zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Ransomware

Günter Herkommer,

WannaCry, Petya - nur die Spitze eines Eisberges?

Laut einem Bericht von Trend Micro stieg die Zahl entdeckter Ransomware-Familien 2016 dramatisch um rund 750 % gegenüber dem Vorjahr. Auch industrielle Steuerungssysteme könnten zunehmend in den Fokus der Erpresser rücken, so die Cybersicherheits-Experten.

© Fotolia, Florian Roth

WannaCry, Petya – wohl kaum einer, der nicht von den jüngsten, erfolgreich durchgeführten Ransomware-Attacken gehört hat. Sie sind allerdings nur die Spitze des Eisbergs, wie aus dem neuen Trend-Micro-Report ‚Ransomware: Früher, jetzt und künftig‘ hervorgeht. Allein im Jahr 2016 erpressten Hacker demnach über eine Milliarde US-Dollar durch entsprechende Malware-Angriffe. Gleichzeitig stieg die Anzahl der in 2016 entdeckten Ransomware-Familien im Vergleich zu 2015 von 29 auf 247 an.

Top-Dateitypen bei Ransomware-bezogenem Spam im Jahr 2016 (Der signifikante Anstieg an JavaScript-Anhängen (JS) im November wurde durch Nemucod verursacht, einem bekannten Ransomware Dropper von Locky.)

© Trend Micro Deutschland

Ransomware lässt den Betroffenen oft keine andere Wahl als zu bezahlen, wenn sie ihre geschäftliche Aktionsfähigkeit nicht gefährden wollen. Doch die Zahlung des Lösegelds bedeute nicht immer, dass die Opfer ihre Daten wiederbekommen.

Ransomware kommt auf verschiedenen Wegen auf Computer und Geräte, unter anderem über Spam (mit bösartigen Anhängen oder eingebetteten Links), kompromittierte oder eigens erstellte bösartigen Websites oder auch Exploit Kits (vor allem der berüchtigte Angler).

Was gerade die Industrie nachdenklich stimmen sollte: Die Verhaltensweisen der Malware haben sich in den letzten zwei Jahren dahingehend verändert, dass die Angreifer begannen, Unternehmen statt Einzelpersonen ins Visier zu nehmen. Abgesehen von der Infizierung von Computern und Mobilgeräten nahm die Erpressersoftware auch Freigaben und Wechselmedien sowie Server aufs Korn. Einige Familien verschlüsselten außerdem ausgewählte Dateitypen wie etwa Datenbankdateien, um einen höheren Profit herauszuschlagen. Und auch die Erpressernachrichten entwickelten sich weiter. Alle möglichen Formen der Einschüchterung wurden verwendet – unter anderem der Einsatz von Countdown-Timern, welche die Zeit bis zum bevorstehenden Löschen der Daten anzeigen, bis hin zur Drohung, die Lösegeldsumme zu erhöhen. Einige Varianten, wie Doxware, drohen ihren Opfern sogar mit der Veröffentlichung der Daten für den Fall der Zahlungsverweigerung.

Anzeige

Ransomware-as-a-Service

Ein weiterer Aspekt, der Anlass zur Sorge gibt: Über das Geschäftsmodell Ransomware-as-a-Service (RaaS) bieten findige Cyberkriminelle ihre bösartigen Kreationen zunehmend auch anderen gegen eine Gebühr oder einen prozentualen Anteil am Gewinn an. Auch Ransomware Do-it-Yourself Kits sind in den Untergrundmärkten und Foren erhältlich. Und diejenigen, denen es dafür an Geld fehlt, können Web Repositories nutzen, wo quelloffene Ransomware, wie Hidden Tear, kostenlos zur Verfügung steht.

Die geforderten Lösegeldsummen bewegen sich üblicherweise zwischen 0,5 und 5 Bitcoins als Gegenleistung für den Decryption-Schlüssel. Einige Varianten erhöhen die Forderung, je länger nicht gezahlt wird. Wichtig in diesem Kontext sei der Umstand, dass der Bitcoin-Wechselkurs steigt. Im Januar 2016 war ein Bitcoin 431 US-Dollar wert, Ende März 2017 bereits 1082 US-Dollar.

Jüngste Entwicklungen

Auf den Computern und anderen Geräten installierte Sicherheitslösungen zu überwinden, stellte schon immer eine Herausforderung für Ransomware dar. Ein paar Familien jedoch führten neue Möglichkeiten ein, der Entdeckung zu entgehen. TorrentLocker bettete kompromittierte Dropbox-URLs in Phishing-Mails ein und nutzte zudem Nullsoft Scriptable Install System (NSIS) für die Verschlüsselung, um sich installierten Sicherheitslösungen zu entziehen. Besagte URL führt dann zum Download einer Ransomware-Variante, die sich als Rechnung oder ein anderes Dokument dieser Art ausgibt und auf einer legitimen Site gehostet wird (der Zugriff ist also nicht gesperrt).

Hermes, eine andere Ransomware-Variante, scannt den Computer eines Opfers und nicht gemappte Netzwerk-Freigaben nach Dateien zum Verschlüsseln, löscht danach System-Restore-Punkte und reduziert die allozierte Maximalgröße für Shadow-Speicher auf 410 MByte.

Auch wenn diese Routinen nicht ganz neu sind, so funktionieren sie noch und werden von Ransomware eingesetzt. Ein typisches Beispiel dafür ist die Ransomware-Variante WannaCry/WCRY. Ursprünglich über bösartige Dropbox-URLs in Spam eingebettet, machte diese im Mai eine unerwartete Wendung: Sie begann eine kürzlich gepatchte Sicherheitslücke in SMB-Server auszunutzen, und es folgte einer der bislang größten Ransomware-Angriff.

In den nächsten paar Jahren wird sich Ransomware nach Einschätzung von Trend Micro verändern: Bisher haben Ransomware-Akteure unter anderem Krankenhäuser und Transportdienstleister angegriffen. Was sollte sie davon abhalten, größere Ziele wie Industrieroboter in der Fertigung oder Infrastrukturen in der Smart City zu attackieren? Kurzum: Online-Erpressung ist dabei, von Computern und Server-Geiselnahmen hin zu jeglichen ungenügend geschützten vernetzten Geräten zu wechseln, einschließlich Smart Devices oder kritischer Infrastrukturen.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

Cyber-Security

Siemens und ISA kooperieren

Angesichts der Bedrohungen für Automatisierungstechnik, müssen auch die Schutzkonzepte für Industrieanlagen angepasst werden. Siemens und die International Society of Automation (ISA) haben daher eine weltweite Zusammenarbeit beim Thema...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Sensoren

Per Technologie-Stack zur Intelligenz

Heutige Sensoren sind in den meisten Fällen einfache Messwert- beziehungsweise Datenwandler, die über recht simpel ausgeprägte Schnittstellen eine übergeordnete Zentralintelligenz – zum Beispiel eine SPS – mit Messdaten versorgen.

mehr...
Jetzt Newsletter abonnieren