Es ist erstaunlich, wie schnell sich das Wort "Pandemie" von einem Begriff aus obskuren Computerspielen zum Mittelpunkt alltäglicher Gespräche entwickelt hat. Wenn man jedoch die neuesten Nachrichten über den Ausbruch des Coronavirus diskutiert, sollte man eine weitere Pandemie nicht vergessen, die bereits seit mehreren Jahren massive Schäden bei Unternehmen, Regierungen und Privatpersonen auf der ganzen Welt verursacht.
Seit ihrem ersten Auftauchen in Osteuropa vor etwa einem Jahrzehnt hat sie sich schnell zu einer der größten globalen Bedrohungen für die IT Security entwickelt. Sie legt Krankenhäuser und ganze Städte lahm, bringt Unternehmen zum völligen Stillstand und verursacht weltweit wirtschaftliche Schäden in Milliardenhöhe. Die Rede ist natürlich von Ransomware.
Was ist Ransomware überhaupt?
Ransomware ist eine Art bösartiger Verschlüsselungssoftware, die Sie daran hindern soll, auf Ihren Computer (oder bestimmte Dateien darauf) zuzugreifen, bis ein Lösegeld (Ransom) an den oder die verantwortlichen Angreifer gezahlt wird. Normalerweise wird Ransomware als legitimes Dokument oder Programm getarnt und die Benutzer - beispielsweise durch den Einsatz von Social-Engineering-Methoden - dazu gebracht, diese von einer bösartigen Website herunterzuladen oder in Form eines E-Mail-Anhangs zu öffnen.
Die meisten modernen Typen von Ransomware verschlüsseln wertvolle Dateien wie Dokumente oder Fotos auf den betroffenen Geräten, andere sperren die Opfer lediglich aus ihren Computern aus - beide verlangen jedoch eine Zahlung, um den Zugriff wiederherzustellen. Entgegen der landläufigen Meinung handelt es sich bei Ransomware nicht um teuflisch clevere Kreationen krimineller Elite-Hacker. Selbst unerfahrene Cyberkriminelle und solche die es werden wollen, können mit minimalem Ressourcen-Einsatz erfolgreiche Ransomware-Angriffe starten.
Ransomware-Evolution
Frühe Ransomware-Arten waren in der Regel auf eine bestimmte geografische Region beschränkt, in der Angreifer ihr Lösegeld per Premium-SMS oder sogar mit Prepaid-Karten eintreiben konnten. Das explosive Wachstum anonymer Kryptowährungen wie Bitcoin machte diese jedoch zum perfekten Werkzeug für weitaus größere, globale Kampagnen mit Erpressersoftware. Innerhalb weniger Jahre hat sich Ransomware so zu einem äußerst lukrativen Geschäft für kriminelle Hacker entwickelt, das erhebliche Gewinne bei minimaler Investition und vergleichsweise geringem Risiko in Aussicht stellt. Kriminelle Hacker-Gruppen bieten längst auch Ransomware-as-a-Service an - die Einnahmen einer solchen Attacke werden zwischen den Malware-Herstellern und ihren "Partnern" geteilt.
Im Jahr 2017 spitzte sich die Situation mit dem Auftauchen mehrerer Ransomware-Typen zu, die einen Windows Exploit nutzten, der vermutlich von der NSA entwickelt wurde. Nachdem das Wissen um diese Sicherheitslücke in die Hände Cyberkrimineller gefallen war, konnten diese ihre Erpressungssoftware ohne jegliche Benutzerinteraktion über zahlreiche Computernetzwerke verbreiten. Der WannaCry-Angriff betraf über 200.000 Rechner in 150 Ländern, darunter auch die Systeme des britischen National Health Service.
Die Malware NotPetya, die ursprünglich auf ukrainische Unternehmen abzielte, konnte sich ebenfalls innerhalb weniger Tage unkontrolliert auf der ganzen Welt verbreiten. Hierbei waren viele große Unternehmen betroffen: Maersk etwa schätzte seine Verluste durch die Ransomware auf rund 300 Millionen Dollar. Ab diesem Zeitpunkt war Ransomware nicht mehr nur ein lukratives, kriminelles Geschäftsmodell - die Erpressersoftware hat sich zu einer Art "Cyber-Massenvernichtungswaffe" entwickelt.
Ransomware erkennen
Im Gegensatz zu den meisten anderen Cyber-Bedrohungen macht sich Ransomware innerhalb von Minuten nach der ersten Infektion bemerkbar: Egal, ob Sie auf einen Link zu einer bösartigen Website geklickt, einen verdächtigen E-Mail-Anhang geöffnet haben oder Opfer eines Drive-by-Downloads geworden sind (z.B. durch eine infizierte Online-Anzeige). In dem Moment in dem Sie auf dem Bildschirm den Hinweis sehen, dass Ihre Dateien verschlüsselt sind, ist der Schaden in der Regel bereits angerichtet. Dann können Sie nur noch versuchen, ihn zu minimieren.
Doch keine Panik - nicht alle diese Hinweise sind Anzeichen echter Ransomware, besonders wenn sie in Ihrem Browser erscheinen. Prüfen Sie, ob Sie noch zu einem anderen Programm wechseln oder einen Ordner mit Ihren Dokumenten durchsuchen können. Falls nicht, könnten Sie tatsächlich zum Opfer von Locker-Ransomware geworden sein. Wenn Sie Ihre Dokumente immer noch durchsuchen können, aber aufgrund beschädigter Daten keines öffnen können, könnte dies ein Zeichen für den Worst Case sein: Ihre Dateien sind verschlüsselt und der einzige Weg sie zurückzubekommen, ist die Zahlung des Lösegelds. Zumindest will der Angreifer Sie das glauben lassen.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Ransomware entfernen
Egal, ob Sie sich entscheiden, das Lösegeld zu zahlen oder nicht, Ihre erste Aktion sollte darin bestehen, Ihren Computer sofort vom Netzwerk und externen Laufwerken zu trennen. So verhindern Sie, dass sich die Erpresser-Malware auf andere Geräte oder Cloud-Dienste ausbreitet. Es ist auch ratsam, ein Foto der Lösegeldforderung zu machen - das hilft, die Art von Ransomware zu identifizieren die Sie getroffen hat.
Geht es um die Lösegeldforderung, raten die meisten Sicherheitsexperten von der Zahlung ab. Es gibt nicht nur keine Garantie, dass Sie Ihre Dokumente nach der Bezahlung zurückbekommen: Eine Zahlung könnte die kriminellen Hacker auch zu weiteren Ransomware-Angriffen in der Zukunft ermutigen. Stehen allerdings kritische Geschäftsunterlagen auf dem Spiel, von denen keine Kopien oder ein Backup besteht, könnte die Zahlung des Lösegeldes die letzte vernünftige - wenn auch moralisch fragwürdige - Option sein.
In keinem Fall sollten Sie allerdings alleine gegen den, beziehungsweise die, Angreifer vorgehen: Es gibt mehrere Quellen, die dabei helfen, die konkrete Variante der Erpressersoftware zu identifizieren. Ebenso lässt sich nachrecherchieren, ob die Verschlüsselung rückgängig gemacht werden kann. Natürlich bietet jeder namhafte Security-Anbieter auch eigene Tools und Dienstleistungen an, um mit den Folgen von Ransomware-Angriffen umzugehen.
In vielen Fällen ist jedoch eine saubere Neuinstallation des Betriebssystems auf Ihrem Gerät die einzige praktikable Option, um alle verfügbaren Dateien aus einer Datensicherung wiederherzustellen. Bevor Sie dies tun, sollten Sie jedoch überprüfen, ob Ihre Backups nicht auch verschlüsselt wurden.
Schließlich ist auch dringend zu empfehlen, Anzeige bei der Polizei zu erstatten. Das ist nicht nur relevant in Versicherungsfragen, sondern hilft den Behörden auch dabei, die Malware-Trends im Auge zu behalten. So können Sie eventuell anderen Opfern späterer Ransomware-Angriffe helfen.
Ransomware-Schutz
Der einzige Weg, schmerzfrei mit Ransomware-Angriffen umzugehen, besteht darin, solche Attacken von vornherein zu verhindern. Die wohl wichtigste Präventionsmaßnahme für Erpressersoftware ist die ordnungsgemäße Sicherung all Ihrer Dokumente. Eine beliebte Faustregel ist es, drei Kopien Ihrer Daten zu erstellen, sie auf zwei verschiedenen Medien zu speichern und eine Kopie außerhalb des Unternehmens aufzubewahren. Und natürlich sollten Sie Ihre Backups regelmäßig testen, um sicherzustellen, dass sie noch wiederherstellbar sind. Ein Off-Site Backup stellt dabei sicher, dass selbst die raffiniertesten Ransomware-Arten, die speziell auf Backup-Dateien abzielen, wirkungslos bleiben.
Backups allein retten Sie jedoch nicht vor einer Locker-Ransomware oder vor dem neuesten Trend - "Ransomware Doxing". Hierbei drohen Angreifer damit, sensible Daten zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird. Es ist daher von entscheidender Bedeutung, dass Sie Ihre Benutzer (Mitarbeiter, Kollegen, Familienmitglieder) ständig über die potenziellen Bedrohungen auf dem Laufenden halten. Sie sollten geschult werden, die Absender der eingehenden E-Mails stets zu überprüfen und nicht blind auf Links oder Anhänge zu klicken. Wichtiger ist jedoch, klare, umsetzbare Anleitungen für den Umgang mit einem Ransomware-Angriff bereitzuhalten und zu verinnerlichen.
Endpoint-Security-Lösungen sind die primäre Verteidigungslinie gegen Ransomware, aber die genauen Fähigkeiten variieren von Produkt zu Produkt. Moderne Lösungen stützen sich auf Methoden der Verhaltensanalyse (manchmal mit Hilfe Künstlicher Intelligenz), um verdächtige Aktivitäten im Zusammenhang mit der Verschlüsselung zu identifizieren und zu blockieren, bevor sie Ihre Dokumente beschädigen. Andere verwahren Kopien aller Originaldateien und machen böswillige Änderungen automatisch rückgängig. Sogar Windows Defender, der mit Windows 10 kostenlos geliefert wird, bietet jetzt einen integrierten Ransomware-Schutz. Sie sollten jedoch prüfen, ob er auf Ihrem Computer bereits aktiviert ist.
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Eine weitere wichtige Präventionsmaßnahme ist es, Ihr Betriebssystem und alle kritischen Anwendungen mit Sicherheitspatches auf dem neuesten Stand zu halten. WannaCry war in erster Linie deshalb so verheerend, weil viele Unternehmen einen kritischen Windows-Patch nicht rechtzeitig nach der Veröffentlichung - wohl gemerkt bereits Monate vor dem Ransomware-Angriff - installiert haben. Neben Windows selbst sind Anwendungen wie Internet Explorer, Adobe Flash und Microsoft Office dafür bekannt, dass sie Schwachstellen aufweisen, die häufig ausgenutzt werden.
Abschließend noch ein Wort zum Thema Cloud: Die Einschätzung, dass das Speichern von Dokumenten in einem Cloud-Speicher wie OneDrive oder Dropbox eine effiziente Präventionsmaßnahme gegen Ransomware ist, ist weit verbreitet. Fairerweise muss man sagen, dass das teilweise richtig ist: Die meisten dieser Dienste verfügen über integrierte Versionierungsfunktionen, mit denen Sie eine frühere Version eines Dokuments wiederherstellen können, nachdem es durch einen Ransomware-Angriff beschädigt wurde.
Auch wenn eine Locker-Ransomware Ihren Computer blockiert, können Sie mit Ihrem Dokument problemlos von einem anderen Gerät aus weiterarbeiten (oder sogar von einer Remote-Desktop-Sitzung aus, wenn Ihr Unternehmen eine virtuelle Desktop-Infrastruktur verwendet). Diese Überlegungen gelten jedoch nur, wenn Sie Ihre Cloud-Dateien nicht mit Ihrem Computer synchronisieren: Diese lokalen Dateien werden durch Ransomware kompromittiert und dann in wenigen Sekunden automatisch in die Cloud kopiert. Synchronisierungsdienste sind kein Ersatz für ein ordnungsgemäßes Backup.
Ransomware während der Coronavirus-Krise
Angesichts der Coronavirus-Epidemie werden viele Arbeitnehmer für längere Zeit im Home Office arbeiten müssen. Wie wirkt sich dies auf die allgemeine Widerstandsfähigkeit gegen Ransomware aus? In letzter Zeit haben sich mehrere große Cybercrime-Gruppen "freiwllig verpflichtet", während der Pandemie nicht gegen Gesundheitsorganisationen vorzugehen. Außerdem könnte es sein, dass die Verbreitung von Malware von einem Gerät auf andere Geräte deutlich verlangsamt wird, weil weniger Leute Firmennetzwerke nutzen.
Sicherheitsforscher berichten jedoch bereits über eine Zunahme böswilliger Angriffe, die sich die Angst vor dem Coronavirus zunutze machen. Außerdem kommen auf jeden leicht altruistischen Cyberkriminellen mindestens tausend andere, die keinerlei ethische Bedenken haben. Für Einzelpersonen, die im Home Office arbeiten und dabei persönliche Geräte verwenden, die nicht durch unternehmensweite Sicherheitslösungen geschützt sind, ist das Risiko, Opfer einer Ransomware-Attacke zu werden, leider höher als je zuvor.
Als Alternative zu bürobasierten Sicherheitsgateways sollten Unternehmen die aus der Cloud bereitgestellten Sicherheitslösungen betrachten, insbesondere solche, die keine zusätzliche Hardware oder Software benötigen. Der effizienteste Schutz gegen Ransomware ist jedoch immer noch gesunder Menschenverstand: Öffnen Sie keine unerwünschten E-Mails, vermeiden Sie das Anklicken verdächtiger Links und Anhänge und halten Sie sich an vertrauenswürdige Websites um aktuelle Nachrichten zu erhalten. Denken Sie daran, dass Ihre Cyber-Hygiene für Ihre Sicherheit ebenso wichtig ist wie die buchstäbliche Hygiene für Ihre Gesundheit. (fm)