Troldesh, Cryptomix und WannaCry

Ransomware ist zurück

02.07.2019
Von 
Helge Husemann ist Global Product Marketing Manager bei Malwarebytes.
Erpresser-Software startet wieder durch. Erfahren sie, wo die aktuellen Gefahren durch Ransomware liegen und wie Unternehmen sich schützen können.

Mit Ransomware versuchen Kriminelle, Zugriff auf Daten sowie Systeme einzuschränken oder zu unterbinden und ein "Lösegeld" für deren Freigabe zu verlangen. Eine aktuelle Studie von Coveware bezüglich der Entwicklung im ersten Quartal 2019 zeigt auf, dass Ransomware-Angriffe dabei meist das Zahlungsmittel Bitcoin zurückgreifen. So sind etwa 98 Prozent der Zahlungen, die mit Ransomware in Verbindung stehen, über Bitcoin abgewickelt worden. Insgesamt ist die durchschnittliche Höhe der Erpressungsforderungen um 89 Prozent gestiegen, was diese von 6.733 US-Dollar im vierten Quartal 2018 auf mittlerweile durchschnittlich 12.762 US-Dollar in Q1 2019 erhöht hat.

Nachdem Krypto-Miner der Erpresser-Software kurzzeitig den Malware-Spitzenplatz abstreitig gemacht hat, startet Ransomware 2019 wieder durch.
Nachdem Krypto-Miner der Erpresser-Software kurzzeitig den Malware-Spitzenplatz abstreitig gemacht hat, startet Ransomware 2019 wieder durch.
Foto: Jaruwan Jaiyangyuen - shutterstock.com

Zudem registrierten Anfang des Jahres Sicherheitsforscher (PDF) von Malwarebytes, einen signifikanten Anstieg von Ransomware-Angriffen auf Unternehmen. So nahm die Erkennungsrate zwischen Q4 2018 und Q1 2019 um 195 Prozent zu. Im Vergleich zum gleichen Zeitraum des Vorjahres gab es sogar einen Anstieg um über 500 Prozent, was zu einem großen Teil auf den massiven Angriff der Troldesh-Ransomware zurückzuführen ist.

Troldesh, WannaCry und Co.

Troldesh-Ransomware wird in der Regel durch bösartige E-Mail-Anhänge verbreitet. Die Anhänge sind in der Regel Zip-Dateien, die bei Öffnung ihre Empfänger locken. Das extrahierte Zip ist ein Javascript, das die bösartige Ransomware herunterlädt. Troldesh liegt jedoch nicht an erster Stelle der häufigsten Ransomware-Angriffe sondern belegt den zweiten Platz hinter WannaCry.

Immer wieder kommt es auch zu innovativer neuer Ransomware: Cryptomix Clop etwa nutzt digitale Zertifikate, um sogenannte Rogue-Dateien zu verteilen. Darunter ist Malware zu verstehen, die Nutzern Angst macht, um ein bestimmtes Handeln zu erzwingen. So wie Phisher kostenlose Zertifikate nutzen, um gefälschte Logins überzeugender aussehen zu lassen, verwenden diese Angreifer eine ähnliche Taktik und täuschen nicht nur Endnutzer, sondern auch einige Sicherheitsprogramme.

Die Gefahren für Unternehmen

Der Branchenverband Bitkom bestätigt in einem Bericht den Fokus der Ransomware-Angreifer auf Unternehmen und legt dar, dass nahezu jedes zweite Unternehmen schon betroffen war. Dies zeigt, dass Unternehmen zu attraktiven Angriffszielen geworden sind und es besteht dabei die Gefahr, geistiges Eigentum, Kundeninformationen, Finanzdaten oder den Zugang zu sensiblen Unternehmensdaten zu verlieren.

Neben dem Kontrollverlust über eigene Daten und Informationen besteht für Unternehmen auch die Gefahr von Geldbußen, die mit dem Verlust bestimmter Daten verbunden sind, zum Beispiel im Gesundheitswesen, und einem Vertrauensverlust in das Unternehmen nach einem Ransomware-Angriff. Auch die Produktivität sowie die Wirtschaftlichkeit kann eingeschränkt werden.

Welche Auswirkungen Ransomware auf Unternehmen haben kann, zeigt sich in einer Umfrage des IT-Unternehmens Datto: Im Bereich der kleinen und mittleren Unternehmen (KMU) gab mehr als die Hälfte der Managed Service Provider (MSPs) an, dass die Ausfallzeiten für ihre Kunden geschäftsbedrohend waren. Erst im Juni 2019 wurde beispielsweise bei einem belgischen Flugzeugbau-Zulieferer die Produktion mit Verdacht auf Ransomware gestoppt und es mussten mehr als 1.500 Mitarbeiter freigestellt werden.

Mögliche Schutzmaßnahmen gegen Ransomware

Für Unternehmen, die von einem Ransomware-Angriff betroffen sind, existieren verschiedene Möglichkeiten, um sich abzusichern: Bereits im Voraus können verschiedene präventive Maßnahmen wahrgenommen werden. Durch die Erstellung von Offsite-Backups könnten im Notfall beispielsweise Dateien wiederhergestellt werden. In Zuge dessen ist es zudem sinnvoll, sensible Daten zu segmentieren beziehungsweise aufzuteilen, um den Angreifern die Wahl nach dem Angriffsziel zu erschweren.

Zudem sollte ein mehrstufiges Sicherheitssystem implementiert werden. Hierbei sind folgende Sicherheitsebenen sinnvoll:

  • Firewall;

  • Anti-Exploit;

  • Antivirenprogramm mit aktiver Überwachung;

  • Anti-Schadsoftware;

  • Anti-Ransomware.

Darüber hinaus sollten entsprechende Patches des Systems kontinuierlich durchgeführt werden. Auch die Einbeziehung von externer Expertise, welche mit ihren Diensten und Lösungen präventiv unterstützen und für mehr Sicherheit sorgen, ist durchaus sinnvoll. Da Social Engineering einer der häufigsten Wege ist, wie Systeme mit Ransomware infiziert werden, sollten Mitarbeiter geschult werden, Phishing-Kampagnen, verdächtige Websites und andere betrügerische Aktivitäten zu erkennen.

Ist Bezahlen oder Verhandeln eine Alterative?

Falls innerhalb eines Unternehmens kein präventiver Plan zum Schutz existiert, sind die Möglichkeiten natürlich im Fall eines Angriffs beschränkter. Es gibt aber durchaus Alternativen dazu, die geforderte Summe zu bezahlen oder den Verlust der Daten hinzunehmen. Es gibt nicht wenige Unternehmen, die Bitcoins nur für den Fall bereithalten, dass sie für einen Ransomware-Angriff bezahlen müssen. Doch nicht nur Unternehmen sondern auch Behörden wissen sich oft nicht anders zu helfen: Erst vor kurzem bezahlte eine Behörde einer Stadt in Florida nach einem Ransomware-Angriff 600.000 Dollar an Hacker.

Meist besteht eine Option darin, mit dem Angreifer in Verhandlungen zu treten, denn am Ende des Tages möchte der Angreifer bezahlt werden, auch wenn er nur einen Bruchteil dessen bekommt, was er verlangt hat. Dieser Ansatz hat sich im Laufe der Jahre mehrfach bewährt, zum Beispiel bei einem Ransomware-Angriff auf ein Krankenhaus in Hollywood (USA) im Jahr 2016. Hierbei verlangten die Täter ursprünglich mehr als eine Million Dollar, man einigte sich aber auf eine Summe von 17.000 Dollar und der Rückgabe von zwei Systemen, die die für das Krankenhaus wertvollsten Daten beinhalteten.

Dies sollte aber tatsächlich der Ausnahmefall sein. Denn die Angriffe können beispielsweise auch mit internen Ressourcen mit vorhandenem Fachwissen bekämpft werden. Es ist allerdings ratsam, sich zudem an externe Experten zu wenden, welche bei der Behebung der Probleme mit Ransomware und allgemein bei der Bereinigung aller Arten von Malware unterstützen. Diese können mit der notwenigen Expertise und Erfahrung untersuchen, welche Art von Infektion vorliegt, wie sie passieren konnte und wie man zukünftig sicherstellen kann, dass sie sich nicht wiederholt.

Es sollte eine schnelle Ursachenforschung betrieben werden, um sich für die Zukunft bestmöglich zu schützen. IT-Sicherheitspersonal sollten alle aufgeführten Maßnahmen stets im Blick haben, aber auch immer bedenken, dass zielgerichtete Angriffe entsprechend maßgeschneiderte Verteidigungen erfordern.

Fazit

Als Ausblick kann festgehalten werden, dass sich Ransomware weiterentwickelt und auch in Zukunft vermehrt mit Angriffen gegen Unternehmen gerechnet werden muss. Gerade durch die Zunahme von smarten Fabriken oder IoT-Geräten werden sie ein attraktives Angriffsziel für Kriminelle bleiben. Allgemein kann jedoch davon ausgegangen werden, dass Ransomware-Aktivitäten, welche auf Ziele außerhalb der Unternehmenswelt gerichtet sind, abnehmen. (jd)