Ransomware
| Teil einer Serie über ⓘ |
| Informationssicherheit |
|---|
 |
| Verwandte Sicherheitskategorien |
|
| Bedrohungen |
|
| Verteidigungen |
|
Ransomware ist eine Art von Malware aus der Krypto-Virologie, die damit droht, persönliche Daten die persönlichen Daten des Opfers zu veröffentlichen oder den Zugriff darauf dauerhaft zu sperren, wenn kein Lösegeld gezahlt wird. Während einige einfache Ransomware das System sperren kann, ohne Dateien zu beschädigen, verwendet fortgeschrittenere Malware eine Technik, die als kryptovirale Erpressung bezeichnet wird. Sie verschlüsselt die Dateien des Opfers, so dass sie nicht mehr zugänglich sind, und verlangt eine Lösegeldzahlung, um sie zu entschlüsseln. Bei einem ordnungsgemäß durchgeführten kryptoviralen Erpressungsangriff ist die Wiederherstellung der Dateien ohne den Entschlüsselungsschlüssel ein unlösbares Problem - und für die Lösegelder werden schwer zu verfolgende digitale Währungen wie Paysafecard oder Bitcoin und andere Kryptowährungen verwendet, was die Rückverfolgung und Strafverfolgung der Täter erschwert. ⓘ
Ransomware-Angriffe werden in der Regel mit einem Trojaner durchgeführt, der als legitime Datei getarnt ist und den Benutzer dazu verleitet, die Datei herunterzuladen oder zu öffnen, wenn sie als E-Mail-Anhang eintrifft. Ein viel beachtetes Beispiel, der WannaCry-Wurm, verbreitete sich jedoch automatisch zwischen Computern, ohne dass der Benutzer eingreifen musste. ⓘ
Seit der ersten dokumentierten Ransomware, die als AIDS-Trojaner bekannt ist, im Jahr 1989 hat die Nutzung von Ransomware-Betrug international zugenommen. In den ersten sechs Monaten des Jahres 2018 gab es 181,5 Millionen Ransomware-Angriffe. Dieser Rekord markiert einen Anstieg von 229 % gegenüber dem gleichen Zeitraum im Jahr 2017. Im Juni 2014 veröffentlichte der Anbieter McAfee Daten, aus denen hervorging, dass er in diesem Quartal mehr als doppelt so viele Ransomware-Samples gesammelt hatte wie im gleichen Quartal des Vorjahres. Besonders erfolgreich war CryptoLocker, das schätzungsweise 3 Millionen US-Dollar erbeutete, bevor es von den Behörden abgeschaltet wurde, und CryptoWall hatte nach Schätzungen des US Federal Bureau of Investigation (FBI) bis Juni 2015 über 18 Millionen US-Dollar eingenommen. Im Jahr 2020 gingen beim IC3 2.474 Beschwerden ein, die als Ransomware identifiziert wurden und einen bereinigten Schaden von über 29,1 Millionen US-Dollar verursachten. Nach Angaben des FBI könnten die Verluste noch höher sein. Einem Bericht von SonicWall zufolge gab es im Jahr 2021 rund 623 Millionen Ransomware-Angriffe. ⓘ
Beispiel eines Erpresserschreibens bei Ransomware:
Your personal files are encrypted! ⓘ
Your important files encryption produced on this computer: photos, videos, documents, etc. Here is a complete list of encrypted files, and you can personally verify this. ⓘ
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. ⓘ
This single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files… ⓘ
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 300 USD / 300 EUR / similar amount in other currency. ⓘ
Click Next to select the method of payment. ⓘ
Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.
Ransomware (von englisch ransom für „Lösegeld“), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. ⓘ
Die Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Laut einem Bericht von SonicWall fanden 2021 um die 623 Millionen Angriffe durch Ransomware statt. ⓘ
Operation
Das Konzept der dateiverschlüsselnden Ransomware wurde von Young und Yung an der Columbia University erfunden und umgesetzt und 1996 auf der IEEE Security & Privacy Conference vorgestellt. Es wird als kryptovirale Erpressung bezeichnet und wurde von dem fiktiven Facehugger aus dem Film Alien inspiriert. Bei der kryptoviralen Erpressung handelt es sich um das folgende Drei-Runden-Protokoll, das zwischen dem Angreifer und dem Opfer durchgeführt wird. ⓘ
- [Angreifer→Opfer] Der Angreifer generiert ein Schlüsselpaar und platziert den entsprechenden öffentlichen Schlüssel in der Malware. Die Malware wird freigegeben.
- [Um den kryptoviralen Erpressungsangriff auszuführen, generiert die Malware einen zufälligen symmetrischen Schlüssel und verschlüsselt die Daten des Opfers damit. Sie verwendet den öffentlichen Schlüssel der Malware, um den symmetrischen Schlüssel zu verschlüsseln. Dies wird als hybride Verschlüsselung bezeichnet und führt zu einem kleinen asymmetrischen Chiffretext sowie dem symmetrischen Chiffretext der Daten des Opfers. Um eine Wiederherstellung zu verhindern, werden der symmetrische Schlüssel und die ursprünglichen Klartextdaten auf Null gesetzt. Der Benutzer erhält eine Nachricht mit dem asymmetrischen Chiffriertext und der Aufforderung, das Lösegeld zu zahlen. Das Opfer sendet den asymmetrischen Chiffriertext und das E-Geld an den Angreifer.
- [Der Angreifer erhält die Zahlung, entschlüsselt den asymmetrischen Chiffriertext mit dem privaten Schlüssel des Angreifers und sendet den symmetrischen Schlüssel an das Opfer. Das Opfer entschlüsselt die verschlüsselten Daten mit dem benötigten symmetrischen Schlüssel und vollendet damit den Kryptoangriff. ⓘ
Der symmetrische Schlüssel wird nach dem Zufallsprinzip generiert und kann anderen Opfern nicht helfen. Der private Schlüssel des Angreifers wird den Opfern zu keinem Zeitpunkt offengelegt, und das Opfer muss nur einen sehr kleinen Chiffriertext (den verschlüsselten symmetrischen Chiffrierschlüssel) an den Angreifer senden. ⓘ
Ransomware-Angriffe werden in der Regel mit einem Trojaner ausgeführt, der beispielsweise über einen bösartigen Anhang, einen eingebetteten Link in einer Phishing-E-Mail oder eine Sicherheitslücke in einem Netzwerkdienst in ein System eindringt. Das Programm führt dann eine Nutzlast aus, die das System auf irgendeine Weise sperrt oder vorgibt, das System zu sperren, dies aber nicht tut (z. B. ein Scareware-Programm). Payloads können eine gefälschte Warnung anzeigen, die angeblich von einer Einrichtung wie einer Strafverfolgungsbehörde stammt und fälschlicherweise behauptet, dass das System für illegale Aktivitäten verwendet wurde und Inhalte wie Pornografie und "raubkopierte" Medien enthält. ⓘ
Einige Nutzdaten bestehen einfach aus einer Anwendung, die das System sperrt oder einschränkt, bis die Zahlung erfolgt ist, in der Regel indem sie die Windows-Shell auf sich selbst einstellt oder sogar den Master Boot Record und/oder die Partitionstabelle verändert, um den Start des Betriebssystems zu verhindern, bis es repariert ist. Die raffiniertesten Schadprogramme verschlüsseln Dateien, wobei viele eine starke Verschlüsselung verwenden, um die Dateien des Opfers so zu verschlüsseln, dass nur der Autor der Malware über den erforderlichen Entschlüsselungsschlüssel verfügt. ⓘ
Das Opfer wird dazu gezwungen, für die Entfernung der Ransomware zu zahlen, indem es entweder ein Programm bereitstellt, das die Dateien entschlüsseln kann, oder einen Freischaltcode sendet, der die Änderungen der Nutzlast rückgängig macht. Der Angreifer kann zwar einfach das Geld nehmen, ohne die Dateien des Opfers zurückzugeben, aber es liegt im Interesse des Angreifers, die Entschlüsselung wie vereinbart durchzuführen, da die Opfer keine Zahlungen mehr leisten werden, wenn bekannt wird, dass sie keinen Zweck erfüllen. Ein Schlüsselelement, damit Ransomware für den Angreifer funktioniert, ist ein bequemes Zahlungssystem, das schwer zu verfolgen ist. Es wurde eine Reihe solcher Zahlungsmethoden verwendet, darunter Überweisungen, Premium-SMS, Prepaid-Gutscheindienste wie paysafecard und die Kryptowährung Bitcoin. ⓘ
Im Mai 2020 meldete der Anbieter Sophos, dass die weltweiten Durchschnittskosten für die Behebung eines Ransomware-Angriffs (unter Berücksichtigung von Ausfallzeiten, Personalaufwand, Gerätekosten, Netzwerkkosten, entgangenen Geschäftsmöglichkeiten und gezahltem Lösegeld) bei 761.106 US-Dollar liegen. Fünfundneunzig Prozent der Unternehmen, die das Lösegeld gezahlt haben, konnten ihre Daten wiederherstellen. ⓘ
Geschichte
Die Idee geht auf das Jahr 1989 zurück, als das Trojanische Pferd AIDS auf Disketten per Post an zahlreiche Forschungseinrichtungen verschickt wurde. Nach einiger Zeit verschlüsselte das Programm die Daten auf der Festplatte. Laut Bildschirmmeldung war die Lizenz abgelaufen. Der Name eines Unternehmens wurde genannt, und eine Postfachadresse in Panama, an die man einen Scheck senden sollte um einen Lizenzschlüssel zu erwerben und die Daten wieder freizugeben. Das Vorgehen war somit nicht unmittelbar als Erpressung erkennbar. Der Täter, der Biologe Joseph L. Popp Jr., konnte überführt werden. Wegen einer psychischen Erkrankung wurden die Ermittlungen gegen ihn eingestellt. ⓘ
Die erste Malware überhaupt, die Dateien verschlüsseln konnte, war das Bootsektorvirus Disk Killer. Das bösartige Programm war aber nicht auf Erpressung ausgelegt, sondern sollte Datenverluste auf Serveranlagen verursachen. Es erschien ebenfalls im Jahr 1989, laut Signatur wurde es bereits vor dem AIDS-Trojaner geschrieben. Nicht jede Ransomware verschlüsselt Daten, einfachere Programme dieser Art sperren den Rechner mit unterschiedlichen Methoden. ⓘ
Einer der ersten bekannten Versuche, Ransomware über das Internet zu verbreiten, wurde von Cyberkriminellen im Jahr 2005 mit dem Trojaner TROJ_PGPCODER.A durchgeführt. Für die Entschlüsselung der Daten sollten die Betroffenen mehrere hundert US-Dollar bezahlen. Seit sich Kryptowährungen etabliert haben, ist die Geldüberweisung für die Täter deutlich einfacherer und risikoloser geworden. Daher kam es etwa ab dem Jahr 2010 nahezu weltweit zu einem massiven Anstieg von Straftaten mit Ransomware. ⓘ
Im polizeilichen Kriminalitätsbericht des Landes Sachsen-Anhalt von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hatte 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert. ⓘ
Etwa seit 2012 kam es zu häufigen Vorfällen mit verschiedenen Varianten des BKA-Trojaners. Er gab vor, den Rechner im Auftrag einer Strafverfolgungsbehörde wegen illegaler Aktivitäten gesperrt zu haben. Zur Entsperrung sollte ein Bußgeld bezahlt werden. Diese Trojaner verschlüsselten meist keine Daten, sondern sperrten nur das System. In den meisten Fällen ließ sich der Schaden leicht beheben. Opfer, die die geforderte Summe bezahlten, erhielten zudem keine Antwort, bzw. keine Anleitung zum Entsperren des Systems. ⓘ
Inzwischen sind kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannte Crimeware-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann. ⓘ
Im Oktober 2013 wurde die Ransomware CryptoLocker bekannt, die erstmals eine Bezahlung in Bitcoin forderte. ⓘ
2016 ist der Kryptotrojaner Locky aufgetaucht, welcher zehntausende PCs und unter anderem das Fraunhofer-Institut in Bayreuth infizierte. Der Tesla X3-Cryptovirus befiel im Februar 2016 u. a. Rechner des Rathauses in Rheine. Vom 1. Dezember 2015 bis zum 29. Februar 2016 wurden nach Angaben des nordrhein-westfälischen Landeskriminalamts 156 Anzeigen wegen Angriffen durch Ransomware erstattet, die Dunkelziffer wird weit darüber vermutet. Betroffen waren 113 Firmen und Einrichtungen, unter denen sich etliche Kliniken sowie das Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen in Düsseldorf befanden, welches im Dezember 2015 einen Angriff erlitt. ⓘ
Im März 2016 wurde KeRanger gefunden, eine Variante eines Kryptotrojaners für OS X. Anfang Juni 2016 informierte das Fraunhofer-Institut für Sichere Informationstechnologie darüber, dass auch Smartphones durch Ransomware betroffen sein können, insbesondere falls diese mit Security-Apps versehen sind, die Sicherheitslücken enthalten, wie sie vom Fraunhofer-Institut in sämtlichen der sieben exemplarisch getesteten Anwendungen gefunden und dem jeweiligen Hersteller zur Behebung gemeldet wurden. ⓘ
Im Mai 2017 befiel WannaCry unter anderem mehrere global tätige große Unternehmen in sehr kurzer Zeit; es wurden über 230.000 Computer in 150 Ländern infiziert. Aufgrund dieser Ausmaße bezeichnete das Europäische Polizeiamt den Ausbruch als noch nie da gewesenes Ereignis. Neben der üblichen Verbreitung durch E-Mail-Anhang besitzt WannaCry Wurm-Eigenschaften und versucht, weitere Rechner über Sicherheitslücken in Betriebssystemen aktiv und ohne Nutzerzutun zu infizieren. Die auf aktuellem Update-Stand (April 2017 bei Microsoft) befindlichen Systeme seien nicht betroffen gewesen. Bestimmte Datei- und Druckerdienste müssen freigegeben sein, womit WannaCry die Ausbreitung vor allem in unternehmensinternen Datennetzen mit teilweise lange fehlerbehafteten Rechnersystemen gelang. ⓘ
Im Juli 2021 nutzten Cyberkriminelle eine Sicherheitslücke in einer Software für VSA-Server der Firma Kaseya aus. Die Fernwartungssoftware wurde manipuliert um den Trojaner Sodinokibi.N aufzuspielen. Damit wurden die Daten im Netzwerk verschlüsselt. Für die Cyberattacke erklärte sich die russische Hackervereinigung REvil verantwortlich. ⓘ
Mittlerweile sind Ransomware-Kriminelle dazu übergegangen, nicht nur die Systeme ihrer Opfer zu verschlüsseln und Lösegeld für die Entschlüsselung zu verlangen, sondern auch sensible Kunden- und Unternehmensdaten auszuleiten und mit deren Veröffentlichung zu drohen ("double extortion"). ⓘ
Verschlüsselnde Ransomware
Der erste bekannte Erpressungsangriff durch Malware, der "AIDS-Trojaner", der 1989 von Joseph Popp geschrieben wurde, wies einen so schwerwiegenden Konstruktionsfehler auf, dass eine Zahlung an den Erpresser überhaupt nicht erforderlich war. Seine Nutzlast verbarg die Dateien auf der Festplatte und verschlüsselte nur ihre Namen und zeigte eine Nachricht an, die behauptete, dass die Lizenz des Benutzers zur Verwendung einer bestimmten Software abgelaufen sei. Der Benutzer wurde aufgefordert, 189 US-Dollar an die "PC Cyborg Corporation" zu zahlen, um ein Reparaturtool zu erhalten, obwohl der Entschlüsselungsschlüssel aus dem Code des Trojaners extrahiert werden konnte. Der Trojaner war auch unter dem Namen "PC Cyborg" bekannt. Popp wurde für seine Taten für nicht verhandlungsfähig erklärt, versprach aber, die Gewinne aus der Malware für die AIDS-Forschung zu spenden. ⓘ
Die Idee, anonyme Bargeldsysteme zu missbrauchen, um sicher Lösegeld für entführte Menschen einzutreiben, wurde 1992 von Sebastiaan von Solms und David Naccache vorgestellt. Diese elektronische Geldeintreibungsmethode wurde auch für kryptovirale Erpressungsangriffe vorgeschlagen. Im von Solms-Naccache-Szenario wurde eine Zeitungsveröffentlichung verwendet (da Bitcoin-Ledger zum Zeitpunkt der Erstellung des Papiers noch nicht existierten). ⓘ
Die Idee, Kryptographie mit öffentlichen Schlüsseln für Datenentführungsangriffe zu verwenden, wurde 1996 von Adam L. Young und Moti Yung vorgestellt. Young und Yung kritisierten den fehlgeschlagenen AIDS-Informationstrojaner, der sich allein auf symmetrische Kryptografie stützte, wobei der fatale Fehler darin bestand, dass der Entschlüsselungsschlüssel aus dem Trojaner extrahiert werden konnte, und implementierten einen experimentellen Proof-of-Concept-Kryptovirus auf einem Macintosh SE/30, der RSA und den Tiny Encryption Algorithm (TEA) zur hybriden Verschlüsselung der Daten des Opfers verwendete. Da Kryptographie mit öffentlichen Schlüsseln verwendet wird, enthält der Virus nur den Verschlüsselungsschlüssel. Der Angreifer behält den entsprechenden privaten Entschlüsselungsschlüssel für sich. Bei dem ursprünglichen experimentellen Kryptovirus von Young und Yung schickte das Opfer den asymmetrischen Chiffretext an den Angreifer, der ihn entschlüsselte und den darin enthaltenen symmetrischen Entschlüsselungsschlüssel gegen eine Gebühr an das Opfer zurückgab. Lange bevor es elektronisches Geld gab, schlugen Young und Yung vor, dass elektronisches Geld auch durch Verschlüsselung erpresst werden kann: "Der Virenschreiber kann effektiv das gesamte Geld erpressen, bis ihm die Hälfte davon ausgehändigt wird. Selbst wenn das E-Geld zuvor vom Benutzer verschlüsselt wurde, ist es für den Benutzer nutzlos, wenn es von einem Kryptovirus verschlüsselt wird". Sie bezeichneten diese Angriffe als "kryptovirale Erpressung", ein offener Angriff, der zu einer größeren Klasse von Angriffen in einem Bereich namens Kryptovirologie gehört, der sowohl offene als auch verdeckte Angriffe umfasst. Das Protokoll der kryptoviralen Erpressung wurde von der parasitären Beziehung zwischen dem Facehugger von H. R. Giger und seinem Wirt im Film Alien inspiriert. ⓘ
Beispiele für erpresserische Ransomware wurden im Mai 2005 bekannt. Mitte 2006 begannen Trojaner wie Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip und MayArchive, immer ausgefeiltere RSA-Verschlüsselungsschemata mit immer größeren Schlüsseln zu verwenden. Gpcode.AG, das im Juni 2006 entdeckt wurde, war mit einem 660-Bit-RSA-Schlüssel verschlüsselt. Im Juni 2008 wurde eine Variante mit der Bezeichnung Gpcode.AK entdeckt. Sie verwendete einen 1024-Bit-RSA-Schlüssel und war so groß, dass sie ohne eine konzertierte, verteilte Aktion rechnerisch nicht geknackt werden konnte. ⓘ
Verschlüsselnde Ransomware wurde Ende 2013 mit der Verbreitung von CryptoLocker wieder bekannt, das die digitale Währungsplattform Bitcoin nutzt, um Lösegeld zu erpressen. Im Dezember 2013 schätzte ZDNet auf der Grundlage von Bitcoin-Transaktionsdaten, dass die Betreiber von CryptoLocker zwischen dem 15. Oktober und dem 18. Dezember etwa 27 Millionen US-Dollar von infizierten Benutzern erbeutet hatten. Die CryptoLocker-Technik wurde in den darauffolgenden Monaten in großem Umfang kopiert, einschließlich CryptoLocker 2.0 (von dem angenommen wird, dass er nicht mit CryptoLocker in Verbindung steht), CryptoDefense (das anfänglich einen schwerwiegenden Konstruktionsfehler enthielt, der den privaten Schlüssel auf dem infizierten System an einem Ort speicherte, der vom Benutzer nicht abgerufen werden konnte, da es die in Windows integrierten Verschlüsselungs-APIs nutzte) und der Entdeckung eines Trojaners im August 2014, der speziell auf Netzwerkspeichergeräte von Synology abzielt. Im Januar 2015 wurde berichtet, dass Ransomware-ähnliche Angriffe auf einzelne Websites durch Hacking und durch Ransomware, die auf Linux-basierte Webserver abzielt, erfolgt sind. ⓘ
Bei einigen Infektionen gibt es eine zweistufige Nutzlast, die bei vielen Malware-Systemen üblich ist. Der Benutzer wird dazu verleitet, ein Skript auszuführen, das den Hauptvirus herunterlädt und ausführt. In frühen Versionen des Dual-Payload-Systems war das Skript in einem Microsoft Office-Dokument mit einem angehängten VBScript-Makro oder in einer Windows Scripting Facility (WSF)-Datei enthalten. Als die Erkennungssysteme begannen, diese Nutzlasten der ersten Stufe zu blockieren, stellte das Microsoft Malware Protection Center einen Trend hin zu LNK-Dateien mit eigenständigen Microsoft Windows PowerShell-Skripten fest. Im Jahr 2016 wurde festgestellt, dass PowerShell in fast 40 % der Sicherheitsvorfälle an Endgeräten involviert war, ⓘ
Einige Ransomware-Stämme haben Proxys verwendet, die mit versteckten Tor-Diensten verbunden sind, um sich mit ihren Befehls- und Kontrollservern zu verbinden, was die Rückverfolgung des genauen Standorts der Kriminellen erschwert. Darüber hinaus bieten Dark-Web-Anbieter die Technologie zunehmend als Service an, bei dem Ransomware auf Abo-Basis verkauft wird und auf den Rechnern der Opfer installiert werden kann, ähnlich wie bei Adobe Creative Cloud oder Office 365. ⓘ
Symantec hat Ransomware als die gefährlichste Cyber-Bedrohung eingestuft. ⓘ
Am 28. September 2020 wurden die Computersysteme des größten US-Gesundheitsdienstleisters Universal Health Services von einem Ransomware-Angriff getroffen. Die UHS-Kette meldete von verschiedenen Standorten aus, dass Probleme aufgetreten seien. Einige Standorte berichteten, dass Computer und Telefonsysteme seit dem frühen Sonntag (27. September) blockiert seien. ⓘ
Nicht-verschlüsselnde Ransomware
Im August 2010 verhafteten die russischen Behörden neun Personen, die mit einem Ransomware-Trojaner namens WinLock in Verbindung stehen. Im Gegensatz zu dem früheren Gpcode-Trojaner verwendete WinLock keine Verschlüsselung. Stattdessen schränkte WinLock den Zugriff auf das System auf triviale Weise ein, indem es pornografische Bilder anzeigte und die Benutzer aufforderte, eine kostenpflichtige SMS (die etwa 10 US-Dollar kostete) zu senden, um einen Code zu erhalten, mit dem sie ihre Rechner entsperren konnten. Der Betrug betraf zahlreiche Nutzer in Russland und den Nachbarländern und brachte der Gruppe Berichten zufolge über 16 Millionen US-Dollar ein. ⓘ
Im Jahr 2011 tauchte ein Ransomware-Trojaner auf, der den Hinweis auf die Windows-Produktaktivierung imitierte und die Nutzer darüber informierte, dass die Windows-Installation eines Systems neu aktiviert werden müsse, weil sie "Opfer eines Betrugs" geworden seien. Es wurde eine Online-Aktivierungsoption angeboten (wie der eigentliche Windows-Aktivierungsprozess), die jedoch nicht verfügbar war und den Benutzer aufforderte, eine von sechs internationalen Nummern anzurufen, um einen 6-stelligen Code einzugeben. Obwohl die Malware behauptete, dass dieser Anruf kostenlos sei, wurde er über einen unseriösen Anbieter in einem Land mit hohen internationalen Telefontarifen geleitet, der den Anruf in der Warteschleife hielt, so dass dem Benutzer hohe internationale Ferngesprächsgebühren entstanden. ⓘ
Im Februar 2013 tauchte ein Ransomware-Trojaner auf, der auf dem Stamp.EK-Exploit-Kit basierte; die Malware wurde über Seiten auf den Projekt-Hosting-Diensten SourceForge und GitHub verbreitet, die vorgaben, "gefälschte Nacktbilder" von Prominenten anzubieten. Im Juli 2013 tauchte ein OS X-spezifischer Ransomware-Trojaner auf, der eine Webseite anzeigt, die den Benutzer beschuldigt, Pornografie herunterzuladen. Im Gegensatz zu seinen Windows-Pendants blockiert er nicht den gesamten Computer, sondern nutzt einfach das Verhalten des Webbrowsers selbst aus, um Versuche zu vereiteln, die Seite auf normalem Wege zu schließen. ⓘ
Im Juli 2013 stellte sich ein 21-jähriger Mann aus Virginia, auf dessen Computer sich zufällig pornografische Fotos von minderjährigen Mädchen befanden, mit denen er sexuelle Kontakte gepflegt hatte, der Polizei, nachdem er von der MoneyPak Ransomware des FBI, mit der er getäuscht wurde, beschuldigt worden war, Kinderpornografie zu besitzen. Bei einer Untersuchung wurden die belastenden Dateien entdeckt, und der Mann wurde wegen sexuellen Missbrauchs von Kindern und Besitzes von Kinderpornografie angeklagt. ⓘ
Exfiltration (Leakware / Doxware)
Das Gegenteil von Ransomware ist ein von Adam L. Young erfundener Kryptowährungsangriff, der damit droht, gestohlene Informationen aus dem Computersystem des Opfers zu veröffentlichen, anstatt dem Opfer den Zugriff darauf zu verweigern. Bei einem Leakware-Angriff exfiltriert die Malware sensible Hostdaten entweder zum Angreifer oder alternativ zu entfernten Instanzen der Malware, und der Angreifer droht, die Daten des Opfers zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Der Angriff wurde 2003 in West Point vorgestellt und in dem Buch Malicious Cryptography wie folgt zusammengefasst: "Der Angriff unterscheidet sich von dem Erpressungsangriff in folgender Weise. Beim Erpressungsangriff wird dem Opfer der Zugang zu seinen eigenen wertvollen Informationen verweigert, und es muss zahlen, um sie zurückzubekommen, während bei dem hier vorgestellten Angriff das Opfer den Zugang zu den Informationen behält, deren Offenlegung aber im Ermessen des Computervirus liegt". Der Angriff hat seine Wurzeln in der Spieltheorie und wurde ursprünglich als "Nicht-Nullsummenspiel und überlebensfähige Malware" betitelt. Der Angriff kann in Fällen, in denen die Malware Zugang zu Informationen erlangt, die dem Benutzer oder der Organisation des Opfers schaden können, einen finanziellen Gewinn bringen, z. B. den Rufschaden, der sich aus der Veröffentlichung des Beweises ergeben könnte, dass der Angriff selbst erfolgreich war. ⓘ
Übliche Ziele für die Exfiltration sind unter anderem:
- Informationen von Dritten, die vom Hauptopfer gespeichert werden (z. B. Kundenkontodaten oder Gesundheitsdaten);
- Informationen, die Eigentum des Opfers sind (z. B. Geschäftsgeheimnisse und Produktdaten)
- peinliche Informationen (z. B. Gesundheitsdaten des Opfers oder Informationen über die persönliche Vergangenheit des Opfers) ⓘ
Exfiltrationsangriffe sind in der Regel zielgerichtet, mit einer kuratierten Opferliste und oft einer vorherigen Überwachung der Systeme des Opfers, um potenzielle Datenziele und Schwachstellen zu finden. ⓘ
Mobile Ransomware
Mit der zunehmenden Beliebtheit von Ransomware auf PC-Plattformen hat auch Ransomware, die auf mobile Betriebssysteme abzielt, stark zugenommen. In der Regel handelt es sich bei den Nutzdaten von mobiler Ransomware um Blocker, da es wenig Anreiz gibt, Daten zu verschlüsseln, da sie über die Online-Synchronisation leicht wiederhergestellt werden können. Mobile Ransomware zielt in der Regel auf die Android-Plattform ab, da sie die Installation von Anwendungen aus Drittanbieterquellen ermöglicht. Die Nutzlast wird in der Regel als APK-Datei verteilt, die von einem ahnungslosen Benutzer installiert wird; sie kann versuchen, eine Sperrmeldung über allen anderen Anwendungen anzuzeigen, während eine andere eine Form von Clickjacking verwendet, um den Benutzer dazu zu bringen, ihr "Geräteadministrator"-Privilegien zu geben, um tieferen Zugriff auf das System zu erhalten. ⓘ
Auf iOS-Geräten wurden verschiedene Taktiken angewandt, z. B. die Ausnutzung von iCloud-Konten und die Verwendung des Systems "Mein iPhone suchen", um den Zugriff auf das Gerät zu sperren. In iOS 10.3 hat Apple einen Fehler in der Handhabung von JavaScript-Pop-up-Fenstern in Safari behoben, der von Ransomware-Websites ausgenutzt wurde. Kürzlich hat sich gezeigt, dass Ransomware auch auf ARM-Architekturen abzielen kann, wie sie in verschiedenen Internet-of-Things-Geräten (IoT) zu finden sind, z. B. in industriellen IoT-Edge-Geräten. ⓘ
Im August 2019 zeigten Forscher, dass es möglich ist, DSLR-Kameras mit Ransomware zu infizieren. Digitalkameras verwenden häufig das Picture Transfer Protocol (PTP - Standardprotokoll zur Übertragung von Dateien). Die Forscher fanden heraus, dass es möglich ist, Schwachstellen im Protokoll auszunutzen, um die Zielkamera(n) mit Ransomware zu infizieren (oder beliebigen Code auszuführen). Dieser Angriff wurde auf der Sicherheitskonferenz Defcon in Las Vegas als Proof-of-Concept-Angriff vorgestellt (nicht als tatsächliche bewaffnete Malware). ⓘ
Bemerkenswerte Softwarepakete
Reveton
Im Jahr 2012 begann sich ein großer Ransomware-Trojaner namens Reveton zu verbreiten. Er basiert auf dem Citadel-Trojaner (der wiederum auf dem Zeus-Trojaner basiert) und zeigt eine Warnung an, die angeblich von einer Strafverfolgungsbehörde stammt und behauptet, dass der Computer für illegale Aktivitäten wie das Herunterladen von nicht lizenzierter Software oder Kinderpornografie verwendet wurde. Aufgrund dieses Verhaltens wird er gemeinhin als "Polizei-Trojaner" bezeichnet. In der Warnung wird der Benutzer darüber informiert, dass er zur Entsperrung seines Systems eine Geldstrafe mit einem Gutschein eines anonymen Prepaid-Bargelddienstes wie Ukash oder paysafecard bezahlen muss. Um den Eindruck zu erwecken, dass der Computer von den Strafverfolgungsbehörden verfolgt wird, wird auf dem Bildschirm auch die IP-Adresse des Computers angezeigt, und einige Versionen zeigen Aufnahmen der Webcam des Opfers, um den Eindruck zu erwecken, dass der Benutzer aufgezeichnet wird. ⓘ
Reveton begann sich Anfang 2012 in verschiedenen europäischen Ländern zu verbreiten. Die Varianten wurden mit Vorlagen lokalisiert, die je nach Land des Nutzers mit den Logos verschiedener Strafverfolgungsbehörden versehen waren. So enthielten beispielsweise die im Vereinigten Königreich verwendeten Varianten das Branding von Organisationen wie dem Metropolitan Police Service und der Police National E-Crime Unit. Eine andere Version enthielt das Logo der Verwertungsgesellschaft PRS for Music, die den Nutzer ausdrücklich des illegalen Herunterladens von Musik beschuldigte. In einer Erklärung, in der die Öffentlichkeit vor der Malware gewarnt wurde, stellte die Metropolitan Police klar, dass sie niemals einen Computer im Rahmen von Ermittlungen auf diese Weise sperren würde. ⓘ
Im Mai 2012 entdeckten die Bedrohungsforscher von Trend Micro Vorlagen für Varianten für die Vereinigten Staaten und Kanada, was darauf schließen lässt, dass die Autoren des Schadprogramms möglicherweise Nutzer in Nordamerika ins Visier nehmen wollten. Im August 2012 begann sich eine neue Variante von Reveton in den Vereinigten Staaten zu verbreiten, die vorgab, mit einer MoneyPak-Karte die Zahlung einer Geldstrafe von 200 US-Dollar an das FBI zu verlangen. Im Februar 2013 wurde ein russischer Staatsbürger in Dubai von spanischen Behörden wegen seiner Verbindung zu einem Verbrecherring verhaftet, der Reveton benutzt hatte; zehn weitere Personen wurden wegen Geldwäsche verhaftet. Im August 2014 meldete Avast Software, dass es neue Varianten von Reveton gefunden hat, die als Teil ihrer Nutzlast auch Malware zum Diebstahl von Passwörtern verbreiten. ⓘ
CryptoLocker
Verschlüsselungs-Ransomware tauchte im September 2013 mit einem Trojaner namens CryptoLocker wieder auf, der ein 2048-Bit-RSA-Schlüsselpaar generierte, das wiederum auf einen Command-and-Control-Server hochgeladen und zur Verschlüsselung von Dateien mit einer Whitelist bestimmter Dateierweiterungen verwendet wurde. Die Malware drohte damit, den privaten Schlüssel zu löschen, wenn nicht innerhalb von drei Tagen nach der Infektion eine Zahlung in Bitcoin oder einem vorausbezahlten Bargeldgutschein geleistet würde. Aufgrund der extrem großen Schlüsselgröße, die der Trojaner verwendet, hielten Analysten und Betroffene CryptoLocker für extrem schwer zu reparieren. Selbst nach Ablauf der Frist konnte der private Schlüssel noch mit einem Online-Tool beschafft werden, doch der Preis stieg auf 10 BTC, was im November 2013 etwa 2300 US-Dollar kostete. ⓘ
CryptoLocker wurde durch die Beschlagnahmung des Gameover-ZeuS-Botnets im Rahmen der Operation Tovar isoliert, wie das US-Justizministerium am 2. Juni 2014 offiziell bekannt gab. Das Justizministerium erhob auch öffentlich Anklage gegen den russischen Hacker Evgeniy Bogachev wegen seiner angeblichen Beteiligung an dem Botnet. Es wurde geschätzt, dass vor der Abschaltung mindestens 3 Millionen US-Dollar mit der Malware erpresst wurden. ⓘ
CryptoLocker.F und TorrentLocker
Im September 2014 tauchte eine Welle von Ransomware-Trojanern auf, die unter den Namen CryptoWall und CryptoLocker (der, wie auch CryptoLocker 2.0, nichts mit dem ursprünglichen CryptoLocker zu tun hat) zunächst Nutzer in Australien angriff. Die Trojaner verbreiten sich über betrügerische E-Mails, die vorgeben, Benachrichtigungen über fehlgeschlagene Paketzustellungen von der australischen Post zu sein. Um die Erkennung durch automatische E-Mail-Scanner zu umgehen, die alle Links auf einer Seite verfolgen, um nach Malware zu suchen, wurde diese Variante so konzipiert, dass Benutzer eine Webseite besuchen und einen CAPTCHA-Code eingeben müssen, bevor die Nutzlast tatsächlich heruntergeladen wird, um zu verhindern, dass solche automatischen Prozesse die Nutzlast scannen können. Symantec stellte fest, dass diese neuen Varianten, die es als CryptoLocker.F identifizierte, aufgrund von Unterschieden in ihrer Funktionsweise wiederum nicht mit dem ursprünglichen CryptoLocker in Verbindung stehen. Ein bemerkenswertes Opfer der Trojaner war die Australian Broadcasting Corporation; das Live-Programm ihres Nachrichtensenders ABC News 24 wurde aufgrund einer CryptoWall-Infektion auf Computern in ihrem Studio in Sydney eine halbe Stunde lang unterbrochen und in die Studios in Melbourne verlegt. ⓘ
Ein weiterer Trojaner dieser Welle, TorrentLocker, wies ursprünglich einen mit CryptoDefense vergleichbaren Konstruktionsfehler auf; er verwendete für jeden infizierten Computer denselben Schlüsselstrom, wodurch die Verschlüsselung leicht zu überwinden war. Diese Schwachstelle wurde jedoch später behoben. Ende November 2014 waren schätzungsweise mehr als 9.000 Nutzer allein in Australien mit TorrentLocker infiziert, gefolgt von der Türkei mit 11.700 Infektionen. ⓘ
CryptoWall
Ein weiterer großer Ransomware-Trojaner, der auf Windows abzielt, CryptoWall, tauchte erstmals im Jahr 2014 auf. Ein Stamm von CryptoWall wurde Ende September 2014 als Teil einer Malvertising-Kampagne über das Zedo-Werbenetzwerk verbreitet, die auf mehrere große Websites abzielte; die Anzeigen leiteten zu betrügerischen Websites weiter, die Browser-Plugins ausnutzten, um die Nutzlast herunterzuladen. Ein Forscher von Barracuda Networks stellte außerdem fest, dass die Nutzlast mit einer digitalen Signatur versehen war, um Sicherheitssoftware vertrauenswürdig erscheinen zu lassen. CryptoWall 3.0 verwendete eine in JavaScript geschriebene Nutzlast als Teil eines E-Mail-Anhangs, der als JPG-Bilder getarnte ausführbare Dateien herunterlädt. Um sich der Erkennung zu entziehen, erstellt die Malware neue Instanzen von explorer.exe und svchost.exe, um mit ihren Servern zu kommunizieren. Bei der Verschlüsselung von Dateien löscht die Malware auch Volumenschattenkopien und installiert Spyware, die Passwörter und Bitcoin-Brieftaschen stiehlt. ⓘ
Das FBI berichtete im Juni 2015, dass fast 1.000 Opfer das Internet Crime Complaint Center der Behörde kontaktiert hatten, um CryptoWall-Infektionen zu melden, und schätzte den Schaden auf mindestens 18 Millionen US-Dollar. ⓘ
Die neueste Version, CryptoWall 4.0, hat ihren Code verbessert, um die Erkennung durch Antivirenprogramme zu umgehen, und verschlüsselt nicht nur die Daten in Dateien, sondern auch die Dateinamen. ⓘ
Fusob
Fusob ist eine der wichtigsten mobilen Ransomware-Familien. Zwischen April 2015 und März 2016 handelte es sich bei etwa 56 Prozent der gemeldeten mobilen Ransomware um Fusob. ⓘ
Wie bei typischer mobiler Ransomware werden die Anwender mit einer Panikmache zur Zahlung eines Lösegelds erpresst. Das Programm gibt vor, eine anklagende Behörde zu sein, und fordert das Opfer auf, eine Geldstrafe von 100 bis 200 US-Dollar zu zahlen oder andernfalls eine fiktive Anklage zu erheben. Überraschenderweise schlägt Fusob vor, iTunes-Geschenkkarten für die Zahlung zu verwenden. Auch ein Timer, der auf dem Bildschirm herunterklickt, trägt zur Verunsicherung der Benutzer bei. ⓘ
Um Geräte zu infizieren, tarnt sich Fusob als pornografischer Videoplayer. So laden die Opfer Fusob unwissentlich herunter, weil sie ihn für harmlos halten. ⓘ
Wenn Fusob installiert ist, prüft er zunächst die auf dem Gerät verwendete Sprache. Wenn es Russisch oder bestimmte osteuropäische Sprachen verwendet, unternimmt Fusob nichts. Andernfalls sperrt er das Gerät und fordert Lösegeld. Etwa 40 % der Opfer kommen aus Deutschland, gefolgt vom Vereinigten Königreich und den Vereinigten Staaten mit 14,5 % bzw. 11,4 %. ⓘ
Fusob hat viele Gemeinsamkeiten mit Small, einer weiteren großen Familie mobiler Ransomware. Sie machten zwischen 2015 und 2016 über 93 % der mobilen Ransomware aus. ⓘ
WannaCry
Im Mai 2017 verbreitete sich der Ransomware-Angriff WannaCry über das Internet, wobei ein Exploit-Vektor namens EternalBlue verwendet wurde, der angeblich von der Nationalen Sicherheitsbehörde der USA weitergegeben wurde. Der Ransomware-Angriff, der ein noch nie dagewesenes Ausmaß hatte, infizierte mehr als 230 000 Computer in über 150 Ländern und verwendete 20 verschiedene Sprachen, um von den Nutzern Geld in der Kryptowährung Bitcoin zu verlangen. WannaCry forderte 300 US-Dollar pro Computer. Der Angriff betraf Telefónica und mehrere andere große Unternehmen in Spanien sowie Teile des britischen National Health Service (NHS), wo mindestens 16 Krankenhäuser Patienten abweisen oder geplante Operationen absagen mussten, FedEx, die Deutsche Bahn, Honda, Renault sowie das russische Innenministerium und die russische Telekommunikationsgesellschaft MegaFon. Die Angreifer setzten ihren Opfern eine Frist von 7 Tagen ab dem Tag, an dem ihre Computer infiziert wurden, nach der die verschlüsselten Dateien gelöscht werden sollten. ⓘ
Petya
Petya wurde erstmals im März 2016 entdeckt. Im Gegensatz zu anderen Formen verschlüsselnder Ransomware zielte die Malware darauf ab, den Master-Boot-Record zu infizieren und eine Nutzlast zu installieren, die die Dateitabellen des NTFS-Dateisystems verschlüsselt, wenn das infizierte System das nächste Mal hochfährt, und so den Start von Windows blockiert, bis das Lösegeld gezahlt wird. Check Point meldete, dass es trotz der seiner Meinung nach innovativen Entwicklung des Ransomware-Designs zu relativ weniger Infektionen kam als bei anderer Ransomware, die zur gleichen Zeit aktiv war. ⓘ
Am 27. Juni 2017 wurde eine stark modifizierte Version von Petya für einen globalen Cyberangriff verwendet, der hauptsächlich auf die Ukraine abzielte (aber viele Länder betraf). Diese Version war so modifiziert worden, dass sie sich über dieselbe EternalBlue-Schwachstelle verbreitete, die auch von WannaCry verwendet wurde. Aufgrund einer weiteren Designänderung ist sie auch nicht in der Lage, ein System nach der Zahlung des Lösegelds tatsächlich zu entsperren. Dies führte zu Spekulationen von Sicherheitsanalysten, dass der Angriff nicht darauf abzielte, illegale Gewinne zu erzielen, sondern lediglich Störungen zu verursachen. ⓘ
Böser Hase
Am 24. Oktober 2017 meldeten einige Nutzer in Russland und der Ukraine einen neuen Ransomware-Angriff mit dem Namen "Bad Rabbit", der einem ähnlichen Muster wie WannaCry und Petya folgt, indem er die Dateitabellen des Nutzers verschlüsselt und dann eine Bitcoin-Zahlung zu deren Entschlüsselung verlangt. ESET geht davon aus, dass die Ransomware über ein gefälschtes Update der Adobe Flash-Software verbreitet wurde. Zu den Agenturen, die von der Ransomware betroffen waren, gehören: Interfax, der internationale Flughafen Odesa, die Kiewer Metro und das Ministerium für Infrastruktur der Ukraine. Da die Ransomware zur Verbreitung Strukturen von Unternehmensnetzwerken nutzte, wurde sie auch in anderen Ländern entdeckt, darunter die Türkei, Deutschland, Polen, Japan, Südkorea und die Vereinigten Staaten. Experten vermuteten, dass der Ransomware-Angriff mit dem Petya-Angriff in der Ukraine zusammenhängt (vor allem, weil der Code von Bad Rabbit viele Überschneidungen und analoge Elemente mit dem Code von Petya/NotPetya aufweist; laut CrowdStrike haben Bad Rabbit und die DLL (Dynamic Link Library) von NotPetya 67 Prozent des Codes gemeinsam), obwohl die einzige Identität mit den Tätern die Namen von Figuren aus der Serie Game of Thrones sind, die in den Code eingebettet sind. ⓘ
Sicherheitsexperten stellten fest, dass die Ransomware nicht den EternalBlue-Exploit zur Verbreitung nutzte, und bis zum 24. Oktober 2017 wurde eine einfache Methode gefunden, um einen nicht betroffenen Rechner mit älteren Windows-Versionen zu impfen. Außerdem sind die Websites, über die die gefälschten Flash-Updates verbreitet wurden, innerhalb weniger Tage nach ihrer Entdeckung offline gegangen oder haben die problematischen Dateien entfernt, wodurch die Verbreitung von Bad Rabbit effektiv gestoppt wurde. ⓘ
SamSam
Im Jahr 2016 tauchte ein neuer Ransomware-Stamm auf, der es auf JBoss-Server abgesehen hatte. Dieser Stamm mit dem Namen "SamSam" umgeht den Prozess des Phishings oder illegaler Downloads und nutzt stattdessen Schwachstellen auf schwachen Servern aus. Die Malware nutzt einen Brute-Force-Angriff über das Remote Desktop Protocol, um schwache Passwörter zu erraten, bis eines geknackt ist. Der Virus wurde bereits für Angriffe auf Regierungs- und Gesundheitseinrichtungen eingesetzt, wobei die Stadt Farmington in New Mexico, das Verkehrsministerium von Colorado, Davidson County in North Carolina und kürzlich ein Ransomware-Angriff auf die Infrastruktur von Atlanta zu nennen sind. ⓘ
Mohammad Mehdi Shah Mansouri (1991 in Qom, Iran, geboren) und Faramarz Shahi Savandi (1984 in Shiraz, Iran, geboren) werden vom FBI gesucht, weil sie angeblich die Ransomware SamSam in Umlauf gebracht haben sollen. Die beiden sollen mit Erpressungen 6 Millionen Dollar verdient und mit der Malware Schäden in Höhe von über 30 Millionen Dollar verursacht haben. ⓘ
DarkSide
Am 7. Mai 2021 wurde ein Cyberangriff auf die US Colonial Pipeline durchgeführt. Das Federal Bureau of Investigation identifizierte DarkSide als Urheber des Ransomware-Angriffs auf die Colonial Pipeline, der mit bösartigem Code ausgeführt wurde und zur freiwilligen Abschaltung der Hauptpipeline führte, die 45 % des Treibstoffs an die Ostküste der Vereinigten Staaten liefert. Der Angriff wurde als der bisher schlimmste Cyberangriff auf kritische Infrastrukturen in den USA bezeichnet. DarkSide erpresste erfolgreich etwa 75 Bitcoin (fast 5 Millionen US-Dollar) von Colonial Pipeline. Die US-Behörden untersuchen derzeit, ob es sich um einen rein kriminellen Angriff handelt oder ob die russische Regierung oder ein anderer staatlicher Sponsor dahintersteckt. Nach dem Angriff veröffentlichte DarkSide eine Erklärung, in der es heißt: "Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik... Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen." ⓘ
Am 10. Mai veröffentlichte SentinelOne eine Analyse des DarkSide-Ransomware-Angriffs. ⓘ
Im Mai 2021 gaben das FBI und die Cybersecurity and Infrastructure Security Agency eine gemeinsame Warnung heraus, in der Eigentümer und Betreiber kritischer Infrastrukturen aufgefordert wurden, bestimmte Schritte zu unternehmen, um ihre Anfälligkeit für DarkSide Ransomware und Ransomware im Allgemeinen zu verringern. ⓘ
Syskey
Syskey ist ein Dienstprogramm, das in Windows NT-basierten Betriebssystemen enthalten war, um die Benutzerkontodatenbank zu verschlüsseln, optional mit einem Kennwort. Das Tool wurde manchmal effektiv als Ransomware im Rahmen von Betrügereien mit technischem Support eingesetzt, bei denen ein Anrufer mit Fernzugriff auf den Computer das Tool verwenden kann, um den Benutzer mit einem nur ihm bekannten Kennwort von seinem Computer auszusperren. Syskey wurde 2017 aus späteren Versionen von Windows 10 und Windows Server entfernt, da es veraltet war und "dafür bekannt war, von Hackern als Teil von Ransomware-Betrügereien verwendet zu werden". ⓘ
Ransomware-as-a-Service
Ransomware-as-a-Service (RaaS) wurde zu einer bemerkenswerten Methode, nachdem die in Russland ansässige oder russischsprachige Gruppe REvil Operationen gegen mehrere Ziele durchgeführt hatte, darunter die in Brasilien ansässige JBS S.A. im Mai 2021 und die in den USA ansässige Kaseya Limited im Juli 2021. Nach einem Telefongespräch zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin am 9. Juli 2021 sagte Biden der Presse: "Ich habe ihm sehr deutlich gemacht, dass die Vereinigten Staaten erwarten, dass sie handeln, wenn eine Ransomware-Operation von ihrem Boden ausgeht, auch wenn sie nicht vom Staat gesponsert wird, wenn wir ihnen genügend Informationen geben, um zu wissen, wer das ist." Biden fügte später hinzu, dass die Vereinigten Staaten die Server der Gruppe vom Netz nehmen würden, wenn Putin nicht handeln würde. Vier Tage später verschwanden die REvil-Websites und andere Infrastrukturen aus dem Internet. ⓘ
Entschärfung
Wird ein Angriff vermutet oder im Frühstadium entdeckt, dauert es einige Zeit, bis die Verschlüsselung stattfindet; eine sofortige Entfernung der Malware (ein relativ einfacher Vorgang), bevor der Angriff abgeschlossen ist, würde eine weitere Schädigung der Daten verhindern, ohne die bereits verlorenen Daten zu retten. ⓘ
Sicherheitsexperten haben Vorsichtsmaßnahmen für den Umgang mit Ransomware vorgeschlagen. Der Einsatz von Software oder anderen Sicherheitsrichtlinien, die das Starten bekannter Nutzdaten blockieren, hilft, eine Infektion zu verhindern, schützt aber nicht vor allen Angriffen. Da viele Ransomware-Angreifer nicht nur den Live-Rechner des Opfers verschlüsseln, sondern auch versuchen, alle lokal gespeicherten oder über das Netzwerk auf einem NAS zugänglichen Hot-Backups zu löschen, ist es außerdem wichtig, "Offline"-Backups von Daten zu erstellen, die an Orten gespeichert sind, auf die von einem potenziell infizierten Computer aus nicht zugegriffen werden kann, z. B. auf externen Speicherlaufwerken oder Geräten, die keinen Zugang zu einem Netzwerk (einschließlich des Internets) haben, um zu verhindern, dass die Ransomware auf sie zugreift. Bei der Verwendung eines NAS- oder Cloud-Speichers sollte der Computer außerdem die Berechtigung haben, nur auf den Zielspeicher zuzugreifen, so dass frühere Backups nicht gelöscht oder überschrieben werden können. Laut comodo bietet die Anwendung von zwei Angriffsflächenreduzierungen für Betriebssysteme/Kernel eine erheblich reduzierte Angriffsfläche, was zu einer erhöhten Sicherheitslage führt. ⓘ
Die Installation von Sicherheitsupdates, die von Softwareherstellern herausgegeben werden, kann die Schwachstellen, die von bestimmten Stämmen zur Ausbreitung genutzt werden, entschärfen. Weitere Maßnahmen sind Cyberhygiene - Vorsicht beim Öffnen von E-Mail-Anhängen und Links, Netzwerksegmentierung und Isolierung kritischer Computer von Netzwerken. Um die Verbreitung von Ransomware einzudämmen, können außerdem Maßnahmen zur Infektionskontrolle ergriffen werden. Dazu gehören das Trennen infizierter Rechner von allen Netzwerken, Aufklärungsprogramme, effektive Kommunikationskanäle, Malware-Überwachung und Möglichkeiten der kollektiven Beteiligung. ⓘ
Dateisystem-Verteidigungsmaßnahmen gegen Ransomware
Das Nationale Zentrum für Cybersicherheit der schweizerischen Bundesverwaltung hat auf ihrer Website Empfehlungen für Privatnutzer sowie für Unternehmen veröffentlicht:
- Regelmäßige Datensicherungen auf einem externen Medium, welches nur während des Backupvorgangs mit dem Computer verbunden ist. Bleibt das Sicherungslaufwerk angeschlossen, kann die aktive Ransomware auch die Datensicherung zerstören.
- Betriebssystem auf dem neuesten Stand halten, Updates zügig installieren.
- Vorsicht bei E-Mails, die von einem unbekannten Absender stammen. Links können auf Webseiten mit Schadprogrammen führen, angefügte Dateien können ein Schadprogramm enthalten.
- Einen Virenschutz installieren und regelmäßig updaten.
- Eine Firewall benutzen. ⓘ
Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat eine Situationsanalyse veröffentlicht, in der auch umfangreiche Empfehlungen zu Schutz- und Gegenmaßnahmen aufgeführt sind, sowie die empfohlene Verhaltensweisen im eingetretenen Fall. Die Analyse richtet sich an professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen. Die Website No More Ransom ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center und zwei Cyber Security-Unternehmen mit dem Ziel, den Nutzern Ransomware zu erklären, ihnen Gegenmaßnahmen zu empfehlen, um eine Infektion wirksam zu verhindern, sowie Opfern von Ransomware bei der Entschlüsselung zu helfen. ⓘ
Eine weitere Gegenmaßnahme ist die Verwendung von entsprechenden Dateisystemen, welche die ursprünglichen Daten durch Überschreiben nicht unmittelbar oder gar nicht entfernen. Dies kann entweder ein versionierendes Dateisystem wie NILFS unter Linux sein. Eine weitere Möglichkeit ist der Einsatz von Systemdiensten wie Volume Shadow Copy Service (VSSS) unter Windows welche laufend Momentaufnahmen (englisch Snapshots) von Dateien bei Veränderung erstellen und so den Versionsverlauf speichern. Weiters besteht die Möglichkeit umfangreiche Dateisysteme wie ZFS auf Speichersystemen einzusetzen. ZFS bietet die Möglichkeit auch bei sehr großen Dateisystemen periodisch und in kurzen Intervallen von einigen Minuten schreibgeschützte Momentaufnahmen von dem kompletten Dateisystem zu erstellen und diese Momentaufnahmen schreibgeschützt im Dateisystem zu speichern. Bei entsprechender Konfiguration sind Dateisysteme wie ZFS weitgehend immun gegen Ransomware. ⓘ
Einige Dateisysteme speichern Schnappschüsse der darin gespeicherten Daten, mit denen der Inhalt von Dateien aus der Zeit vor dem Ransomware-Angriff wiederhergestellt werden kann, falls die Ransomware sie nicht deaktiviert. ⓘ
Entschlüsselung und Wiederherstellung von Dateien
Es gibt eine Reihe von Tools, die speziell für die Entschlüsselung von durch Ransomware gesperrten Dateien gedacht sind, auch wenn eine erfolgreiche Wiederherstellung möglicherweise nicht möglich ist. Wenn für alle Dateien derselbe Verschlüsselungsschlüssel verwendet wird, verwenden Entschlüsselungstools Dateien, von denen es sowohl unbeschädigte Sicherungen als auch verschlüsselte Kopien gibt (ein Angriff mit bekanntem Klartext im Jargon der Kryptoanalyse). Er funktioniert jedoch nur, wenn die vom Angreifer verwendete Chiffre von vornherein schwach war, d. h. anfällig für einen Angriff mit bekanntem Klartext); die Wiederherstellung des Schlüssels kann, wenn sie möglich ist, mehrere Tage dauern. Kostenlose Ransomware-Entschlüsselungstools können bei der Entschlüsselung von Dateien helfen, die durch die folgenden Formen von Ransomware verschlüsselt wurden: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData. Das No More Ransom Project ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, des European Cybercrime Centre von Europol, Kaspersky Lab und McAfee, die Opfern von Ransomware helfen soll, ihre Daten ohne Zahlung eines Lösegelds wiederherzustellen. Sie bieten das kostenlose Tool CryptoSheriff an, um verschlüsselte Dateien zu analysieren und nach Entschlüsselungstools zu suchen. ⓘ
Darüber hinaus können alte Kopien von Dateien auf der Festplatte vorhanden sein, die zuvor gelöscht wurden. In einigen Fällen können diese gelöschten Versionen mit Hilfe von Software, die für diesen Zweck entwickelt wurde, noch wiederhergestellt werden. ⓘ
Wachstum
Ransomware-Schadsoftware war zunächst auf ein oder zwei Länder in Osteuropa beschränkt und verbreitete sich dann über den Atlantik in die Vereinigten Staaten und Kanada. Die Zahl der Cyberangriffe war im Jahr 2020 doppelt so hoch wie im Jahr 2019. Die ersten Versionen dieser Art von Malware nutzten verschiedene Techniken, um die Computer durch das Sperren des Systemcomputers des Opfers zu deaktivieren (Locker Ransomware) [133]. Ransomware verwendet verschiedene Taktiken, um Opfer zu erpressen. Eine der gängigsten Methoden ist das Sperren des Gerätebildschirms, indem eine Nachricht von einer Zweigstelle der örtlichen Strafverfolgungsbehörden angezeigt wird, in der behauptet wird, dass das Opfer eine Geldstrafe für illegale Aktivitäten zahlen muss. Die Ransomware kann zur Zahlung auffordern, indem sie eine SMS-Nachricht an eine kostenpflichtige Nummer sendet. Einige ähnliche Varianten der Malware zeigen pornografische Bildinhalte an und fordern eine Zahlung für die Entfernung dieser Inhalte. ⓘ
Im Jahr 2016 wurde ein deutlicher Anstieg von Ransomware-Angriffen auf Krankenhäuser festgestellt. Laut dem 2017 Internet Security Threat Report von Symantec Corp. betraf Ransomware nicht nur IT-Systeme, sondern auch die Patientenversorgung, den klinischen Betrieb und die Rechnungsstellung. Online-Kriminelle werden möglicherweise durch das verfügbare Geld und das Gefühl der Dringlichkeit innerhalb des Gesundheitssystems motiviert. ⓘ
Ransomware nimmt unter Internetnutzern, aber auch in der IoT-Umgebung rasant zu. Das große Problem ist, dass einige Organisationen und Branchen, die sich zur Zahlung entschlossen haben, Millionen von Dollar verloren haben, wie z. B. das Hollywood Presbyterian Medical Center und MedStar Health. ⓘ
Laut dem ISTR-Bericht 2019 von Symantec wurde im Jahr 2018 zum ersten Mal seit 2013 ein Rückgang der Ransomware-Aktivitäten beobachtet, und zwar um 20 Prozent. Vor 2017 waren Verbraucher die bevorzugten Opfer, aber 2017 änderte sich dies dramatisch, es verschob sich zu den Unternehmen. Im Jahr 2018 beschleunigte sich dieser Weg mit 81 Prozent Infektionen, was einem Anstieg von 12 Prozent entspricht. Die heute übliche Verbreitungsmethode basiert auf E-Mail-Kampagnen. ⓘ
Der erste gemeldete Todesfall nach einem Ransomware-Angriff ereignete sich in einem deutschen Krankenhaus im Oktober 2020. ⓘ
Ein wirksames und erfolgreiches Schulungsprogramm für das Cyber-Bewusstsein muss von der Unternehmensspitze unterstützt werden, mit unterstützenden Richtlinien und Verfahren, in denen die Folgen einer Nichteinhaltung, die Häufigkeit der Schulungen und ein Verfahren für die Bestätigung der Schulungen wirksam dargelegt werden. Ohne die Unterstützung der obersten Führungsebene kann die Schulung nicht ignoriert werden. Weitere Schlüsselfaktoren für ein erfolgreiches Cyber-Awareness-Schulungsprogramm sind die Ermittlung des Wissensstandes der Organisation, um festzustellen, wo die Benutzer vor und nach der Schulung stehen. Unabhängig davon, für welchen Ansatz sich ein Unternehmen entscheidet, ist es wichtig, dass das Unternehmen über Richtlinien und Verfahren verfügt, die aktuelle und regelmäßig durchgeführte Schulungen vorsehen und von der gesamten Organisation von oben nach unten unterstützt werden. ⓘ
Die Investitionen in Technologien zur Erkennung und Abwehr dieser Bedrohungen müssen aufrechterhalten werden, aber gleichzeitig müssen wir uns auch auf unser schwächstes Glied, den Benutzer, konzentrieren. ⓘ
Strafrechtliche Verhaftungen und Verurteilungen
Zain Qaiser
Der britische Student Zain Qaiser aus Barking, London, wurde wegen seiner Ransomware-Angriffe im Jahr 2019 vor dem Kingston Crown Court zu mehr als sechs Jahren Haft verurteilt. Er gilt als "der produktivste Cyberkriminelle, der in Großbritannien verurteilt wurde". Er wurde im Alter von nur 17 Jahren aktiv. Er kontaktierte den russischen Drahtzieher einer der stärksten Angriffe, vermutlich die Lurk-Malware-Bande, und vereinbarte eine Aufteilung seiner Gewinne. Er nahm auch Kontakt zu Online-Kriminellen aus China und den USA auf, um das Geld zu verschieben. Etwa anderthalb Jahre lang gab er sich als legitimer Anbieter von Online-Werbung für Bücher auf einigen der weltweit meistbesuchten Websites für legale Pornografie aus. Jede der auf den Websites beworbenen Anzeigen enthielt den Reveton Ransomware-Stamm des bösartigen Angler Exploit Kit (AEK), der die Kontrolle über den Rechner übernahm. Die Ermittler entdeckten Einnahmen in Höhe von etwa 700.000 £, obwohl sein Netzwerk mehr als 4 Millionen £ verdient haben könnte. Möglicherweise hat er einen Teil des Geldes in Kryptowährungen versteckt. Die Ransomware forderte die Opfer auf, GreenDot MoneyPak-Gutscheine zu kaufen und den Code in das auf dem Bildschirm angezeigte Reveton-Panel einzugeben. Dieses Geld ging auf ein von Qaiser verwaltetes MoneyPak-Konto ein, der die Gutscheinzahlungen dann auf die Debitkarte eines amerikanischen Mitverschwörers einzahlte - die von Raymond Odigie Uadiale, der 2012 und 2013 an der Florida International University studierte und später für Microsoft arbeitete. Uadiale wandelte das Geld in die digitale Währung Liberty Reserve um und zahlte es auf das Liberty Reserve-Konto von Qaiser ein. ⓘ
Ein Durchbruch in diesem Fall erfolgte im Mai 2013, als Behörden aus mehreren Ländern die Liberty Reserve-Server beschlagnahmten und Zugriff auf alle Transaktionen und Kontoverläufe erhielten. Qaiser führte verschlüsselte virtuelle Maschinen auf seinem Macbook Pro mit Mac- und Windows-Betriebssystemen aus. Er konnte nicht früher vor Gericht gestellt werden, da er nach dem britischen Mental Health Act im Goodmayes Hospital untergebracht war (wo man feststellte, dass er das Wi-Fi des Krankenhauses für den Zugriff auf seine Werbeseiten nutzte). Sein Anwalt behauptete, Qaiser habe an einer Geisteskrankheit gelitten. Die russische Polizei verhaftete im Juni 2016 50 Mitglieder der Lurk-Malware-Bande. Uadiale, ein eingebürgerter US-Bürger nigerianischer Abstammung, wurde für 18 Monate inhaftiert. ⓘ
Herausforderungen für die Meinungsfreiheit und strafrechtliche Verfolgung
Die Veröffentlichung von Proof-of-Concept-Angriffscode ist unter akademischen Forschern und Schwachstellenforschern weit verbreitet. Sie lehrt die Art der Bedrohung, macht die Schwere der Probleme deutlich und ermöglicht die Entwicklung und Umsetzung von Gegenmaßnahmen. Allerdings erwägt der Gesetzgeber mit Unterstützung der Strafverfolgungsbehörden, die Erstellung von Ransomware zu verbieten. Im Bundesstaat Maryland sah der ursprüngliche Entwurf des Gesetzes HB 340 vor, die Erstellung von Ransomware unter Strafe zu stellen, die mit bis zu 10 Jahren Gefängnis geahndet werden kann. Diese Bestimmung wurde jedoch aus der endgültigen Fassung des Gesetzes gestrichen. In Japan wurde ein Minderjähriger wegen der Erstellung und Verbreitung von Ransomware-Code verhaftet. Young und Yung hatten den ANSI-C-Quellcode eines Ransomware-Kryptotrojaners seit 2005 unter cryptovirology.com als Teil eines in Arbeit befindlichen Kryptovirologie-Buches online gestellt. Der Quellcode des Kryptotrojaners ist immer noch im Internet zu finden und ist ist mit einem Entwurf von Kapitel 2 verbunden. ⓘ
Vorgehen der Schädlinge
Ransomware kann auf den gleichen Wegen wie ein Computervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierte E-Mail-Anhänge, die Ausnutzung von Sicherheitslücken in Webbrowsern oder über Datendienste wie Dropbox. ⓘ
So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindliche ZIP-Datei enthalte eine Rechnung oder einen Lieferschein über bestellte Ware. Auch wird manchmal behauptet, das Bundeskriminalamt, die Bundespolizei, die GEMA oder Microsoft habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt. ⓘ
Ein befallener Computer kann auf unterschiedliche Weise blockiert werden. ⓘ
Blockade des Systems
Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann. Auch der Taskmanager wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem beispielsweise eine Paysafecard oder Ukash-Karte gekauft wird. Der Betrag wird dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Als weitere anonyme Bezahlmethode wird die Kryptowährung Bitcoin eingesetzt. ⓘ
Verschlüsselung von Dokumenten
Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Sie verschlüsseln Dateien auf dem Computer; vorzugsweise Dateien, für die anzunehmen ist, dass sie für den Besitzer des Computers sehr wichtig und möglicherweise unwiederbringlich sind. Auf Windows-Systemen beginnt Ransomware in der Regel daher im Ordner Eigene Dateien und bevorzugt dort mit Office-Anwendungen erstellte Dokumente, sowie u. a. auch E-Mails, Datenbanken, Archive und Fotos. Ohne Entschlüssel-Passwort hat der Benutzer keinen Zugriff mehr auf ihre Inhalte. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben. ⓘ
Um die von der Ransomware verschlüsselten Daten wieder entschlüsseln zu können, wird der geschädigte Benutzer von dem Eindringling aufgefordert, ein Lösegeld zu bezahlen, damit er eine Software zur Entschlüsselung bzw. das benötigte Passwort erhalte. Mitunter wird er dazu zunächst zu einer gesonderten Kontaktaufnahme mit dem Ransomware-Erzeuger aufgefordert, beispielsweise per E-Mail an eine bestimmte E-Mail-Adresse, über den Aufruf einer bestimmten Webseite oder über eine Formularmaske. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden. ⓘ
Der befallene Computer kann durch die Schadsoftware noch weiter manipuliert und überwacht sein; er darf daher nicht für weitere Arbeiten, insbesondere nicht für Tätigkeiten, die ein Passwort benötigen, verwendet werden. Das Lösegeld vom betroffenen Rechner aus per Onlinebanking zu überweisen ist als grobe Fahrlässigkeit zu werten. ⓘ
In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien vonseiten des Angreifers gar nicht vorgesehen, sodass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert. ⓘ