Seit vielen Jahren gibt es eine feste Größe im Bereich der Cyberkriminalität, nämlich Angriffe mittels Ransomware. Bei solchen Attacken bringen Kriminelle Unternehmen dazu, Schadcode auf ihren Systemen auszuführen, der dort oder im verbundenen Netzwerk vorhandene Daten verschlüsselt und für den Nutzer unzugänglich macht. Die Ziele, die Kriminelle mit diesen Angriffen verfolgen, haben sich im Laufe der Zeit allerdings verändert.

Früher ging es ausschließlich darum, von Unternehmen ein Lösegeld zu erpressen, das dafür sorgen sollte, die Verschlüsselung wieder aufzuheben. Heute hat die Verschlüsselung neben der Lösegeldforderung meist noch einen weiteren Zweck. Bei Angriffen auf große Unternehmen gelangen Cyberkriminelle häufig an sensible Informationen wie Zugangsdaten oder geheime Produktinformationen. Nachdem die Kriminellen diese Daten für den lukrativen Weiterverkauf dupliziert und gesichert haben, versehen sie diese auf den Systemen der Opfer mit einer Verschlüsselung, um ihre Spuren zu verwischen und Zeit für den Rückzug zu gewinnen. Für die Angreifer besitzt die Beseitigung der Spuren eine hohe Priorität. Je länger sie es den verantwortlichen Security-Experten schwer machen, die eingesetzte Schadsoftware und Methode zu analysieren und daraufhin Gegenmaßnahmen zu bestimmen, desto mehr Profit können sie mit der aktuellen Angriffsvariante generieren.

Effizientere Angriffe durch Automatisierung und gezielte Auswahl der Opfer

Die in den Anfängen meist manuell, von versierten Angreifern, durchgeführten Ransomware-Angriffe sind heutzutage so profitabel geworden, dass bei ihrer Durchführung eine regelrechte Professionalisierung zu beobachten ist.

Automatisierte Angriffsmuster ermöglichen es, in kürzerer Zeit mehr Ziele zu kompromittieren und so höhere Einnahmen zu generieren. Zusätzlich zu den eigenen Attacken stellen Hacker gegen Bezahlung mittlerweile auch Tools und Dienstleistungen zur Durchführung von Ransomware-Angriffen für technisch weniger Versierte bereit und erzielen damit weitere Einkünfte mit geringerem Risiko. Je nach Infrastruktur der Opfer, wird auch sogenannte Targeted-Ransomware eingesetzt, die gezielt Sicherheitslücken und Zero-Day Exploits in den Zielsystemen ausnutzt und durch komplexe Angriffsmuster eine Nachverfolgung erschwert.

Zudem sorgt eine sehr genaue Auswahl der für die Angriffe relevanten Personengruppen und Endgeräte für mehr Effektivität. Immer öfter werden hier besonders die Rechner und Mobilgeräte von hochrangigen Führungskräften zum Ziel, weil die Wahrscheinlichkeit, dort geheime Unternehmensinformationen zu erlangen, ungleich größer ist als bei anderen Mitarbeitern.

Über sehr große Mengen an sensiblen Daten verfügen auch bestimmte Branchen wie Einrichtungen aus dem Gesundheitsbereich oder Finanzwesen. Zwischen beiden Sektoren besteht allerdings ein wesentlicher Unterschied: Einrichtungen im Gesundheitsbereich wie beispielsweise Krankenhäuser verfügen aufgrund von fehlendem Budget und Fokus auf IT-Sicherheit häufig über sehr rudimentäre und lückenhafte IT-Sicherheitsstrategien und sind für Angreifer leichte Beute. Anders sieht es bei Bankhäusern oder sonstigen Finanzeinrichtungen aus. Zwar zählen sie zu den stark angegriffenen Zielen, da bei ihnen viele vertrauliche Informationen abgegriffen und eventuell auch Geldbeträge gestohlen werden können. Hier wurden jedoch meist von Anfang an durchdachte IT-Sicherheitskonzepte entwickelt und umgesetzt, welche den Kriminellen deutlich mehr Einsatz abverlangen.

Intelligente, hochleistungsfähige Schadsoftware mit Eigenschutz

Als weitere Faktoren des Wandels sind die immer höhere Leistungsfähigkeit der eingesetzten Schadprogrammvarianten sowie die Verfügbarkeit extrem starker Verschlüsselungsalgorithmen zu nennen. Auch die Funktionen zum Eigenschutz der Schadsoftware werden immer ausgefeilter. Neben der Auslieferung in gepackter Form kann diese auch über gültige digitale Signaturen verfügen oder sogar die Systemumgebung überwachen und sich bei verdächtigen Ereignissen vorübergehend selbst beenden, um nicht entdeckt zu werden. Die automatische Prüfung von Länderkennungen oder Tastaturlayouts kann helfen, sicherzustellen, dass die Schadsoftware auf einem System läuft, welches sich nicht innerhalb des Zuständigkeitsbereiches der lokalen Strafverfolgung befindet. Natürlich ist es für aktuelle Ransomware-Varianten wie beispielsweise CLOP auch kein Problem, vor der eigentlichen Verschlüsselung auf dem Zielsystem vorhandene Sicherheitssoftware zu deaktivieren und zu entfernen. Teilweise werden durch die Schadsoftware gesamte Systemimages nachgeladen und dann auf dem Zielsystem als virtuelle Maschinen ausgeführt.

Kryptowährungen erleichtern Anonymität

Schon in den frühen Zeiten des Internets war es oft nicht einfach, Cyberkriminellen auf die Spur zu kommen. In der heutigen Zeit, in der durch extrem starke Verschlüsselungsalgorithmen und hohe Rechenleistungen Kryptowährungen ihren Siegeszug angetreten haben, wird dies noch weiter erschwert. Kryptowährungen erlauben eine vollkommen anonyme Zahlungsabwicklung und nehmen so den Ermittlern den letzten persönlichen Hinweis, der früher durch Bankkonten oder andere herkömmliche Zahlungsmittel möglicherweise noch über mehrere Ecken zu den Tätern führen konnte.

Regionale Rechtslücken machen Ransomware zum kriminellen Dauerbrenner

Ransomware-Angriffe sind ein echtes Erfolgsmodell und brachten Cyberkriminellen allein im Jahr 2020 rund 350 Millionen an Lösegeld ein. Diese Zahl konnte durch Transaktionen über Blockchain-Adressen ermittelt werden, die entsprechenden Gruppen zugeordnet werden. Einer der großen Erfolgsfaktoren von Ransomware-Angriffen liegt in der Rechtsstruktur einiger Länder, aus denen Cyberkriminelle besonders häufig agieren. Als Musterbeispiel gilt hier Russland. Solange Angreifer sicherstellen, dass sich die zu kompromittierenden Systeme außerhalb der russischen Grenzen befinden, haben sie von russischen Behörden kaum eine Strafverfolgung zu befürchten. Dies kann, wie zuvor bereits erwähnt, durch Abfragen von Länderkennungen und Tastaturlayouts durch die Schadsoftware realisiert werden. Legen die Abfragen den Verdacht nahe, dass es sich um ein in Russland befindliches System handelt, deaktiviert sich die Software selbstständig und schützt somit den Angreifer vor einer lokalen Strafverfolgung.

Fazit

Cyberangriffe sind fester Bestandteil der heutigen IT-Landschaft und halten IT-Security-Spezialisten seit Jahrzehnten auf Trab. Ransomware-Angriffe nehmen in diesem Bereich eine Sonderstellung ein, denn sie eignen sich perfekt, um gleich mehrere Ziele auf einmal zu erreichen. Zum einen natürlich, um Lösegeld zu erpressen, aber auch um einen vorhergehenden Datendiebstahl effektiv zu verschleiern. Zudem lässt sich über Ransomware ein komplettes Unternehmen stilllegen und so nachhaltig schädigen, dass es schließlich vom Markt verschwindet. Die Kombination aus der erwähnten Rechtsprechung in Ländern wie Russland oder China und der automatischen Abfrage von Länderkennungen sorgt zudem noch für ein relativ geringes Risiko, strafrechtlich belangt zu werden. Solange diese Bedingungen sich nicht drastisch verändern, werden Ransomware-Angriffe noch viele Jahre eine lukrative Einnahmequelle für Kriminelle bleiben und sich technisch stetig weiterentwickeln.

Unternehmen jeder Größe sollten deshalb umdenken, entsprechende Budgets für IT-Sicherheit einplanen und gemeinsam mit spezialisierten Dienstleistern eine umfangreiche IT-Sicherheitsstrategie erarbeiten und fortlaufend optimieren.

Stefan Brenner

Stefan Brenner ist IT-Security Professional / SIEM Content Engineer bei magellan netzwerke, einem Tochterunternehmen der FERNAO Networks Holding

1306 Artikel zu „Ransomware „

NEWS | IT-SECURITY | TIPPS

Backup und Erpresser-Software – Der aktuelle Ransomware Threat Report

31. März 2021

Am heutigen World Backup Day rückt das Thema Ransomware mehr denn je in den Fokus, ist sie doch ein Haupttreiber für die Modernisierung der Backup-Lösungen in vielen Unternehmen. Palo Alto Networks und das Crypsis Incident Response Team haben sich zusammengetan, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der jüngste Ransomware Threat Report, der vor…