Ransomware hat Unternehmen und Privatanwender in diesem Jahr auffällig zugesetzt. SophosLabs kommt nach seiner Analyse von Daten aus April bis Oktober 2017 zur Prognose, dass auch das nächste Jahr von Ransomware und Ransomware as a Service (RaaS) inkl. Do-it-yourself-Bausätzen geprägt sein wird. Neben Windows müssen sich zukünftig allerdings auch Linux, Mac und Android User wappnen. Gerade die RaaS-Angebote sind ein ernstzunehmendes und wachsendes Problem, da die DIY-Kits für jedermann im Dark Web erhältlich sind, unabhängig von IT-Know-how. Beste Beispiele sind Cerber Satan oder Philadelphia – letztere Malware verpasste sich sogar ein YouTube-Werbevideo im offenen Web.
Blicken wir noch einmal zurück, dominieren WannaCry und Cerber die Ransomware-Landschaft. Während Cerber lange Zeit als „produktivste“ Ransomware-Familie galt, wurde seine Schlagkraft für ein paar Monate überschattet. Denn Mitte Mai stürmte WannaCry die Bühne, und dieser Ransomware lassen sich nach SophosLabs-Zahlen mehr als 45 Prozent aller Ransomware-Attacken zwischen April und Oktober 2017 zuschreiben. Mit rund 44 Prozent ist der Vorsprung zu Cerber allerdings denkbar gering. Besonders seine mutierende Fähigkeit, Sandboxes und Antiviren-Schutz zu umgehen, machen diesen Kollegen so gefährlich. Die Entwickler der Schadsoftware kümmern sich zudem liebevoll um ihren Schützling und lieferten immer wieder Updates und Verbesserungen. Das macht Cerber so produktiv wie gefährlich. Weit abgeschlagen auf Platz 3 rangiert Locky mit knapp 4 Prozent Anteil am Gesamtaufkommen.
Interessant ist auch ein Blick auf die Herkunftsherde der Attacken, auch wenn diese Zahlen aufgrund der Weiterleitung natürlich mit Vorsicht zu genießen sind. Zwischen 1. April und 3. Oktober zirkulierte mit 17,2 Prozent die meiste Ransomware in den USA. Vize-Ransomware-Meister ist Großbritannien mit 11,1 Prozent, Belgien belegt den dritten Platz. Deutschland schafft es unter die Top Ten an 7. Stelle (2,9 Prozent).
Die Analyse der Attacken gibt neben dem Verbreitungsort aber noch etwas anderes preis: die stärksten Aktivitäten waren Mitte Mai und Ende Juni, zuzuschreiben WannaCry und NotPetya. Ein weiterer Höhepunkt Mitte/Ende August lässt sich auf die Wiederauferstehung von Locky zurückführen. WannaCry und Cerber blieben währen der gesamten Beobachtungsperiode präsent. Während NotPetya den größten Peak verantwortete, passierte danach kaum noch etwas: die Opfer konnten ihren Erpresser zur Lösegeldzahlung gar nicht mehr erreichen. SophosLabs geht davon aus, dass NotPetya eher ein Experiment war. Oder: das Ziel der Software war, nicht Ransomware sondern etwas weitaus Zerstörerisches zu entwickeln, wie einen Data Wiper (Dateien-Löscher).
Was passiert nun aber in den kommenden Monaten? Die Mehrheit der Ransomware-Angriffe betraf 2017 Windows-Nutzer. Doch unsere Analyse zeigt eine wachsende Anzahl an Attacken auf Android, Mac, und Linux Systeme. Und: RaaS-Bausätze müssen als ernstzunehmende Gefahrenquelle eingeordnet werden. Neben den gängigen und bewährten Empfehlungen, wie regelmäßige Back-ups auf anderen Geräten, Explorer-Einstellungen zu Dateiendungen und Java-Script Anhängen, aktuellem Anti-Ransomware-Schutz (wie Intercept X), gilt besonders: Unternehmen sollten ihre Mitarbeiter konsequent zum Thema Schadsoftware und Social Engineering schulen. Und auch die eigenen Systeme regelmäßig updaten und auf Schwachstellen überprüfen. Dann kann die Gefahr Ransomware schon einmal erheblich eingeschränkt werden.