Die Facetten der Ransomware
Fünf Spielarten quälen die Unternehmen.
Bei Ransomware-Angriffen erobern Angreifer die Endgeräte und Server ihrer Opfer, verschlüsseln gezielt Daten und verlangen Lösegeld in Form von Kryptowährungen für deren Freigabe. Mit derlei Verschlüsselungstrojanern haben Cyberkriminelle schon die IT-Landschaften großer Unternehmen lahmgelegt: Zu den Opfern zählen hierzulande etwa Krauss Maffei, die Deutsche Bahn, das Klinikum Fürstenfeldbruck, das Lukaskrankenhaus in Neuss und viele andere.
Die Cryptolocker-Geschichte
Angriffe dieser Art gibt es schon seit vielen Jahren. 1991 verbreitete ein Biologe PC Cyborg, einen in QuickBasic programmierten Trojaner, der noch auf Diskette per Post verschickt wurde. Betroffen waren AIDS-Forscher, die ihre Daten nach Aktivierung des Datenträgers verschlüsselt vorfanden und aufgefordert wurden, für 189 Dollar die „Jahreslizenz“für die Benutzung ihres Rechners zu erneuern – zahlbar per Verrechnungscheck an ein Postfach in Panama.
2006 kam dann Archiveus auf, die erste Ransomware, die Windows-Systeme befiel, erstmals eine RSA-Verschlüsselung verwendete und über E-Mail und File-Sharing-Seiten verbreitet wurde. Dieser Trojaner ist längst Geschichte. Gleich eine ganze Reihe von Ransomware-Paketen attackierte dann Anfang 2010 die Netze, bekannt unter dem Namen Police: Die Angreifer gaben sich als Strafverfolgungsbehörden aus und forderten Geldbußen für angeblich illegale Aktivitäten der Opfer. Hier kam erstmals eine neue Generation anonymer Zahlungsdienste zum Einsatz, die es ermöglichte, unerkannt das Lösegeld abzukassieren.
Wenig später etablierte sich ein neuer Trend: Die Cyberkriminellen begannen, sich in Kryptowährungen auszahlen zu lassen – eine kaum aufzuspürende, anonyme Zahlungsmethode. Die meisten Banden rechnen seitdem in Bitcoins ab. Die Angriffe erreichten Mitte der 2010er-Jahre einen neuen Höhepunkt, ehe sich die Gangster dann 2018 vorübergehend auf ein anderes Vorgehen konzentrierten, Bitcoins zu erbeuten: das Cryptojacking.
Dabei werden Rechner über Malware oder einen Browser-basierten Injection-Angriff infiziert und – unbemerkt vom Nutzer – für das Mining von Kryptowährungen zweckentfremdet. Laut IBM gingen die Ransomware-Angriffe 2018 um 45 Prozent zurück, während die Angriffe durch Cryptojacking um 450 Prozent zulegten.
In den beiden vergangenen Jahren sind die Attacken mit Verschlüsselungstrojanern allerdings mit voller Wucht zurückgekehrt. Mounir Hahad, Leiter der Juniper Threat Labs bei Juniper Networks, sieht in den Unwägbarkeiten der Preisgestaltung bei Kryptowährungen einen Grund. Viele Cryptojacker benutzten die Computer ihrer Opfer für das Mining der Open-Source-Währung Monero, und als diese
zunehmend verfiel, kehrten sie zurück zur klassischen Lösegeldforderung.
Da die Angreifer die Rechner vieler Opfer bereits mit Trojaner-Downloadern kompromittiert hatten, war es für sie einfach, zum richtigen Zeitpunkt nachzuladen und einen Ransomware-Angriff zu starten. In der jüngsten Ransomware-Welle konzentrieren sich die Angreifer nicht mehr auf die Verschlüsselung von Endgeräten, sondern auf Produktionsserver mit geschäftskritischen Daten. „Wird ein Laptop nach dem Zufallsprinzip befallen, hat das für Unternehmen meistens keine gravierenden Auswirkungen“, so Hahad. „Wenn die Angreifer aber die Server in die Finger bekommen, die das Tagesgeschäft antreiben, ist die höchste Alarmstufe erreicht.“
Solche Angriffe verlangen Raffinesse. Es geht darum, gut geschützte Systeme zu infiltrieren und Malware zu installieren. Laut Hahad sind bei solchen Angriffen die Täter oft auch direkt im Unternehmen aktiv, schnüffeln im Netzwerk herum, verschieben Dateien, verändern Zugangsprivilegien und verschaffen einem fremden „Admin“Zugangsberechtigung, damit er von außen auf Rechner zugreifen kann.
Heute ist eine Reihe von Ransomware-Familien mit teils divergierenden Angriffszielen und -methoden bekannt. Wir stellen Ihnen fünf der derzeit bösartigsten Cryptolocker vor.
1. SamSam – Remote Desktop Ransomware
Angriffe mit dem Verschlüsselungstrojaner SamSam kamen Ende 2015 auf, nahmen in den nächsten Jahren mächtig Fahrt auf und betrafen unter anderem das Verkehrsministerium von Colorado, die Stadt Atlanta und zahlreiche Gesundheitseinrichtungen.
In der Regel gelangt Ransomware über bösartige Download-Programme auf Rechner. Sie werden über Spam-E-Mail verteilt oder über Drive-by-Downloads, bei denen Anwender Schadsoftware unbeabsichtigt über eine präparierte Website laden. Solche Downloader laden anschließend Malware herunter, die den Verschlüsselungsvorgang startet. Die Angreifer, die sich hinter SamSam verbergen, gehen anders vor, wie der US-Sicherheitsanbieter Digicert beschreibt. Sie setzen Tools ein, um Server via Remote-Desktop-Verbindungen auf fehlende Patches zu analysieren. Über die so gefundenen Sicherheitslücken verschaffen sich die Angreifer Zugriff auf den Server, sammeln Zugangsdaten ein und installieren Ransomware, um Dateien zu verschlüsseln, für die sie dann Lösegeld verlangen.
Die überwältigende Mehrheit der Angriffe mit SamSam zielte auf Institutionen innerhalb der USA ab. Ende 2018 klagte das US-Justizministerium zwei Iraner an, die angeblich hinter solchen Angriffen steckten und einen Schaden in Höhe von über 30 Millionen Dollar verursacht haben sollen. Es ist jedoch unklar, welche Summen wirklich gezahlt wurden, da bei weitem nicht alle Unternehmen publik machen, wenn sie erfolgreich erpresst wurden.
2. Ryuk – Cryptolocker-Exot
Ryuk ist eine nicht so häufig auftretende Ransomware-Variante, die 2018 und 2019 erste Auswirkungen zeigte. Als Opfer wurden überwiegend Unternehmen ausgewählt, die sich Systemausfälle absolut nicht leisten können: Tageszeitungen etwa oder Energieversorger. Betroffen war beispielsweise ein Wasserversorgungsunternehmen in North Carolina, das mit den Folgen des Hurrikans „Florence“zu kämpfen hatte. Auch die „Los Angeles Times“
hatte unter Ryuk zu leiden und veröffentlichte sogar einen detaillierten Bericht darüber.
Das zu Cisco gehörende IT-Sicherheitsunternehmen Duo Security beobachtete, dass Ryuk über eine Kette verschiedener Malware-Produkte in die Unternehmen gelangt. Der Angriff beginnt mit einer Infektion durch die Malware Emotet, die über eine Phishing-E-Mail mit infiziertem Anhang ausgebracht wird. Sie spioniert den Rechner aus und lädt eine zweite Schadsoftware namens TrickBot nach, mit der unter anderem Kontozugangsdaten abgeschöpft werden. Im dritten Schritt wird dann Ryuk installiert, die eigentliche Ransomware, die als wichtig erkannte Dateien verschlüsselt und Sicherungskopien löscht, um die Wiederherstellung zu erschweren.
Eine üble Eigenschaft von Ryuk besteht darin, dass die Schadsoftware die Systemwiederherstellung von Windows-Rechnern deaktivieren kann, wodurch es besonders schwierig wird, verschlüsselte Daten zu retten, ohne dafür an die Erpresser zu zahlen. Die Lösegeldforderungen in den bekannten Infektionsfällen fielen überdurchschnittlich hoch aus.
Experten vermuten, dass der Ryuk-Quellcode von der 2017 entdeckten Ransomware Hermes abgeleitet wurde, die der berüchtigten APT
Lazarus Group aus Nordkorea zugeordnet wird. Mit Hermes wurde unter anderem die Far Eastern International Bank in Taiwan erpresst. All das muss aber nicht bedeuten, dass die RyukAngriffe von Nordkorea ausgingen. McAfee etwa geht davon aus, dass der Ryuk-Code von Hackern aus dem russischsprachigen Raum gekauft und verbreitet wurde, zumal die Lösegeldforderung auf Computern, deren Sprache auf Russisch, Weißrussisch oder Ukrainisch eingestellt ist, nicht ausgeführt werden kann.
3. PureLocker – Ransomware-as-a-Service
PureLocker ist eine neuere, in PureBasic geschriebene Ransomware-Variante, die Cyberkriminelle offenbar als „Ransomware-as-aService“mieten können. Im November 2019 beschrieben Intezer und das X-Force-IRIS-Team von IBM erstmals die Ransomware, die Produktionsserver in großen Unternehmen lahmlegt. Wie Engimasoft berichtet, haben die Anbieter den Preis für die Mietsoftware recht hoch angesetzt, sodass die Verbreitung nicht so schnell vorankommt wie theoretisch möglich.
PureLocker läuft auf Windows- und LinuxRechnern und wird allem Anschein nach über die Backdoor-Malware „More_eggs“eingeschmuggelt, derer sich einige berüchtigte Banden von Cyberkriminellen bedienen (Fin6, Cobalt Group). PureLocker wird also auf Maschinen installiert, die bereits kompromittiert und von Angreifern ausgespäht wurden. Der Trojaner führt eine Reihe von Prüfungen auf der Maschine durch und verschlüsselt ganz gezielt Daten – laut Enigmasoft aber nur dann, wenn bestimmte Kriterien erfüllt sind. Beispielsweise werden Sandbox-Umgebungen erkannt und gemieden.
4. Zeppelin – der intelligente Trojaner
Zeppelin ist eine neue Ransomware, die Anfang November 2019 entdeckt und offenbar von erfahrenen, hochqualifizierten Entwicklern geschrieben wurde. Angeblich ist Zeppelin
ein Nachfahre der Ransomware-Familie Vega, doch Experten von Geekflare haben daran ihre Zweifel: Vega-Locker hätten sich gegen russische Unternehmen und Institutionen gerichtet, Zeppelin habe aber nur europäische und US-amerikanische Ziele im Visier und sei so programmiert, dass die Malware auf russischsprachigen Systemen nicht funktionsfähig sei.
Die Zeppelin-Malware richtete sich bislang vor allem gegen Technologieunternehmen sowie Institutionen aus dem Gesundheitswesen.
Wie die Software auf die Systeme ihrer Opfer gelangt, ist noch nicht im Detail geklärt. Spekulationen besagen, dass die Ransomware über Remote-Desktop-Verbindungen verteilt wird.
Zeppelin prüft zunächst Details auf den befallenen Rechnern, setzt dann die Basisfunktionen außer Kraft und beginnt mit der Verschlüsselung der Daten auch in Datenbanken und Backup-Files. Laut Geekflare geht die Malware intelligent vor: Zeppelin erzeugt keine Extensions zu den jeweiligen Dateien und ändert keine Dateinamen. Betroffene werden aber eine Markierung mit dem Namen Zeppelin und einigen ungewöhnlichen Symbolen bemerken.
Der Algorithmus von Zeppelin entspricht dem des Vega-Trojaners: Beide generieren Schlüssel, und die Dateien sind erst wieder zugänglich, wenn Lösegeld bezahlt wurde. Dann wird ein Banner sichtbar: „Your files have been encrypted“. Die Unternehmen erhalten eine Nachricht, aus der nicht nur hervorgeht, wie die Ransomware funktioniert, es ist perfiderweise meist sogar eine E-Mail-Adresse angegeben, um Kontakt aufzunehmen. Außerdem wird angeboten, die eine oder andere Datei kostenlos zu entschlüsseln, weil die Kriminellen so nachweisen wollen, dass sie dazu auch wirklich imstande sind.
Wer sich vor Ransomware wie Zeppelin, aber auch vor anderen Verschlüsselungstrojanern schützen will, sollte regelmäßig Backups auf anderen, nicht verbundenen Systemen vornehmen, Remote-Desktop-Verbindungen meiden und seine Mitarbeiter nur vertrauenswürdige Online-Dienste nutzen lassen. MehrFaktor-Authentifizierung, regelmäßige Passwort-Wechsel und eine Schulung der Mitarbeiter hinsichtlich des Öffnens von E-MailAnhängen und Links sind ebenfalls ratsam.
5. Sodinokibi – Malware aus Leidenschaft
Sodinokibi, auch bekannt als REvil, tauchte erstmals im April 2019 auf. Der Trojaner ist offenbar ein Nachfahre einer anderen MalwareFamilie namens GandCrab. Wie bei Zeppelin verhindert der Code eine Ausführung in Russland und angrenzenden Ländern sowie in Syrien. Es deutet also einiges daraufhin, dass der Ursprung in einer dieser Regionen liegt. Die Verbreitung erfolgt auf verschiedenen Wegen, darunter die Ausnutzung von bekannten Schwachstellen in Oracles WebLogic-Servern oder der Pulse Connect Secure VPN.
Auch bei Sodinokibi handelt es sich offenbar um ein Ransomware-as-a-Service-Angebot, mit einem ehrgeizigen Team von Cyberkriminellen dahinter. Die Malware war dafür verantwortlich, dass die IT-Systeme in 22 texanischen Kleinstädten im September 2019 lahmgelegt wurden. Noch bekannter wurde ein Angriff in der Silvesternacht 2019, als es gelang, die britische Devisengesellschaft Travelex anzugreifen, wodurch beispielsweise Wechselstuben an Flughäfen gezwungen wurden, auf Stift und Papier zurückzugreifen. Die Angreifer verlangten ein Lösegeld von sechs Millionen Dollar – ob es gezahlt wurde, ist nicht an die Öffentlichkeit gedrungen.
Die Urheber von Sodinokibi gelten als besonders gefährlich, weil sie nicht nur Geld für die Freigabe verschlüsselter Daten fordern, sondern auch damit drohen, vertrauliche Informationen und persönliche Daten im Web zu veröffentlichen beziehungsweise Dritten zum Kauf anzubieten. Die PSW Group weist darauf hin, dass Sodinokibi-Ransomware sich auch durch gefälschte Online-Bewerbungen verbreitet, und ruft Personalabteilungen zu erhöhter Wachsamkeit auf. Ein anderer Weg ist die Verbreitung als Fax-Ankündigung via E-Mail („Sie haben ein Fax, Absender HelloFax“).