Die Crimeware-Szene hat eine lukrative Einnahmequelle gefunden: Erpressung. Begonnen hat alles schon 1989 – damals trat wohl die Mutter der Ransomware auf. Der AIDS Trojan Disk verschlüsselte Daten und zeigte eine Nachricht an: Die Lizenz sei abgelaufen, der Nutzer müsse sie verlängern. Einer der ersten Angreifer aus dem Netz war TROJ_PGPCODER.A. Die ersten Erpresser begnügten sich noch mit wenigen hundert Dollar.
Zahl der Angriffe von Ransomware Erpressern steigt
Mit dem steigenden Wert von Daten in der digitalisierten Welt stiegen auch die Zahl der Angriffe und die erpressten Summen. Viele Unternehmen sind ohne Zugriff auf ihre Daten nicht mehr handlungsfähig – was die Bereitschaft erhöht, hohe Summen zu zahlen. Firmen, die nicht zahlen können oder wollen, droht der Bankrott.
Allein Ryuk erpresste bisher über 61 Millionen Dollar
Die aktuell «erfolgreichste» Software heisst Ryuk. Laut FBI-Special Agent Joel deCapua erpressten die Cyberkriminellen mit dieser Schadsoftware innerhalb von 20 Monaten 61,26 Millionen US-Dollar. deCapua berichtete davon auf der RSA-Konferenz. Er koordiniert beim FBI die Identifizierung und Verfolgung von Cyberkriminellen.
Der Special Agent leitete die Ermittlungen einiger spektakulärer Fälle: 2014 untersuchte er Hackerangriffe auf US-Finanzinstitute und einen Insider-Angriff in einer Investmentbank. 2017 war er an den Ermittlungen gegen einen der grössten Ransomware-Angriffe beteiligt.
Ryuk ist nur die Spitze des Eisbergs
Ryuk erbeutete in den vergangenen sieben Jahren gut 42 % aller durch Ransomware erpressten Gelder. Die Liste der Schadprogramme ist aber lang. Knapp 24,5 Millionen US-Dollar gingen an die Initiatoren von Crysis/Dharma, mit Bitpaymer erpressten Kriminelle gut acht Millionen US-Dollar. Der Gesamtschaden belief sich auf 144,35 Millionen Dollar, so Joel deCapua auf der RSA Conference.
Die Statistik erfasst alle dem FBI bekannten Zahlungseingänge über Bitcoin-Wallets – erhoben für den Zeitraum 2013 bis 2019, basierend auf allen in Erpressungsaktionen verwendeten Wallets. Als zerstörerischste Schadsoftware erwies sich dabei Emotet. Zu diesem Schluss kommt nicht nur das FBI: Auch das Bundesamt für Sicherheit attestiert Emotet eine verheerende Wirkung. Emotet entfaltet sie, indem es auf infizierten Computern weitere Schadsoftware ausrollt – darunter Ryuk und den Banking-Schädling TrickBot.
Moral gibt es bei Cyberkriminellen nicht
Die Cyberkriminellen beschränken sich nicht auf Industrieunternehmen. Mehrtägige Produktionsausfälle können besonders mittelständische Firmen in existenzielle Not bringen. Bei Privatnutzern haben es die Täter vor allem auf Online-Banking-Daten abgesehen. Dass sie auch vor Krankenhausnetzwerken nicht haltmachen, zeigt, wie weit die Skrupellosigkeit reicht.
Mittelständische Unternehmen in den Bankrott getrieben
Angriffe auf Firmen und Organisationen gelten als besonders einträglich – die Forderungen gehen oft in die Millionen. Wer nicht zahlt oder nicht zahlen will, riskiert die Pleite. Das trifft nicht nur kleine Betriebe, wie das Beispiel des Fensterherstellers Swiss Windows zeigt.
Das Unternehmen stand eigentlich solide da: drei Standorte, 170 Mitarbeitende, gut gefüllte Auftragsbücher. Dann kam der Mai 2019 – und mit ihm Ryuk. Die Schadsoftware griff auf den Firmenserver zu und verschlüsselte das Fensterbauprogramm vollständig. Kunden- und Maschinendaten waren weg. Die täglichen Backups erwiesen sich als nutzlos.
Der Produktionsausfall dauerte über einen Monat. Die Nachfolgekosten waren hoch, und die Entscheidung, nicht zu zahlen, fiel – die IT-Infrastruktur musste ohnehin ausgetauscht werden. Problematisch war, dass der Angriff öffentlich wurde: Ein Investor sprang ab, Kunden forderten Vertragsstrafen für nicht rechtzeitig gelieferte Waren. Am Ende war das Unternehmen pleite. 170 Mitarbeitende standen ohne Job da.
Wie funktioniert Ransomware?
Die Schadsoftware kommt oft per E-Mail. Emotet fungiert dabei als Transportmittel für weitere Schadprogramme – vor Ryuk war das TrickBot, ein Banking-Schädling, der in einigen Unternehmen Schäden in Millionenhöhe verursachte.
Das gefährliche Trio tritt oft als Word-Dokument auf. Wer es öffnet, holt sich Besuch ins Firmennetzwerk: Emotet schafft den Zugang und durchsucht das Netz nach sensiblen Daten. TrickBot kopiert alle Kontozugangsdaten. Ryuk vollendet die Mission – es verschlüsselt alle wichtigen Daten und löscht dabei gleich alle Sicherungskopien mit. Eine Wiederherstellung ist danach kaum möglich.
Wer die Daten zurückhaben will, muss entweder die IT-Infrastruktur neu aufbauen und auf ein externes Backup zurückgreifen – oder zahlen. Die Forderungen sind dabei nicht zufällig: TrickBot ermittelt vorab den finanziellen Rahmen eines Unternehmens. Die Lösegeldforderung richtet sich danach. Privatpersonen sind selten das Ziel, weil sich dort weniger herausholen lässt.
Empfehlungen für Ransomware-Betroffene
Wer einen Befall feststellt, schaltet den Rechner so schnell wie möglich hart aus – Knopf drücken, kein reguläres Herunterfahren. Nur so lässt sich der noch nicht verschlüsselte Teil der Daten möglicherweise retten.
Vom Zahlen eines Lösegelds rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich ab. Beim Zahlungsvorgang erhalten die Täter neue persönliche Daten – und es ist nicht gesichert, dass sie die Forderung danach nicht erhöhen.
Antivirenprogramme können Schadsoftware teilweise entfernen, dazu ist aber ein sauberes Betriebssystem nötig. IT-Sicherheitsexperten haben in einigen Fällen Entschlüsselungssoftware entwickelt, die betroffene Daten wiederherstellt. Auf jeden Fall: Experten für Computersicherheit beiziehen und Anzeige erstatten – das empfiehlt das BSI ausdrücklich.
Schutzmaßnahmen gegen Ransomware-Angriffe
Regelmässige Datensicherungen sind das Fundament – aber nur dann sinnvoll, wenn sie auf einem externen Datenträger liegen, der nicht dauerhaft am System hängt. Ist er permanent angeschlossen, verschlüsselt Ransomware auch das Backup.
Betriebssystem-Updates so schnell wie möglich einspielen. E-Mails unbekannter Absender sind ein besonderes Risiko: Anhänge nicht öffnen, E-Mail löschen. Virenschutz mit aktuellen Signaturen und eine Firewall sind keine Option, sondern Pflicht. Auch das Dateisystem spielt eine Rolle – versionierende Dateisysteme, wie sie etwa Linux nutzt, erhöhen die Widerstandsfähigkeit. In Firmennetzwerken lohnt es sich, IT-Sicherheitsexperten beizuziehen.