money button
Produkte und Services PRODUKTE & SERVICES

Eine Generation Datenkidnapping: Ransomware wird 30

Verfasst von
22. März 2019
Malware Security Tips Technologie

1989 erblickte die erste Erpressungssoftware das Licht der Welt und hat sich seither zu einer der unverfrorensten Datenbedrohungen entwickelt. Grund genug, einmal eine kurze Rückschau auf 30 Jahre digitale Erpressung zu halten. 

In den letzten Jahren hat es Ransomware immer wieder in die Schlagzeilen geschafft – dabei waren es tatsächlich nur die wenigsten Angriffe der erpresserischen Software, die tatsächlich öffentlich wurden. Die Mehrzahl der Attacken verlief im Verborgenen, die Opfer – zumeist Unternehmen – schwiegen aus Scham. So wundert es kaum, dass es die Malware beinahe klammheimlich bereits zu einem runden Geburtstag geschafft hat: sie wird 30.

Ransomware ist eine Kategorie von Schadsoftware und gehört unter diesen mittlerweile zu den ärgerlichsten und destruktivsten. „Geboren“ wurde Ransomware als ein Trojaner. Abgeleitet von englisch ransom „Lösegeld“ (ware kennzeichnet typischerweise eine Art von Computerprogramm) wird ihr Zweck bereits im Namen klar: sie dient Cyberkriminellen dazu, arglose Computerbesitzer zu nötigen, gegen teuer Geld ihre persönlichen, durch die Schadware nunmehr verschlüsselten Dateien auf ihren PCs „freizukaufen“ und wieder für sich nutzbar zu machen.

Die Geburt
1989 erblickte die Malware AIDS TROJAN DISK die kriminelle Welt. Der Trojaner infizierte Computer via Diskette: Eine Lizenz sei abgelaufen, hieß es damals seitens der Kriminellen, der Schlüssel bei Firma xy käuflich zu erwerben. Damals noch eine geschickte Story statt plumper Erpressung. Der Vater des Trojaners, Joseph Popp, wurde ausfindig gemacht und zur Haft verurteilt. Allerdings konnte er diese wegen einer psychischen Krankheit nicht antreten. Das erpresste Geld wollte er an die AIDS-Forschung spenden.

Richtig kraftvoll wurde Ransomware dann mit der Verbreitung via Internet: Der Trojaner TROJ_PGPCODER.A forderte bereits ein paar Hundert US-Dollar Lösegeld. Und der „soziale“ Anstrich, den sich Joseph Popp gegeben hatte, war einem großen kriminellen Erpressergeschäft gewichen.

Das heutige Design von Ransomware ist professionell kriminell. Absolute Hightech ist gefragt, um die immer leistungsstärkeren Security-Lösungen auszutricksen. Da dies die Fähigkeiten vieler Cyberkrimineller inzwischen übersteigt, hat sich ein neuer, zusätzlicher Markt entwickelt: Mittlerweile können sich Interessierte mit halbwegs guten Computerkenntnissen ihre eigene Ransomware mithilfe von Baukästen zusammenbasteln. Ein lukratives Geschäft, das im Dark Web abgewickelt wird.

Funktionsweise
Ransomware kann einen Computer über verschiedene Wege infizieren: Email-Anhänge, gefakte Links, Sicherheitslücken in Webbrowsern oder Anwendungen. Der Adressat erhält zum Beispiel eine Email mit einer gefälschten Rechnung, Sendungsverfolgung, etc. und angehängtem Office-Dokument oder Link. Die Emails sind heutzutage sehr gut gefälscht, enthalten genaue Details zum User und seiner Umgebung (so genannte Targeted Ransomware) so dass es nicht einfach ist, eine Ransomware-Attacke gleich zu erkennen.

Ist der Computer infiziert, können verschiedene Szenarien eintreten:

  • Der PC lässt sich nicht mehr bedienen: ein Hinweisfenster zur Erpressung bleibt plakativ auf dem Bildschirm bestehen, auch nach zigfachen Neustarts. Dem Benutzer bleibt nur das Bezahlen des Lösegeldes, heute oft via Kryptowährung.
  • Dateien werden verschlüsselt, vorwiegend solche, von denen der Cyberkriminelle annimmt, sie seien für den Anwender von Bedeutung. Bei Windows liegt der Ordner „Eigene Dateien“ nahe, aber auch Emails, Datenbanken, Archive und Fotos. Das Passwort zur Entschlüsselung gibt es natürlich nicht kostenlos.
  • Zusätzlich zur Verschlüsselung kann der Computer mit weiterer Schadsoftware zur Manipulation oder zum Ausspähen von Passwörtern beladen sein. Ein Überweisen des Lösegeldes via Onlinebanking vom PC ist also tunlichst zu unterlassen.
  • Supergau: Der Cyberkriminelle hat gar nicht die Absicht, die verschlüsselten Dateien wieder freizugeben. Sie sind auch nach Zahlung des Lösegeldes unwiederbringlich verloren.

Wenn es doch passiert ist….
Trotz hoher Achtsamkeit beim Öffnen von Anhängen, Links etc. kann jeder zum Opfer eines Ransomware-Angriffs werden. Sollte das der Fall sein, haben sich diese Handlungsempfehlungen bewährt:

  1. Kein Lösegeld zahlen. Die Summe ist kein Garant für die Rettung der Daten. Und: Wer einmal zahlt, der zahlt vielleicht auch öfter und macht sich so weiterhin erpressbar.
  2. Anzeige erstatten.
  3. Für die Zukunft vorsorgen: Damit Ransomware-Attacken möglichst nicht greifen, eignen sich Security-Lösungen, die auf Basis künstlicher Intelligenz und verhaltensbasierter Erkennung Schadware und damit auch Ransomware rechtzeitig erkennen und abwehren.
  4. Unabhängig machen von einem Gerät: Regelmäßig Back-ups der eigenen Dateien auf einem externen System, sei es PC, Festplatte oder Cloud machen.
Informationen zum Autor

Nachdem ein Großteil seiner Arbeit von PR-Aktivitäten für Sophos Europe eingenommen wird, ist der Sophos-Blog eine willkommene Abwechslung, um die journalistischen Gehirnwindungen zu aktivieren :-)

Ähnliche Artikel lesen

Antwort hinterlassen

Your email address will not be published. Required fields are marked *