Die Crimeware-Szene hat eine lukrative Einnahme-Quelle gefunden: Erpressung. Begonnen hat alles schon 1989. Damals trat wohl die Mutter der Ransomware auf. Der Virus AIDS Trojan Disk verschlüsselte Daten und zeigte eine Nachricht an. Der überraschte Nutzer erfuhr, dass eine Lizenz abgelaufen sei, die der Nutzer nun verlängern müsse. Einer der ersten Angreifer aus dem Internet war TROJ_PGPCODER.A. Die ersten Erpresser gaben sich mit wenigen hundert Dollar für die Entschlüsselung zufrieden.
Zahl der Angriffe von Ransomware Erpressern steigt
In unserer digitalisierten Welt stieg der Wert von Daten erheblich. Mit ihm stieg die Zahl von Ransomware und die erpressten Summen deutlich. Viele Unternehmen sind ohne den Zugriff auf ihre Daten nicht mehr handlungsfähig. Deshalb ist die Breitschaft groß, die Daten gegen das Zahlen hoher Summen zu entschlüsseln. Firmen, welche der Erpressung nicht nachgeben oder nicht nachgeben können, droht der Bankrott.
Allein Ryuk erpresste bisher über 61 Millionen Dollar
Die aktuell „erfolgreichste“ Software heißt Ryuk. Laut FBI-Special Agent Joel deCapua haben die Cyperkriminellen allein mit dieser Schadsoftware innerhalb von 20 Monaten 61,26 Millionen US-Dollar erpresst. Dies berichtete der deCapua während der RSA-Konferenz. Er verwaltet und koordiniert beim FBI die Identifizierung und Verfolgung von Cyberkriminellen.
Der Special Agent leitete die Ermittlungen einiger spektakulärer Fälle. So untersuchte er in 2014 Häckerangriffe auf mehrere US-Finanzinstitute. Ebenso untersuchter er einen Insider-Angriff in einer Investmentbank. 2017 war deCapua an den Ermittlungen gegen einen der größten Angriffe mit Ransomware beteiligt.
Ryuk ist nur die Spitze des Eisbergs
Ryuk erbeutete in den vergangenen sieben Jahren immerhin gut 42 % aller durch Ransomware erpressten Gelder. Die Liste der Schadprogramme ist aber lang. Immerhin knapp 24,5 Millionen US-Dollar erbeuteten die Initiatoren des Trojaners Crysis/Dharma. Mit Bitpaymer erpressten Kriminelle gut acht Millionen US-Dollar. Insgesamt entstand ein Schaden in Höhe von 144.35 Millionen Dollar, erläuterte Joel deCapua auf der diesjährigen RSA Conference.
Die Statistik enthält alle dem FBI bekannten Zahlungseingänge über Bitcoin-Wallets. Daten erhob die Behörde für den Zeitraum zwischen 2013 und 2019. Sie beruhen auf der Erfassung aller in Erpressungsaktionen verwendeten Wallets. Dabei erwies sich Emotet als zerstörerischste Schadsoftware. Zu diesem Schluss kommt nicht nur das FBI, denn auch das Bundesamt für Sicherheit attestiert diesem Schad-Programm eine verheerdene Wirkung. Diese entfaltet Emotet, indem es auf infizierten Computeren weitere Schadsoftware ausrollt. Dabei ist Ryuk sicher am effektivsten, aber auch auch den Banking-Schädling TrickBot rollt Emotet aus.
Moral gibt es bei Cyber-Kriminellen nicht
Die Cyber-Kriminellen beschränken sich dabei nicht auf das Zerstören der IT-Infrastrukutr von Industrieunternehmen. Mehrtägige Produktionsausfälle können besonders bei mittelständischen Firmen die Existenz bedrohen. Bei Privatnutzern interessieren sich die Betrüger vor allem für die Daten des Online-Bankings. Die Skrupellosigkeit der Initiatoren zeigt sich darin, dass sie auch vor den IT-Netzwerken von Krankenhäusern nicht halt machen.
Mittelständische Unternehmen in den Bankrott getrieben
Als besonders einträglich gelten Angriffe auf Firmen und Organisationen. Für die Entschlüsselung der chiffrierten Daten verlangen die Kriminellen gern mehrere Millionen US-Dollar. Wer nicht zahlt oder nicht zahlen will, muss mit der Pleite rechnen. Dies trifft nicht nur kleinere Unternehmen, wie das Beispiel des Fensterherstellers Swiss Windows zeigt.
Die Aktengesellschaft stand eigentlich solide da. Sie hatte drei Standorte mit 170 Mitarbeitern. Die Auftragsbücher waren gut gefüllt. Dann kam der Mai 2019 und mit ihm eine Cyberattacke mit Ryuk. Die Schadsoftware griff auf den Firmenserver zu und verschlüsselte das Fensterbauprogramm vollständig. Alle Daten von Kunden und Maschinen waren verschwunden. Die täglichen Backups erwiesen sich als nutzlos.
Swiss Windows erlitt einen Produktionsausfall von mehr als einem Monat. In der Folge entstanden hohe Nachfolgekosten. Das Unternehmen entschied, sich nicht der Erpressung zu beugen. Die IT-Infrastruktur musste nach dem Cyberangriff ohnehin ausgetauscht werden. Problematisch war, dass die Nachricht vom Angriff öffentlich wurde. Aus Angst sprang ein Investor ab. Kunden, die ihre Waren nicht pünktlich geliefert bekamen, forderten Vertragsstrafen. Am Ende konnte sich das Unternehmen nicht retten. Ein eigentlich solide aufgestellter Betrieb war pleite. 170 Mitarbeiter standen ohne Job da.
Wie funktioniert Ransomware?
Häufig wird die Schadsoftware per E-Mail verschickt. Der bekannte Trojaner Emotet agiert dabei als Transportmittel für weitere Schadprogramme. Vor Ryuk war dies TrickBot, eine Banking-Schadsoftware, die in einigen Unternehmen Schäden in Millionenhöhe verursachte.
Das gefährliche Trio kommt oft als Word-Dokument daher. Wer das Dokument öffnet, bekommt Besuch im Firmennetzwerk. Emotet fungiert dabei als Zugang für die anderen beiden Schadprogramme und untersucht das Netzwerk auf sensible Daten. Dann sucht TrickBot nach allen Kontozugangsdaten und kopiert diese. Schließlich vollendet Ryuk die Diebes- und Zerstörungsmission, indem es alle wichtigen und sensiblen Daten verschlüsselt. Dabei leistet das Programm ganze Arbeit, denn es löscht alle existierenden Sicherheitskopien gleich mit. Eine Wiederherstellung der Daten ist danach kaum möglich.
Wer seine Daten zurückhaben will, muss viel Geld investieren. Entweder bauen Betroffene die IT-Infrastruktur neu auf und nutzen ein externes Backup oder sie geben der Erpressung nach. Die Kriminellen fordern übrigens nicht wahllos eine Summe X. TrickBot ermittelt den finanziellen Rahmen, den ein Unternehmen hat. Daraus ergibt sich dann die Forderung. Betroffen sind vor allem Unternehmen, weil Kriminelle hohe Einnahmen erwarten.
Empfehlungen für Ransomware-Betroffene
Wer einen Befall des Computers feststellt, sollte ihn so schnell wie möglich hart ausschalten. Der Rechner darf auf keinen Fall heruntergefahren werden. Nur durch die Betätigung des Aus-Knopfes ist die Rettung zumindest des noch nicht verschlüsselten Teils der Daten möglich.
Vom Zahlen eines Lösegelds, um an die verschlüsselten Daten wieder heranzukommen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich ab. Beim Zahlungsvorgang erhalten die Täter neue persönliche Daten. Außerdem ist nicht sicher, ob die Erpresser ihre Forderung im Nachhinein nicht erhöhen.
Schadsoftware lässt sich zwar teilweise von Antivirenprogramm entfernen, allerdings ist dazu ein sauberes Betriebssystem notwendig. IT-Sicherheitsexperten konnten teilweise Entschlüsselungssoftware entwickeln, die betroffene Daten wiederherstellt. Betroffene sollten auf jeden Fall einen Experten für Computersicherheit zurate ziehen. Das BSI rät, unbedingt Anzeige zu erstatten.
Schutzmaßnahmen gegen Ransomware-Angriffe
Sinnvoll sind regelmäßige Datensicherungen. Sie müssen allerdings auf einem externen Datenträger erfolgen, sonst sind sie wertlos. Der Datenträger darf nur während des Sicherungsvorgangs am System angeschlossen sein. Hängt er ständig am System, werden auch die Daten des Backups befallen. Nutzer sollten alle Updates für das Betriebssystem so schnell wie möglich installieren. E-Mails von unbekannten Absendern sind ein besonderes Risiko. Anhänge können Schadsoftware enthalten. Hier schützt sich ein Nutzer, indem er Anhänge unbekannter Absender nicht öffnet und die E-Mail löscht. Ein Virenschutz mit regelmäßigen Updates ist ebenso wichtig wie eine Firewall. Auch die Art des Dateisystems spielt bei der Abwehrkraft des Systems eine Rolle. Empfohlen werden versionierende Dateisysteme. Verwendung finden sie beispielsweise im Betriebssystem Linux. Besonders bei Firmennetzwerken ist es sinnvoll, IT-Sicherheitsexperten zurate zu ziehen.
