Ransomware als perfides Geschäftsmodell

Bedrohlicher Trend: Erpressungs-Trojaner auf dem Vormarsch

Raffinierte Ransomware

In perfektem Deutsch kommt die E-Mail eines ganz offenbar seriösen Absenders. In ihrem Anhang eine Rechnung im Word-Dokument. Kein Grund also für den Buchhalter einer Firma, die E-Mail samt Anhang nicht zu öffnen. Was er nicht weiß: Im Dokument befindet sich ein Makro, das durch die nicht scharf gestellte Virenerkennung der Firewall geschlüpft ist. Nach dem Öffnen ist das Dokument leer, enthält lediglich den Warnhinweis „Inhalte aktivieren – Makros wurden deaktiviert“. Wer nicht schon einmal in der Vergangenheit mit Makros Erfahrung machen musste, klickt – wie unser Buchhalter – also auf „Inhalte aktivieren“ im vermeintlich leeren Dokument.

Quelle: Bundesamt für Sicherheit in der Informationstechnik - Ransomware: Bedrohungslage, Prävention & Reaktion Das aktivierte Makro hat nun freie Bahn, lädt Malware aus dem Internet und startet sie. Der Trojaner verschlüsselt Dokumente, Mediendateien und Web-Dateien – nicht nur auf dem Rechner unseres Buchhalters, sondern auf allen Netzlaufwerken. Das gesamte Firmennetz wird lahmgelegt, kein Mitarbeiter kann noch auf irgendein Dokument zugreifen. Als einzig lesbare Datei erscheint auf dem Desktop eine Zahlungsaufforderung mit dem Hinweis, dass sämtliche verschlüsselte Daten erst wieder freigegeben werden, wenn dieser nachgekommen wird. Das Geld – 0,5 Bitcoins, rund 200 Euro – soll an eine Bitcoin-Wallet gezahlt werden. Wie das Bitcoin-System funktioniert, wird ganz genau erklärt.

Der Schutz vor Ransomware hat bei unserem Buchhalter nicht funktioniert. Und er ist kein Einzelfall. Trojaner wie Locky, TeslaCrypt und andere zu erkennen, ist nicht banal: Der Sicherheitsforscher Kevin Beaumont zählte alleine für Locky 5000 Neuinfektionen auf deutschen Rechnern pro Stunde! Der Verschlüsselungstrojaner kommt meist als Makro in Microsoft Office-Dokumenten, einige Locky-Varianten tarnen sich aber genauso gut als Bild im E-Mail-Anhang oder als Fax.

Krypto-Trojaner: Es geht Schlag auf Schlag

Ganz neu ist Erpresser-Software, die Dateien ihrer Opfer verschlüsselt und nur gegen Lösegeld wieder freigibt, allerdings nicht – bereits seit Jahren warnen Experten vor Ransomware. Seit September 2015 hat sich die Bedrohungslage jedoch dramatisch verschärft: Allein bis Februar 2016 hat weltweit die Zahl der Krypto-Trojaner um das sechsfache, in Deutschland sogar um das zehnfache, zugenommen. Immer neue Varianten an Ransomware halten Computernutzer seit Monaten in Atem: Nach CryptoWall und TeslaCrypt haben vor allem auch Locky und Petya unrühmliche Bekanntheit erlangt.

Hoch entwickelter Trojaner macht Online-Banking-Angriffe möglich Ganz aktuell treiben Jigsaw und Goznym ihr Unwesen: Die Ransomware Jigsaw verschlüsselt nicht nur Dateien unter Windows, sondern will nach und nach auch stündlich Dateien löschen, wenn Opfer das Lösegeld nicht zahlen. Goznym ist von anderem Kaliber: Cyberkriminelle haben den Code der beiden Malwarevarianten Nymaim, einer typischen Ransomware, und der Schadsoftware Gozi ISFB, die Anfang April insbesondere Schweizer Banken im Visier hatte, jetzt miteinander kombiniert. Entstanden ist ein gut getarnter Trojaner, der hochentwickelte Online-Banking-Angriffe ermöglicht. Binnen weniger Tage hat der neue hybride Banking-Trojaner bereits mehr als 24 amerikanische und kanadische Bankhäuser um Millionen Dollar erleichtert!

Denjenigen, die sich einen dieser Schädlinge einfangen haben und keine Sicherheitskopien der Dateien besitzen, rät die Bundespolizei, viele Experten und auch wir von GBS dringend von jeglichen Lösegeldzahlungen ab. Denn selbst danach ist nicht sichergestellt, dass die Daten wieder entschlüsselt werden – zumal mit jeder Lösegeldzahlung die Entwicklung und Verbreitung immer neuer Krypto-Trojaner unterstützt wird.

20 Jahre Wettrüsten: Ransomware ist qualitativ hochwertig

Quelle: Bundesamt für Sicherheit in der Informationstechnik - Ransomware: Bedrohungslage, Prävention & Reaktion Verschlüsselungstrojaner verbreiten sich trotz massiver Berichterstattung und Aufklärung in den Medien auch deshalb so rasend schnell, weil ihre Tarnung derart gut ist, dass selbst erfahrene Anwender nicht immer auf Anhieb erkennen können, ob es sich um einen Angriff handelt. Durch Vortäuschen eines vertrauenswürdigen Absenders oder legitimen Anliegens werden Mitarbeiter dazu verleitet, schadhafte Dateianhänge von E-Mails zu öffnen oder verseuchte Links anzuklicken, um so die Schadprogramme in die Netzwerke einzuschleusen.

Hinzu kommt: Ransomware ist qualitativ gut geworden. Für Jigsaw gib es glücklicherweise bereits ein kostenloses Entschlüsselungs-Tool, den JigsawDecryptor. Auch bei TeslaCrypt sah es zunächst gut aus: Die Ransomware wurde im Februar geknackt. Aufgrund eines Fauxpas der Gauner lies sich der Schlüssel mit dem kostenlosen Tool TeslaDecoder rekonstruieren. Aber: Die Erpresser haben schnell nachgerüstet und TeslaCrypt 3.0 bügelte diesen Fehler aus. Die Version tauchte im Januar 2016 erstmals auf und TeslaDecoder hilft schon nicht mehr weiter. Nach Informationen der IT-Seite und Informationsquelle für Ransomware-Opfer Bleepingcomputer.com, ist sogar eine weitere Variante – TeslaCrypt 4.0 – in Umlauf, die Dateien größer als vier GByte korrekt verschlüsseln kann. Heimdal Security zufolge soll TeslaCrypt 4.0 hauptsächlich via Drive-by-Downloads über das Angler Exploit Kit verteilt werden. Ein Entschlüsselungs-Tool ist noch nicht in Sicht.

Auch bei Locky, hat noch niemand eine Schwachstelle gefunden, die es erlauben würde, die verschlüsselten Daten ohne die Hilfe der Täter wieder zu entschlüsseln. Sicherheitsforscher Linus Neumann, einer der Sprecher des Chaos Computer Clubs, bringt es auf den Punkt: „Immerhin haben die Täter 20 Jahre Erfahrung aus dem Wettrüsten mit Antiviren-Firmen“. Infektionsroutine, die Kommunikation mit dem Command-and-Control-Server, über den die Täter mit ihrer Software kommunizieren, sowie andere Details seinen vorbildlich programmiert.

Effizienter Schutz vor Ransomware

Schützen Sie sich vor Krypto-Trojanern Angesichts oben geschilderter Attacken, reicht eine Sensibilisierung von Mitarbeitern längst nicht mehr aus. Vielmehr müssen Unternehmen verstärkt auch geeignete technische Sicherheitsmaßnahmen ergreifen, um Ransomware einen Riegel vorzuschieben. Ein wirkungsvoller Schutz vor Krypto-Trojanern beginnt beim Blockieren verdächtiger Dateitypen, geht über das Entfernen von potentiell verdächtigen E-Mail-Inhalten, wie Makros in Office-Anhängen, bis hin zum Umwandeln von E-Mails ins PDF-Format, wodurch ebenfalls verdächtige und verseuchte Inhalte entfernt werden. Grundsätzlich ist auch eine Mehrscanner-Strategie eine erste Hürde für Angreifer: Laut IT-Verband Bitkom werden rund 350.000 neue Schadprogramme Tag für Tag in Umlauf gebracht – das sind rund 243 Trojaner, Viren und Würmer pro Minute. Der parallele Einsatz mehrerer Anti-Virenscanner mit Cloud-Erkennungstechnologie kann unbekannte Schädlinge mit hoher Wahrscheinlichkeit zeitnah erkennen und unterbinden.

So schützen Sie sich vor Krypto-Trojanern

LesetippDem Thema „Trojaner“ widmet sich GBS auch in einem Ratgeber, der kostenlos zum Download bereit steht. Der Security Guide beleuchtet die aktuelle Bedrohungslage durch Krypto-Trojaner näher und erklärt die Funktionsweise sowie Angriffstechniken von Verschlüsselungs-Trojanern. Ein großer Abschnitt gibt Tipps, welche Schritte Betroffene nach einem Befall durch Krypto-Trojaner sofort einleiten sollten und erklärt, wie man sich mit Hilfe der iQ.Suite vor Verschlüsselungs-Trojanern schützen kann.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.