Hamburg, Wien, Amsterdam - 04. Dezember 2019 - Sebastian Evers
Inhaltsverzeichnis:
1. Was ist Ransomware?
1.1 Lösegeldzahlung zur Entschlüsselung
1.2 Anonyme Bezahlung
1.3 Ermittlungsbehörden und Experten raten von Bezahlung ab
1.4 Hohe Zahlungsbereitschaft bei Ransomware-Betroffenen
1.5 Wiederholt Opfer der gleichen Täter - trotz Bezahlung
2. Ransomware-Angriffe sind nicht neu
3. Ransomware-Trojaner der letzten Jahre
3.1 PGPCoder / GpCode Ransomware
3.2 CryptoLocker Ransomware
3.2.1 CryptoLocker ausgeschaltet
3.3. Petya Ransomware
3.4. WannaCry Ransomware
3.4.1 Kill-Switch-Domain stoppte Ransomware
4. Evolution des Ransomware Geschäftsmodells
4.1 Gezieltes Phishing per "Spear Phishing" E-Mail
4.2 Attingo Kunden erleben immer häufiger E-Mail Mimikry
4.3 Eindringen in Betriebsräume
4.4 Trojaner Emotet; semantisches Social Engineering
4.5 Trojaner TrickBot flutet Systeme mit weiterer Malware
4.6 Erpressersoftware Ryuk legt Systeme lahm
5. Ransomware befällt auch Backup & Datensicherung
5.1 Effektive Löschung von Datensicherungen
6. RaaS: Ransom-as-a-Service
6.1 Ransomware-to-go
6.2 Intuitive Benutzerführung bei Erpressersoftware
7. Wie schützt man sich vor Cyber-Angriffen und Ransomware?
7.1. Aktualisierte Software, Schutzprogramme und Datensicherung
7.2 Schutzprogramme sind fast immer Augenwischerei
7.3 Intensive Schulung von Mitarbeitern und Sicherheits-Zertifikate
8. Datenrettung bei Ransomware-Erpressung
9. Attingo entwickelt speziellen Ransomware-Schutz
Unter Ransomware versteht man eine spezielle Art der Malware, welche den Zugriff auf infizierte Systeme und IT-Infrastrukturen erheblich einschränkt oder gänzlich unterbinden kann. Oftmals kommen dabei, bei den sogenannten Krypo-Trojanern, Verschlüsselungsalgorithmen zum Einsatz. Dementsprechend unterscheidet man je nach Funktionsweise der Malware zwischen Ransomware-Trojanern und Ransomware-Krypto-Trojanern.
Die Krypto-Trojaner verschlüsseln in der Regel die Daten eines oder mehrerer Endgeräte. Da heutzutage allerdings fast alle Ransomware-Derivate auf Verschlüsselung setzen, beschränken wir uns nachfolgend auf den Begriff Ransomware. Der einzige Existenzgrund und Nutzen von Ransomware ist das Erpressen von Lösegeldern für die Wiederherstellung des Zugriffs auf die Daten.
Ransomware dient dazu Systeme zu verschlüsseln, um im Anschluss daran ein Lösegeld (engl.: „ransom“) zu verlangen. Dazu platzieren die Ransomware-Trojaner nach der Verschlüsselung der Daten eine Textdatei in allen Verzeichnissen, damit das Opfer auf diese aufmerksam wird. Alternativ erscheint eine Pop-Up-Meldung, die darüber informiert, dass man Opfer eines entsprechenden Cyber-Angriffs geworden ist. Sowohl im Pop-Up als auch in der Textdatei finden sich detaillierte Anweisungen zum weiteren Vorgehen; beispielsweise zur Kontaktaufnahme mit dem Täter, per E-Mail oder Chat.
Für die Lösegelder setzen die Täter bestmöglichst auf Verschleierung ihrer Identität. Deshalb kommen durchweg schwer, bis gar nicht rückverfolgbare Zahlungsmethoden zum Einsatz. Gern genutzt werden u. a. Guthabenkarten (z. B. paysafecard, Ukash), aber auch weltweiter Bargeldtransfer (z. B. Western Union). Weitaus beliebter und verbreiteter ist die Lösegeldzahlung in digitalen Währungen. Verlangt werden häufig Bitcoins. Allerdings sind diese durch den Hype, die Verbreitung und die daraus resultierte Überwachung von Transfers in reguläre Währungen mit gewissen Risiken verbunden, sodass viele Täter auf unbekanntere Digitalwährungen setzen.
Ermittlungsbehören und Sicherheitsforscher raten prinzipiell davon ab die Forderungen von Ransom-Erpressern zu erfüllen und Lösegelder zu bezahlen. Denn die Bezahlung der erpressten Beträge legitimiert einerseits das kriminelle Vorgehen der Täter, woraus weitere Cyber-Angriffe resultieren. Andererseits gibt es keine Gewissheit, ob die jeweiligen Erpresser nach der Bezahlung auch tatsächlich die Herausgabe eines Passworts zur Entschlüsselung bzw. Freigabe der Daten heraus geben werden. Denn es gibt immer wieder Fälle, in denen Daten trotz Bezahlung nicht entschlüsselt wurden. Wie Attingo selbst schon mitbekommen hat, ist eine Bezahlung auch kein Garant dafür, nicht erneut betroffen zu sein – von den identischen Tätern.
Quelle: statista, Ransomware - Das Millionengeschäft der Cybererpresser
Ein Großteil aller Betroffenen zahlt die verlangten Lösegeldsummen. Das hat verschiedenste Gründe. Viele der Ransomware-Erpresser haben in der Vergangenheit nachweislich schnell, nach Bezahlung, die Codes zur Entschlüsselung ausgehändigt. Dadurch existiert ein gewisses Grundvertrauen in die „Ganovenehre“ der Täter. Zudem wollen die Täter ihr Geschäftsmodell nicht dadurch gefährden, dass bekannt wird, dass sie trotz Zahlung nicht zu ihrer „Geschäftsvereinbarung“ stehen. Meist präsentieren sich die Täter als kühle, professionelle Geschäftsmänner und wollen auch so wahrgenommen werden. Eine rein geschäftliche Beziehung zum Opfer.
Auch sind die Betroffenen selbst getrieben durch den Datenverlust. Bei betroffenen Unternehmen bedeutet jede Minute Stillstand bares Geld; die finanziellen Schäden sind kaum absehbar. Diesen bereits bestehenden Druck machen sich die Täter zusätzlich zunutze, indem sich bei vielen Ransomware-Angriffen mit jedem Tag Verzögerung das Lösegeld erhöht, sodass eine sofortige Bezahlung der Lösegelder als verhältnismäßig günstig wahrgenommen wird. Sowohl in Relation zu den potenziellen finanziellen Schäden, die durch den Datenverlust an sich entstehen sowie die Erhöhung des Lösegelds.
Wie bereits erwähnt, kann man sich auf die „Ganovenehre“ der Täter trotzdem nur bedingt verlassen. Ganz gleich wie sehr sie sich als professionelle Geschäftsmänner inszenieren. Ein betroffener Kunde von Attingo Datenrettung hatte den Erpressern, in Ermangelung an aussichtsreichen Alternativen, die geforderte Geldsumme in digitaler Währung übermittelt und im Gegenzug die Codes zur Entschlüsselung erhalten. Danach wurden sämtliche Systeme bereinigt, neu aufgesetzt und installiert. Einige Wochen später war er erneut Opfer der gleichen Täter geworden und erneut wurde ein Lösegeld verlangt. Die Ransomware-Erpresser gehen dementsprechend sehr methodisch und mit entsprechendem Kalkül vor. Denn wer einmal zahlt, weil ihm die Daten so wichtig sind; der zahlt erneut – so die Konklusion der Täter.
Die Schadprogramme können sich mittlerweile sehr gut verstecken, duplizieren und schreiben sich u. a. in die Speicher von Druckern, Routern und oder WLAN Routern sowie in PCs und NAS-Geräte. Derartige Szenarien werden von den meisten Sicherheitsfirmen und IT Systemhäusern nur unzureichend bis gar nicht berücksichtigt, wie Attingo in den vergangenen Jahren mehrfach feststellen musste.
Es ist zudem nicht auszuschließen, dass im Rahmen des Angriffs auch im Netzwerk befindliche Geräte detailliert analysiert und etwaige Befallszenarien durchprobiert werden, um auch einer kompletten Systembereinigung trotzen zu können.
Wie Computer-Viren, Würmer und Trojaner ist Ransomware per se kein neues Phänomen. Der erste bekannte Fall ereignete sich bereits vor der Jahrtausendwende im Jahr 1989. Der Evolutionsbiologe Joseph L. Popp Jr. versendete 20.000 5,25“ Disketten im Namen des fiktiven Unternehmens „PC Cyborg Corp.“ an Forscher außerhalb der USA, die an der Erforschung der AIDS-Erkrankung arbeiteten. Auf den Datenträgern mit der Aufschrift „AIDS Information – Introductory Diskettes“ befand sich ein Trojaner. Den Disketten lag ein Schreiben bei, welches auf die Notwendigkeit einer Lizenz hinwies. Trotzdem erfolgte die Installation der enthaltenen Software auf etwa 1.000 Computern weltweit.
Der Trojaner blieb anfangs inaktiv, bis zum etwa neunzigsten Systemstart. Der Trojaner begann die Namen (nicht die Inhalte) der Daten symmetrisch zu verschlüsseln und versteckte die Verzeichnisbäume vor dem Anwender. Bei nächsten Systemstart erschien eine Meldung, dass die Lizenz erneut werden muss. Am betroffenen System angeschlossene Drucker druckten Unterlagen aus, die drauf verweisen dass für die Lizenzerneuerung der Versand eines Verrechnungsschecks über 189 US-Dollar an ein panamaisches Postfach erforderlich sei, um Anweisungen zur Datenwiederherstellung zu erhalten.
Dieser Trojaner war unter dem Namen „AIDS-Trojaner“ und „PC Cyborg Trojaner“ bekannt. Joseph L. Popp Jr. wurde verhaftet und verurteilt, musste seine Haftstrafe aufgrund psychischer Erkrankungen jedoch nicht antreten. Angeblich verlor eine italienische AIDS-Organisation durch diesen Angriff ca. 10 Jahre Forschungsergebnisse. Mit dem Programm "AIDSOUT", welches nach Entwickleraussage in etwa 90 Ländern angefragt wurde, ließen sich die verschlüsselten Daten wiederherstellen.
Der PGPCoder / Gpcode Ransomware-Trojaner zählt zu der Art Ransomware, die auf dem Computer befindliche Daten verschlüsselt und im Anschluss daran ein Lösegeld fordert. Einmal installiert erstellt der Krypto-Trojaner zwei Registry Einträge. Der erste Eintrag stellt sicher, dass der Trojaner mit jedem Systemstart wiederholt ausgeführt wird. Der zweite Eintrag überwacht den Fortschritt des Trojaners und dokumentiert, welche Dateien bereits vom schadhaften Code analysiert worden sind. Verschlüsselt werden alle im Trojaner hinterlegten Dateierweiterungen (u. a. doc, xls, html, jpg, zip und rar). Eine Textdatei innerhalb jedes Verzeichnisses macht das Opfer anschließend auf den erfolgreichen Cyber-Angriff aufmerksam.
Einige Varianten des Trojaners ließen sich anfangs noch überlisten. Kopierte dieser die verschlüsselten Daten an einen neuen Speicherplatz und löschte dann die unverschlüsselten Dateien, war es oftmals möglich, diese mit geeigneter Software wiederherzustellen. Existierten Datei-Paarungen dadurch unverschlüsselt und verschlüsselt, so konnte man mit genügend Informationen weitere Dateien entschlüsseln. Neuere Versionen des Ransomware-Trojaners überschreiben die gelöschten Daten entweder komplett oder setzen stärkere Verschlüsselungsalgorithmen (RSA-1024 / AES-256) ein, sodass ein Löschen nicht mehr erforderlich ist.
Die CryptoLocker Ransomware hatte ihre Hochzeit im Zeitraum September 2013 bis Mai 2015. Hauptziel des Trojaners waren Windows-Systeme. Auch hierbei werden systematisch Daten (u. a. Bilder, Videos und Dokumente) auf betroffenen Computern, mit einem komplexen Schlüssel (RSA-2048) verschlüsselt. Der Schlüssel wird auf den Servern der Täter gespeichert und ist für die Entschlüsselung der Daten obligatorisch. Gegen die Bezahlung eines Lösegelds (300 Euro / US-Dollar) wird die Entschlüsselung der Daten in Aussicht gestellt.
Ein Pop-Up informiert darüber, dass CryptoLocker den Computer befallen und sämtliche Daten sicher verschlüsselt hat. Zusätzlich wird eine Übersicht aller betroffenen Daten und Verzeichnisse zur Verfügung gestellt. Um zusätzlichen Druck zu erzeugen, zählt ein Countdown im Pop-Up runter. Läuft dieser aus, wird der Schlüssel auf den Servern gelöscht und eine Entschlüsselung ist nicht mehr möglich - drohen die Täter. Gleiches gilt beim Versuch das Schadprogramm zu beseitigen oder die Polizei einzuschalten. Laut verschiedener Betroffener führte eine Lösegeldzahlung nicht immer zur versprochenen Entschlüsselung.
Mai 2014 isolierte Operation Tovar - ein Konglomerat verschiedener Ermittlungsbehören und Sicherheitsfirmen – den Trojaner und das anhängige „Gameover Zeus“ BotNet. CryptoLocker wurde, wie andere Malware auch, über dieses BotNet flächendeckend verbreitet. Im Zuge der Operation wurden die Datenbankinhalte offen gelegt, welche die Schlüssel für von CryptoLocker befallene Systeme enthielten. Mit diesen Information wurde eine im August 2014 präsentierte Lösung entwickelt, mit welcher Betroffene verschlüsselte Daten retten konnten, ohne dass Lösegeld gezahlt werden musste. Man geht davon aus, dass mit CryptoLocker etwa 3 Millionen US-Dollar erpresst wurden.
Ransomware Petya trat erstmals im März 2016 in Erscheinung und ist auf Windows-Systeme ausgerichtet. Der Trojaner Petya existiert insgesamt in vier Versionen. Charakteristisch für alle Versionen ist der - an Edward Englands Jolly Roger erinnernde - aus ASCII Symbolen stilisierte Totenschädel der Lösegeldforderung. Die Infizierung mit Petya findet über den MBR (Master Boot Record) statt. Im Nachhinein wird der Bootloader überschrieben und ein Neustart initiiert. Beim Neustart erfolgt die Verschlüsselung der MFT (Master File Table) sowie die Verschlüsselung des ersten Kilobytes diverser Dateien – nicht alle Dateien sind betroffen. Ein Hochfahren des Systems erfolgt nicht, stattdessen wird die Lösegeldforderung von Petya angezeigt.
Bereits im April 2016 wurde die erste Petya Version von einem anonymen Computerspezialisten geknackt und auf Basis der gewonnene Erkenntnisse die Software „hack petya“ programmiert. Diese kann ein Passwort für die verschlüsselten Daten generieren. Die zweite Variante von Petya (grüner Totenschädel) wurde von der Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner entschlüsselt. Eine dritte Variante (ebenfalls grüner Totenschädel) und die vierte Variante „GoldenEye“ (gelber Totenschädel) verschlüsseln wie andere Ransomware-Derivate. Eine Entschlüsselung per Brute-Force ist nicht mehr möglich. Beide Versionen verschlüsseln erst sämtliche Dateien und im Anschluss die MFT.
Die dritte sowie die vierte und letzte Version von Petya lassen sich nicht mehr entschlüsseln. Aufgrund eines gravierenden Programmierfehlers in beiden Versionen, gilt dies paradoxerweise auch für die Erpresser selbst. Von einer Lösegeldzahlung ist demnach in jedem Fall abzusehen, da die ersten beiden Versionen geknackt wurden und die übrigen beiden nicht entschlüsselbar sind.
Die Ransomware WannaCry ist aufgrund ihrer Wurm-Architektur autark in ihrer Ausbreitung und nutzte dafür eine Windows-Sicherheitslücke. Die Windows-Systeme Vista oder jünger, sind mit einem seit März 2017 von Microsoft ausgegebenen Patch gegen WannaCry geschützt. Die Sicherheitslücke (EternalBlue) wurde über Jahre von der NSA genutzt, ohne Microsoft darüber zu informieren. Als das Wissen über den Exploit gestohlen wurde, informierte die NSA Microsoft über die Existenz der Sicherheitslücke.
Aufgrund der Wurm-Architektur benötigt WannaCry keine Dropper, um Systeme zu infizieren. Die Infektion erfolgt über bereits infizierte Systeme innerhalb eines Netzwerks. WannaCry sucht eigenständig nach ungeschützten Systemen und sendet zeitgleich unzählige IP-Anfragen ins Internet, um so weitere ungesicherte Systeme zu infizieren. Im Verlauf der Infektion verschafft sich WannaCry Administratorbefugnisse und verschlüsselt hunderte Dateitypen auf internen Laufwerken sowie Freigaben und Inhalte auf Netzlaufwerken (NAS und freigegebene Ordner auf Servern) mit einem 2048-Bit-Schlüssel.
Quelle: statista, WannaCry befällt hunderttausende Rechner
Am 12. Mai 2017 infizierte WannaCry über 230.000 Computersysteme in 150 Ländern. Wie andere Ransomware-Derivate verschlüsselt WannaCry ebenfalls Benutzerdaten und verlangt für die Freigabe die Zahlung eines Lösegelds in Bitcoin. Lösegeldforderungen in unterschiedlichen Höhen waren innerhalb einer festgelegten Frist zu zahlen; andernfalls würde der Schlüssel gelöscht werden.
Neben einer Vielzahl an privaten Anwendern wurden auch global agierende Konzerne und Regierungseinrichtungen von WannaCry getroffen. Unter anderem zählten FedEx, Renault, Nissan, Deutsche Bahn Tochter Schenker und das russische Innenministerium sowie das russische Katastrophenschutzministerium zu den größten Opfern des Cyber-Angriffs.
Die weitere Ausbreitung von WannaCry wurde durch die maßgebliche Entdeckung einer Kill-Switch-Domain, durch den britischen Sicherheitsforscher und Hacker Marcus Hutchins unterbunden. Dieser fand heraus, dass WannaCry mit einer nicht registrierten Domain kommunizierte. Nach Registrierung der Domain schaltete sich das BotNetz ab. Ironischerweise sieht sich Hutchins derzeit selbst dem Vorwurf ausgesetzt, dass er an der Entwicklung einer Banking-Maleware (Kronos) mitgewirkt und diese in Umlauf gebracht haben soll.
Heutzutage erfolgen Cyber-Angriffe nicht mehr rein nach dem Gießkannenprinzip. Die Angriffe finden immer wieder gezielt und koordiniert statt. Sie richten sich primär gegen große, teils globale Unternehmen mit meist über 500 Mitarbeitern. Lukrative Ziele, bedenkt man die finanziellen Schäden, die eine vollständig zum Erliegen kommende IT-Infrastruktur dieser Größenordnung mit sich bringen kann. Cyber-Angriffe mit Erpressungsabsicht sind ein boomendes Geschäftsmodell mit detailreicher Planung und akkurater Ausführung geworden. Kaum etwas wird noch dem Zufall überlassen.
Die gezielten Angriffe werden strategisch vorbereitet. An erster Stelle wird recherchiert, welche Unternehmen und Konzerne sich lohnen. Nach Auswahl der Opfer werden mögliche Einfallstore ermittelt, um Firmennetzwerke zu infiltrieren und Schadprogramme auf relevanten Systemen zu platzieren. Phishing-E-Mails sind nach wie vor eine verbreitete und beliebte Vorgehensweise bei Cyber-Angriffen und die Erfolgsquote bei solchen Angriffen ist leider bedenklich hoch. Das liegt unter anderem daran, dass entsprechende E-Mails spezifisch und individuell gestaltet werden und dadurch eine schwer durchschaubare Authentizität erreichen können.
Attingo kann mittlerweile auf eine Vielzahl an Fällen zurück blicken, bei denen die Ransomware per E-Mail ihren Weg auf Systeme fand. Wie Attingo dabei heraus finden konnte, handelt es sich oft um E-Mails, mit denen auf aktuelle Stellenausschreibungen reagiert wird. Oftmals waren dabei schadhafte Links, insbesondere DropBox Links oder andere Cloud-Dienste involviert, über die gezippte „Bewerbungsunterlagen“ herunter geladen wurden. Durch den zip-Container wurde verhindert, dass Schutzprogramme den Inhalt möglicherweise erkennen können. Zudem wird zwingend die lokale Ausführung vorausgesetzt. Ist die zip-Datei entpackt, dann ist es schon zu spät und der Schadcode wird im Hintergrund ausgführt.
In einem Fall erhielt eine Autohauskette ihre gewohnt regelmäßige Update E-Mail vom Hersteller. Allerdings enthielt der Anhang nicht das gewohnte Update für die übergreifend betrieblich eingesetzte Software. Denn schon kurz darauf waren mehrere Workstations sowie Server mit einschlägigen Lösegeldforderungen versehen und verschlüsselt sowie automatisierte Backups gelöscht. Wie Attingo feststellen musste, war die E-Mail vorhergehenden E-Mails des Softwareherstellers perfekt bis ins kleinste Detail nachempfunden. Niemand hätte in diesem Fall Verdacht geschöpft.
Ein schon etwas länger zurück liegender Fall aus den Attingo-Laboren zeigt, dass manche Täter auch vor physischer Infiltration nicht zurück schrecken. Die Erpresser besitzen genügend Selbstvertrauen, um Systeme auch persönlich vor Ort mit Schadcode zu manipulieren. Betroffen war hierbei eine große Warenhauskette. Die polizeiliche Auswertung der Überwachungsaufnahmen hatte ergeben, dass sich mehrere auffällige Personen, über längere Zeiträume hinweg, strategisch in verschiedenen Verkaufsräumen bewegt hatten, um z. B. tote Winkel der Kameras zu nutzen. Des Weiteren haben sie sich u. a. durch Kopfbedeckungen, Brillen und Perücken maskiert, um sich dreist Zugang zu unbeaufsichtigten Computern zu verschaffen und dort, vermutlich über einen USB-Stick, Schadsoftware mit Krypto-Funktionen eingespielt, damit diese sich darüber im Netzwerk ausbreiten kann.
Im Falle offener Stellenanzeigen konstruieren die Täter Scheinidentitäten oder nutzen anderweitig gestohlene Identitäten, um über Bewerbungen Schadsoftware unterzubringen.
Eine andere Methode ist der Einsatz sogenannter „Dropper“ wie Trojaner Emotet. Einmal platziert, analysiert die Malware E-Mailprogramme und wertet die darin enthaltenen Kontakte sowie deren semantische Beziehungen, aber auch E-Mailinhalte aus. Dadurch ist es Emotet möglich gefälschte, jedoch authentisch konzipierte E-Mails von aktuellen, bekannten Geschäftskontakten zu versenden. Dadurch, dass Absender, Betreffzeilen, Anrede, Signaturen und Inhalte stimmig erscheinen, entsteht ein trügerisches Sicherheitsgefühl. Anhand dieses Gefühls sind Misstrauen und Hemmschwelle oft so gering, sodass schadhafte Links oder Anhänge unkritisch geöffnet werden. In dem Moment ist der Infiltration durch weitere Schadprogramme Tür und Tor geöffnet.
In Kombination mit Emotet taucht meistens der Trojaner TrickBot auf. Auf dem Grundgedanken vom Trojaner Dyreza basierend, wurde TrickBot ursprünglich als Banking-Trojaner konzipiert und diente dazu Bankzugangsdaten zu entwenden. Mittlerweile ist der Trojaner soweit entwickelt, dass er durch seine modulare Struktur fähig ist, zusätzlich auch Passwörter, Cookies, Browser-Chroniken und AutoFill-Informationen abzugreifen und per Mimikatz Authentifizierungsdaten zu erhalten – oder Bitcoins aus Wallets zu stehlen. Einmal platziert, fungiert TrickBot auch selbst als „Dropper“ für weitere Schadprogramme – unter anderem eben für Ransomware – die er beliebig nachladen kann.
TrickBot findet seinen Weg ins System erfahrungsgemäß meist als E-Mail-Anhang; bevorzugt als Excel-Datei (xls, xlsx). Beim Öffnen des Anhangs erscheint die Fehlermeldung, dass die Datei mit der vorhandenen „veralteten“ Excel-Version nicht kompatibel sei. Für ein Öffnen seien bestimmte Berechtigungen erforderlich, die das arglose Opfer mit seiner Bestätigung legitimiert. Wird der Aufforderung stattgegeben, so installiert sich der Trojaner im Hintergrund ins System. Nach abgeschlossener Installation wird Schadcode nachgeladen. Durch die dauerhafte Verbindung zu den Servern der Angreifer kann der Trojaner stetig aktualisiert und modular angepasst werden, um betroffene Netzwerke effektiver infiltrieren zu können.
Seit Anfang 2019 treten Emotet und TrickBot vermehrt in Kombination mit der Ransomware Ryuk auf – benannt nach dem Shinigami (Todesgott) Ryuk, aus dem Manga Death Note. Hat Emotet TrickBot platziert, läd TrickBot Ryuk nach und das Unheil nimmt seinen Lauf. Wie andere Ransomware-Angriffe auch, zielt Ryuk darauf ab Systeme zu verschlüsseln und Sicherheitskopien zu löschen, damit die Hintermänner im Anschluss Lösegeld erpressen können. Ryuk tauchte erstmals im August 2018 auf, als die Ransomware über (bis dato) unbekannte Wege in Systeme eingedrungen war und u. a. über Remote-Desktop-Verbindungen Daten von Servern gestohlen und / oder verschlüsselt wurden. Ebenfalls sehr aktiv ist der GandCrap Nachfolger Sodinobiki (auch: REvil, Sodin) sowie der immer mehr Verbreitung findende Ransom-Trojaner Nemty.
Diese Vorgehensweise deckt sich mit anderen Szenarien, in denen hochentwickelte, spezifische und modifizierbare Schadprogramme zum Einsatz kommen, um effektiv ganze Firmennetzwerke lahm zu legen. Dabei bewegen sich die Täter selbst über lange Zeiträume hinweg, wahrscheinlich Monate lang, unbemerkt innerhalb der IT-Infrastruktur des Netzwerks und analysieren diese sowie die verwendete Hardware und eingesetzte Software bis ins allerkleinste Detail.
Den Tätern ist vollkommen bewusst, dass große Unternehmen und Konzerne auf umfassende Backup-Strategien und Disaster-Recovery-Pläne setzen, um Ausfallzeiten im Ernstfall zu minimieren. Dementsprechend werden bei der Infiltration nicht nur Live-Systeme transparent verschlüsselt, sondern Backup-Mechanismen überwacht und analysiert, sodass auch NAS-Datensicherungen, Generationen-Backups und sogar Offline-Sicherungen verschlüsselt oder gelöscht werden können.
Erst in dem Moment, wenn die Täter sich absolut sicher sind, dass jede existierende Sicherung unbrauchbar worden ist, wird die transparente temporäre Entschlüsselung der Daten durch die Schadprogramme abgeschaltet. In Folge dessen ist für die Betroffenen kein Zugriff mehr auf Daten, Funktionen und Systeme mehr möglich – alles steht still. Aufgrund der transparenten Verschlüsselung der Daten bleibt der Cyber-Angriff bis zu dem Augenblick vollkommen unbemerkt. Die umfassende Vorabrecherche, Vorausplanung und Überwachung zahlt sich aus. Denn ab diesem Zeitpunkt existiert keine andere Möglichkeit mehr, um noch an die Daten heran kommen zu können – außer die Forderungen der Täter zu erfüllen.
Besonders hochkapazitive Backups werden in den meisten Fällen nicht einmal verschlüsselt, da der zeitliche Aufwand dafür vermutlich zu hoch ist. Stattdessen präferieren die Täter eine gezielte Löschung der Daten. Eine Vernichtung der Daten lässt sich mit entsprechender Kenntnisse recht schnell und leicht herbei führen. Attingo hatte bereits zahlreiche Fälle, bei denen die Täter sehr systemspezifisch agiert haben und Daten professionell löschten bzw. vernichteten.
Vieles weist darauf hin, dass für diesen gesonderten Zweck Gerätehersteller und eingesetzte Software ermittelt werden. Anhand ausgewerteter Logs musste Attingo schon häufiger feststellen, dass nicht nur Daten gelöscht, sondern auch RAIDs neu aufgesetzt wurden.
Es ist also davon auszugehen, dass die Täter sich sehr gut auskennen und in ihrer geduldigen Analyse der Backups gegebenenfalls auch entsprechende Hard- und Software anschaffen und damit professionell experimentieren, um für sie optimale Verfahren zu entwickeln, um Datensicherungen effektiv zerstören zu können.
Nicht in jedem Fall funktioniert das so effektiv, wie von den Tätern erhofft oder sie sind schlecht vorbereitet oder nachlässig. Attingo hatte bereits viele Backup- und Datensicherungs-Systeme zur Datenrettung im Labor, bei denen noch Daten wiederhergestellt werden konnten, nachdem die Betroffenen Ransomware zum Opfer gefallen waren..
Ransomware-as-a-service (kurz: RaaS) ist ein denkbar einfaches Prinzip: Es ähnelt dem Dienstleistungskonzept im legalen Wirtschaftsbereich, bei dem die Dienstleistung auf die persönlichen Bedürfnisse und Anforderungen des jeweiligen Kunden zugeschnitten wird. Dieser Wandel unterstreicht zusätzlich die immer größer werdende Professionalisierung und Etablierung der Ransomware-Verbreitung als funktionierendes Geschäftsmodell.
Mittlerweile sind die Entwickler von Ransomware also nicht mehr unbedingt selbst diejenigen, die die Schadprogramme unter das Volk bringen und Lösegelder fordern. Wer die entsprechende kriminelle Energie besitzt, aber weder das Know-How noch die Programmierfähigkeiten aufweist, dem bieten Ransomware-Entwickler ihre Software zu freien Nutzung – meist in Form benutzerfreundlicher Bausätze - an. Bekannte Vertreter diese RaaS-Schadprogramme sind z. B. Philadelphia, Stampado, Satan, Frozr Locker, RaasBerry sowie GandCrap, Sodinobiki und auch Nemty.
Seit 2015, bis 2016, innerhalb eines knappen Jahres, sind Angriffe mit Ransomware von ca. 4 Millionen Angriffen auf 640 Millionen Angriffe gestiegen – das ist ein Anstieg von etwa 16.000 Prozent. 2016 wurden etwa 1 Milliarde US-Dollar mit den gut 250.000 neu programmierten Ransomware-Derivaten erpresst. Die Höhe der Lösegeldforderungen hat sich in diesem Zeitraum durchschnittlich verdreifacht. Die hohen illegalen Gewinnaussichten wecken Begehrlichkeiten.
Der Einstieg in die Ransomware-Erpressung ist einfach und das Angebot an RaaS-Angeboten nimmt stetig zu, glänzt durch Benutzerfreundlichkeit, intuitive Bedienoberflächen und ansprechende Designs, wie man es sonst nur von seriöser Software gewohnt ist. Auf YouTube existieren detaillierte Anleitungsvideos und Tutorials, welche die Funktionsweise und den Umfang der Software erläutern. Einst nur im DarkNet auffindbar, bieten die Entwickler ihre Programme derzeit ganz offen im ClearWeb bzw. SurfaceWeb feil. Jeder könnte nun mit geringstem Aufwand zum Täter werden.
Die Betreiber verfügen, zusätzlich zur intuitiven Anwendbarkeit, zumeist über einen hoch professionellen Support. In vielen Belangen sogar weitaus professioneller, kompetenter und kundenfreundlicher als es bei den großen Soft- und Hardwareherstellern meistens der Fall ist. Wie bei einem Wartungsvertrag erreicht man rund um die Uhr, auf den vorhanden Kommunikationswegen sehr professionelle und freundliche Ansprechpartner, die einen z. B. per Chat oder E-Mail kompetent und hilfreich unterstützen.
Die Nutzung der modular anpassbaren Schadprogramme ist als Anreiz fast immer kostenlos verfüg- und nutzbar. Zudem bieten sie eine üppige Palette an frei wählbaren Einstellungen, wie u. a. die Höhe des Lösegelds, Multiplikatoren oder Fristen und Countdowns dafür, wann der jeweilige Multiplikator greift und die bisherige Lösegeldsumme steigern soll.
Für die Verbreitung ist der Nutzer selbst verantwortlich oder er nutzt einen erschwinglichen BotNet-Service, um Unmengen an Spam- und Phishing-Mails mit Anhang oder Link ins Internet zu streuen. Ist die Infektion erfolgreich und bezahlt das Opfer die vom Erpresser geforderte Lösegeldsumme, dann gehen im Schnitt etwa 20 bis 40 Prozent des illegalen Gewinns an die Entwickler der Ransomware. Bei Bezahlung transferiert die Software den jeweiligen Anteil direkt an die Entwickler, sodass die Beteiligung durchweg gewährleistet ist.
Einen 100 %igen Schutz dagegen, Opfer einer Ransomware-Attacke oder eines anders gearteten Cyber-Angriffs zu werden, gibt es nicht. Insbesondere bei gezielten Angriffen konzentrieren die Täter all ihre Anstrengungen darauf, dass das Netzwerk und sämtliche Systeme mit Schadensoftware infiziert werden. Investitionen in Sicherheit und den Schutz der IT-Systeme können Bedrohungen durch Cyber-Angriffen vorbeugen, aber sie nicht verhindern.
Für eine gewisse Wappnung gegenüber Cyber-Angriffen sind schon einfachste Dinge elementar. Betriebssysteme, Programme und Anwendungen sollten stets mit den neusten Updates aktuell gehalten werden, damit eventuelle Sicherheitslücken geschlossen sind. Allerdings ist das weit verbreitetste Betriebssystem Windows ein Hort an Zero Day Lücken und wie am Beispiel von EternalBlue zu sehen, insbesondere wegen solcher Sicherheitslücken ein beliebtes Angriffsziel. Dementsprechend sollte aus Sicherheitsgründen ein Umstieg auf Linux-Betriebsysteme in Betracht gezogen werden. Das Sicherheitskonzept der Zugriffsrechte ist seit Tag eins eines der Kernelemente des Betriebssystems. Im Gegensatz zu Windows ist es beispielsweise überhaupt nicht möglich, dass ein einfacher Nutzer sich Administrationsrechte geben kann.
Firewall-Software, Anti-Viren-Programme oder Antispyware sind maximal in der Theorie hilfreich. Aber wie aus eigener Erfahrung und Medienberichten immer wieder hervor geht, sind derartige Softwarelösungen oftmals selbst die Einfallstore für Schadprogramme. Ein bekannter Blogger sagt diesbezüglich „Auch KI-basiertes Schlangenöl bleibt Schlangenöl“. Marketingberichte entsprechender Unternehmen erwecken meist den Eindruck, als wolle ein Vertreter Ihnen eine umfassende Alarmanlage für ein Haus ohne Türen im Rahmen andrehen.
Zur Abwehr und Prävention sollten eingehende E-Mail Dateianhänge stets gescannt werden, bevor sie geöffnet werden. Eine regelmäßige Überprüfung der Speichermeiden auf eventuelle Schadprogramme trägt ebenfalls zum Schutz bei. Fremd-Speichermedien von außerhalb sollten an autarken, vom Netzwerk getrennten Workstations auf Schadprogramm-Befall hin untersucht werden, bevor im Netzwerk befindliche Systeme damit in Kontakt kommen. Eine umfassende Backup-Strategie ist per se immer sinnvoll und sollte ungeachtet der Bedrohung durch Cyber-Angriffe immer vorhanden sein, um Datenverluste kompensieren zu können. Des Weiteren können Verschlüsselungen, Zugangsbeschränkungen zu kritischen Systemen sowie Passwörter und Kopierschutz ebenfalls erheblich zur Sicherheit beitragen.
Zusätzlich haben sich klar definierte Regelungen, wer Zugriff auf welche Daten und wer Zutritt zu bestimmten Unternehmensbereichen bzw. der IT hat, als besonders sinnvoll erwiesen. Mitarbeiter sollten außerdem im richtigen Umgang mit ihren persönlichen Zugangsdaten, zum Umgang mit Datenträgern sowie Verhalten hinsichtlich ihrer Geräte und Speichermeiden auf Geschäftsreisen entsprechend sensibilisiert werden - auch im Bezug auf E-Mailanhänge. Attingo rät zu andauernder, laufender und extremer Sensibilisierung von Mitarbeitern. Mit dem einmaligen Hinweis darauf, dass verdächtige Anhänge nicht geöffnet werden sollten, ist es nicht getan.
Ein ungewöhnliches Verhalten von täglich genutzten Geräten (Computer, Smartphone etc.) kann bereits ein Hinweis auf eine Maleware-Infektion sein. Lassen sich Dateien nicht mehr öffnen, sind normale Systemvorgänge langsam oder verzögert und startet das Betriebssystem nur sehr langsam, könnten das deutliche Warnsignale für ein solches Problem sein. Auch ein übermäßiger Datentransfer über die Internetleitung oder innerhalb des Netzwerks kann verdächtig sein, sodass eine Überwachung gesendeter und empfangener Pakete sinnvoll sein kann.
Der zeitliche Druck, den die Täter auf ihre Opfer ausüben, ist immens und stellt auch Datenrettungsunternehmen vor ein großes Problem. Mit jedem Tag, mit dem sich die Bezahlung des geforderten Lösegelds verzögert, greift ein Multiplikator und erhöht die geforderte Summe jedes Mal. Auch wenn die Wahrscheinlichkeit Daten zu retten oftmals sehr hoch ist, können Datenretter zu keinem Zeitpunkt eine Lösung versprechen. Aufgrund des zeitlichen Drucks und der zeitintensiven Analyse in den Laboren eines Datenretters befürchten viele Betroffene, dass die sofortige Bezahlung die kostengünstigste Lösung sei. Denn die Analyse beim Datenretter ist ebenfalls mit Kosten verbunden und während dieser, steigt das Lösegeld an. Kann der Datenretter keine Lösung anbieten, so steht der Betroffene vor den Kosten der Analyse für den Versuch des Datenrettung sowie einem wesentlich höheren Lösegeld.
Eine von Attingo Datenrettung entwickelte spezielle Datensicherungslösung ist bislang vor Ransom-Angriffen sicher. Diese Lösung wird seit geraumer Zeit sehr erfolgreich bei Kunden eingesetzt. Für nähere Informationen können Sie uns gerne kontaktieren (Ansprechpartner: Dipl.-Ing. Nicolas Ehrschwendner, Tel.: +49 40 54 88 75 60, E-Mail: ne@attingo.com).