten Ransomware-Angriffe überhaupt. Der Bildschirm von WannaCry ist eine Lektion in Sachen Benutzerfreundlichkeit, von der viele seriöse Unternehmen lernen könnten. Er ist in einem alarmierenden Rot gehalten, um die Aufmerksamkeit auf sich zu ziehen. Dann wird dem Benutzer erklärt, was passiert ist und was er tun muss, um die Daten wiederherzustellen. Die Initiatoren von Ransomware-Kampagnen geben sich redlich Mühe, mit ihren Opfern zu kommunizieren und nutzen dazu sogar Kundendienst-Callcenter. Wohl wissend, dass sie ihr Geld nur bekommen, wenn die Geschädigten überzeugt sind, dass zahlen die beste Option ist, um die Daten wiederherzustellen. Ist die Zahlung eingegangen wird – so der Plan – ein Entschlüsselungstool mit dem so dringend benötigten geheimen Schlüssel zur Verfügung gestellt. Jedenfalls, wenn es sich um eine »ehrbare« Ransomware-Gruppierung handelt.

In anderen Fällen von Ransomware-Angriffen werden die Daten nicht verschlüsselt. Stattdessen drohen die Angreifer damit, die Daten zu veröffentlichen. Die Folgen sind vielfältig, von peinlichen bis hin zu Betriebsgeheimnissen, die auch gegenüber der Konkurrenz offengelegt werden. In beiden Fällen ist die Vorgehensweise ähnlich: Die Anwendung durchsucht sämtliche Festplatten, und die Angreifer versuchen, Geld zu erpressen, um dauerhafte Schäden zu vermeiden.

Insgesamt sind nur zwei Schritte wirklich herausfordernd. Der erste besteht darin, den Verschlüsselungscode in das Zielsystem einzuschleusen. Leider können Angreifer immer noch auf eine sehr simple Methode zurückgreifen: Sie fragen einfach. Phishing-Angriffe sind eine beliebte Methode, um Ransomware-Verschlüsselungscodes zu verbreiten. Immer noch klicken potenzielle Opfer bereitwillig auf Links in einer E-Mail, ohne die Herkunft zu überprüfen oder groß darüber nachzudenken. Technische Einstiegspunkte, die traditionell zur Verbreitung von Malware dienen, sind nach wie vor nützlich: Wenn eine offene Dateifreigabe existiert, kann der Angreifer die Datei im Zielsystem bereitstellen und dann eine weitere Schwachstelle finden, um sie auszuführen. WannaCry ist ein solches Beispiel.

Die zweite Herausforderung besteht darin, an das geforderte Lösegeld zu kommen, ohne die Identität des Angreifers preiszugeben. Vor 15 Jahren hätte allein diese Herausforderung die Ausbreitung von Ransomware-Banden verhindert: Sie hätten in bar bezahlen müssen, was schwer zu skalieren ist und geografisch auf den unmittelbaren Einflussbereich der Bande beschränkt wäre. Oder sie hätten auf digitale Zahlungsmittel zurückgreifen und das Geld zügig abheben müssen, was wiederum die Aufmerksamkeit auf sich gezogen hätte.

Ransomware und Kryptowährungen

Im Jahr 2008 kündigte ein Autor unter dem Pseudonym Satoshi Nakamoto ein »Peer-to-Peer electronic cash System« namens Bitcoin an. Im Zuge der Finanzkrise und befeuert durch Berichte über die Bespitzelung von Bürgern durch Regierungen, fand die Idee einer anonymen Art der Online-Zahlung rasch Zuspruch. Satoshis Aufsatz dokumentierte die technischen Details, so dass sich Klone der Idee wie ein Lauffeuer verbreiteten. Auf Bitcoin folgten unzählige alternative »Coins«. Einige gaben an, die technischen Einschränkungen von Bitcoin zu beheben, und andere produzierten Klone nur zum Spaß. Auf jeden Fall begann man von Kryptowährungen zu sprechen, statt nur über Bitcoin zu reden.

Kryptowährungen wurden im darauffolgenden Jahrzehnt zu einem ebenso beliebten wie umstrittenen Konzept. Zwar schafften es Kryptowährungen nicht wie geplant zum Mainstream-Zahlungsmittel zu werden, aber sie wurden zu einem äußerst beliebten Vermögenswert für spekulative Investoren, zu einem gewichtigen Faktor in Umweltdiskussionen allein aufgrund ihres massiven Energieverbrauchs und zum Störfaktor für die Preisentwicklung von Grafikkarten, was es effizienter machte, mehr digitale Token zu generieren, und zwar in einem unvorstellbaren Ausmaß.

Allerdings gibt es eine Branche, die dank der Kryptowährung florierte: die Computerkriminalität. Die Möglichkeit, weltweit Zahlungen, ohne einen Identitätsnachweis entgegenzunehmen, erwies sich als Segen für den aufstrebenden Markt. Die oben erwähnte WannaCry-Entschlüsselungsanwendung enthielt eine Bitcoin-Adresse, an die Opfer ihre Zahlungen leisten konnten.

Zwar gelang es den Behörden einige der solcherart operierenden kriminellen Organisationen ausfindig machen. Aber Fakt ist: Die internationale Verfügbarkeit eines Zahlungsmittels, das nicht mit einer tatsächlichen Identität verknüpft ist, hat es Kriminellen erheblich erleichtert, Zahlungen entgegenzunehmen. Im Umkehrschluss ist es für die Strafverfolgungsbehörden sehr viel schwerer den Spuren der Cyberkriminellen zu folgen.

Einige bemerkenswerte Vorfälle

Das Paradebeispiel für Ransomware ist WannaCry. Der Name bezieht sich auf eine Angriffswelle im Jahr 2017 und die Software, die diese Angriffe möglich gemacht hat. Sie enthält alle Elemente, die man von Ransomware erwartet: Alle Daten werden verschlüsselt, dann wird ein Decryptor installiert, der dem Opfer mitteilt, was es zu tun hat, um den Decryption Key zu bekommen, einschließlich der Zahlungsmodalitäten in Bitcoin und einer benutzerfreundlichen Erklärung, warum das Opfer doch bitte ein Lösegeld zahlen sollte.

Dieser Screenshot des Entschlüsselungsprogramms ist vermutlich das am häufigsten reproduzierte Bild in der Berichterstattung über Ransomware:

Doch erst 2017 wurde WannaCry richtig bekannt. WannaCry, die Software, war nämlich auch ein Computerwurm: Sie konnte nicht nur Daten verschlüsseln, sondern sich auch über vernetzte Geräte hinweg reproduzieren. WannaCry nutzte eine von der NSA entwickelte und von einer Gruppierung namens Shadow Brokers veröffentlichte Sicherheitslücke in Windows aus und war sehr ansteckend. Er breitete sich schnell auf kritische Dienste wie Gesundheits- und Verkehrssysteme in vielen Ländern aus und hinterließ massive Schäden, die über den nicht unerheblichen finanziellen Schaden noch weit hinausgingen. In der Folge wurde eines deutlich: Microsoft hatte bereits einen Patch für die Sicherheitslücke veröffentlicht und betrachtete die anfällige Version als nicht mehr unterstützt. Dennoch verwendeten all diese Unternehmen die veraltete Version noch für eine Vielzahl von kritischen Aufgaben.

Man brachte WannaCry mit der Lazarus-Gruppe in Verbindung, einem Sammelnamen für kriminelle Vereinigungen, die von Nordkorea unterstützt werden. Die Gruppe wird zudem mit weiteren hochkarätigen Angriffen in Verbindung gebracht, bei denen Ransomware und Kryptowährungen zum Einsatz kamen. Diese Angriffe verliefen so erfolgreich, dass sie als Hauptfinanzquelle für das stark sanktionierte Atomprogramm des Regimes gelten. Eine spannende Darstellung der Vorfälle und ihrer geopolitischen Folgen findet man in »The Lazarus Heist« in Buchform oder als Podcast.

In etlichen Branchen sind Ransomware-Angriffe ein kostspieliges Ärgernis, aber sie lassen sich überstehen. Man kann Systeme wiederherstellen und versuchen, die Infektion zu entfernen. In anderen Unternehmen, wie Krankenhäusern, Notdiensten oder Versorgungsunternehmen, können Ausfallzeiten aber Menschenleben kosten. Das hat diese Branchen in den Fokus gerückt. Das Zahlen des Lösegelds ist der schnellste Weg, um wieder handlungsfähig zu sein. Bemerkenswerterweise haben einige Ransomware-»Verkäufer« eine Art Ethikkodex entwickelt, der vorsieht, bestimmte Branchen zu verschonen. Diese »Verkäufer« haben also einen Ruf zu verlieren!

Prävention

Viele der Mechanismen, die dazu beitragen, Ransomware-Angriffe zu verhindern, sind grundlegende Verfahren: Sensibilisierungstrainings, um Mitarbeiter davon abzuhalten, wahllos auf verdächtige Links zu klicken, das Härten auf Netzwerk- und Betriebssystemebene, die schnelle Bereitstellung von Updates, Malware-Scans usw.

Aber auch ein Resilienzplan spielt eine wichtige Rolle bei der Ransomware-Bekämpfung – im Idealfall untermauert durch eine klar definierte und getestete Backup-Strategie. Das sind übliche Maßnahmen gegen versehentlichen Datenverlust und konventionelle Hackerangriffe wie z. B. das Verunstalten von Websites. Sie erkennen den Vorfall, führen ein Rollback Ihrer Daten oder Ihrer Umgebung zu einem bestimmten Zeitpunkt in der Vergangenheit durch und setzen Ihre Arbeit mit (idealerweise) einem nur minimalen Datenverlust fort.

Dieses Sicherheitsmodell basiert auf einigen Annahmen. Einfach ausgedrückt, geht es davon aus, dass die Sicherheitsmaßnahmen funktionieren (genügend Informationen enthalten, um eine saubere Wiederherstellung zu ermöglichen) und gültig sind (die Wiederherstellung würde alle vom Angreifer verursachten Schäden beheben). Die Realität stellt beide Annahmen nicht selten in Frage.

Viele Unternehmen verfügen über Backup-Prozesse. Aber nur wenige verfügen auch über Pläne zur Wiederherstellung, die beschreiben, was mit den Backups zu tun ist, um wieder einen funktionsfähigen Zustand herzustellen. Nur eine kleine Minderheit testet diese Backups regelmäßig, damit gewährleistet ist, dass sie tatsächlich zuverlässig sind. Das ist umständlich und unter anderem deshalb ist der Wiederherstellungsprozess oft erfolglos.

Ransomware-Angriffe stellen auch die zweite Annahme in Frage. Wenn die Backups beispielsweise »hot« laufen (d. h. ständig mit dem Zielsystem verbunden), könnte der Encryptor auch die Backup-Laufwerke verschlüsseln und die Backups somit unbrauchbar machen. Oder der Encryptor wird zu einem bestimmten Zeitpunkt installiert, bleibt aber einige Monate inaktiv und verschlüsselt die Daten erst später. Zwar ließen sich die Daten, die in dieser inaktiven Zeit erstellt wurden, wiederherstellen, allerdings im infizierten Zustand.

Zusammenfassend kann man sagen: Eine robuste Backup-Strategie muss sowohl auf Hot- als auch auf Cold-Backup-Speicherorte zurückgreifen. Die sollten ausreichend voneinander isoliert betrieben werden, um zu verhindern, dass sich ein Angriff auf das Hauptsystem ungehindert auf die Backups ausbreitet. Beide sollte man regelmäßig und gründlich testen.

Das gilt besonders für kritische Systeme, bei denen die Ausfallzeiten und der Verlust von Daten bei der Wiederherstellung so gering wie möglich sein sollten.

Wenn Sie der Meinung ist, dass eines Ihrer Systeme für Ransomware-Angriffe besonders attraktiv ist, sollten Sie sich mit den örtlichen Behörden und/oder den CERTs der Branche in Verbindung setzen, um im Falle eines Ransomware-Angriffs schnell Unterstützung zu bekommen.

Wie sollte man reagieren?

Trotz aller Anstrengungen kann niemand realistisch garantieren, dass ein Unternehmen vor Ransomware-Angriffen sicher ist. Was also ist im Falle eines Falles zu tun?

Zahlen Sie KEIN Lösegeld. Die Zahlung von Lösegeld fördert diese Praxis und ist in mehreren Rechtssystemen illegal. Selbst wenn Sie das Lösegeld zahlen, gibt es keine Garantie, dass Sie Ihre Daten zurückbekommen und ein Angriff nicht erneut stattfindet.
Schalten Sie das System offline. Versuchen Sie, es anhand der Backups wiederherzustellen.
Sind Kundendaten von einem Angriff betroffen, sei es, weil sie nicht verfügbar sind oder weil sie offengelegt wurden, benachrichtigen Sie Ihre Kunden. Transparenz spielt eine große Rolle, wenn Sie das Vertrauen Ihrer Kunden jetzt nicht verspielen wollen.
Wenden Sie sich an die örtlichen Behörden und/oder Branchen-CERTS, um den Vorfall zu untersuchen und Unterstützung zu bekommen.
Wenden Sie sich an vertrauenswürdige Sicherheitsexperten. Ransomware basiert auf Kryptografie, und Kryptografie ist bekanntermaßen schwer zu implementieren. Es gibt dokumentierte Ransomware-Angriffe, die erfolgreich abgewehrt wurden, weil der Encryptor Fehler bei der Verschlüsselung gemacht hatte. Geschulte Experten konnten den Mechanismus zurückentwickeln (reverse engineering) und die Daten ohne den Encryption Key verschlüsseln.

Fazit

Auf technischer Ebene ist Ransomware nicht neu. Die wirtschaftlichen Anreize«haben allerdings zu wesentlich besser organisierten kriminellen Strukturen geführt. Die Banden agieren rücksichtslos, in größerem Maßstab und sind hoch motiviert, sensible Branchen anzugreifen – in der Hoffnung, die Lösegeldzahlungen möglichst zu maximieren. Das hat nicht unerheblich zur inzwischen massenhaften Verbreitung geführt. Mit potenziell verheerenden Auswirkungen auf Unternehmen und Infrastrukturen, die nicht ausreichend vorbereitet sind.

Sergio A. Figueroa, Senior Security Consultant, Synopsys Software Integrity Group

Danksagung

Der vorliegende Text bezieht sich auf den Vortrag »The Current State of Ransomware” von Sebastian Gebhard, gehalten auf der BSides Munich 2023. Viele der hier beschriebenen Einsichten über die Unternehmenskultur von Ransomware-Banden und ihre wirtschaftlichen Anreize stammen aus diesem Vortrag. Wer sich für das Thema interessiert, der sollte sich die Aufzeichnung nicht entgehen lassen.

1738 Artikel zu „Ransomware“

NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN | TIPPS

Ransomware: Mehr Transparenz und Kontrolle schaffen

21. Juni 2024

800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste – all dies sind direkte Folgen der jüngsten Ransomware-Attacken aus den vergangenen 15 Tagen. Die Ransomware-Pandemie wütet ungebremst und die Politik diskutiert strengere Regeln. In UK wird diskutiert, ob Firmen gezwungen werden sollten, Attacken und Ransom-Zahlungen zu melden. Die EU hat mit NIS2 und DORA bereits strenge Meldepflichten…