Was ist Ransomware?

07.12.2018

Ransomware ist eine Art von Malware (bösartige Software), die sich verschiedenartig präsentiert und sowohl einzelne Systeme als auch Netzwerke von Unternehmen, Krankenhäusern, Flughäfen und Regierungsbehörden befällt.

Ransomware wird ständig weiterentwickelt und wird seit dem ersten registrierten Auftreten im Jahr 1989 immer ausgefeilter. Während einfache Formate normalerweise nicht verschlüsselt sind, nutzen moderne Formate kryptographische Methoden, um Dateien zu verschlüsseln und damit unzugänglich zu machen. Verschlüsselungs-Ransomware kann auch auf Festplatten verwendet werden, um ein Computer-Betriebssystem vollständig zu sperren und das Opfer am Zugriff zu hindern. Das Ziel ist es die Opfer davon zu überzeugen Lösegeld für die Entschlüsselung zu bezahlen - was normalerweise in digitalen Währungen erfolgt, da sie schwer zu verfolgen sind (z.B. Bitcoin oder andere Kryptowährungen). Es gibt jedoch keine Garantie dafür, dass die Zahlungen von den Angreifern honoriert werden. 

Die Popularität von Ransomware als finanziell motivierter Cyberangriff ist in den letzten zehn Jahren (insbesondere 2017) deutlich gestiegen und  ist, nach Berichten der Europol (IOCTA 2018), derzeit die weltweit prominenteste Malware-Bedrohung. 


Wie werden Opfer gemacht?

  • Phishing: eine wiederkehrende Form des Social Engineering. Im Zusammenhang mit Ransomware sind Phishing E-Mails eine der häufigsten Formen der Verbreitung von Malware. Die Opfer werden in der Regel durch kompromittierte E-Mail Anhänge oder Links befallen, die als legitim getarnt sind. Innerhalb eines Netzwerks von Computern kann ein einziges Opfer ausreichen, um eine ganze Organisation zu gefährden.

  • Exploit Kits: ein Paket aus verschiedenen bösartigen Tools und vorgefertigtem Exploit-Code. Diese Kits wurden entwickelt, um Probleme und Schwachstellen in Softwareanwendungen und Betriebssystemen auszunutzen und Malware zu verbreiten (unsichere Systeme mit veralteter Software sind die häufigsten Angriffsziele).

  • Malvertising: Angreifer nutzen Werbenetzwerke, um die Ransomware zu verbreiten.


Wie kannst du dich vor Ransomware-Angriffen schützen?

  • Verwende externe Quellen, um deine Dateien regelmäßig zu sichern, damit du sie wiederherstellen kannst, nachdem eine mögliche Infizierung entfernt wurde;

  • SeI vorsichtig mit E-Mail Anhängen und Links. Vermeide es auf Anzeigen und Websites unbekannter Herkunft zu klicken;

  • Installiere ein vertrauenswürdiges Antivirus Programm und halte deine Softwareanwendungen und dein Betriebssystem auf dem neuesten Stand;

  • Aktiviere in den Windows-Einstellungen die Option "Dateierweiterungen anzeigen", damit du die Erweiterungen deiner Dateien leicht überprüfen kannst. Vermeide Dateierweiterungen wie .exe. vbs und .scr;

  • Vermeide den Besuch von Websites, die nicht durch das HTTPS-Protokoll gesichert sind (d.h. URLs, die mit "https://" beginnen). Beachte jedoch, dass viele bösartige Websites das HTTPS-Protokoll implementieren, um die Opfer zu verwirren, und dass das Protokoll allein nicht garantiert, dass die Website legitim oder sicher ist.

  • Besuche NoMoreRansom.org, eine Website, die von Strafverfolgungs- und IT-Sicherheitsfirmen erstellt wurde, die sich für die Beeinträchtigung von Ransomware einsetzen. Die Website bietet kostenlose Entschlüsselungstools für infizierte Benutzer sowie Hinweise zur Prävention.


Ransomware Beispiele

GrandCrab (2018)

Zuerst im Januar 2018 aufgetaucht, erforderte die Ransomware in weniger als einem Monat über 50.000 Opfer, bevor sie schließlich durch die Arbeit der rumänischen Behörden sowie von Bitdefender und Europol (ein kostenloses Datenrettungskit ist verfügbar) gestört wurde. GrandCrab wurde durch Malvertising und Phishing-E-Mails verbreitet und war die erste bekannte Ransomware, die eine Lösegeldzahlung in der Kryptowährung DASH forderte. Das anfängliche Lösegeld schwankte zwischen 300 und 1500 US-Dollar.


WannaCry (2017)

Ein weltweiter Cyberangriff, der in 4 Tagen über 300.000 Computer infizierte. WannaCry verbreitete sich über einen Exploit namens EternalBlue und zielte auf Microsoft Windows-Betriebssysteme ab (die meisten betroffenen Computer waren mit Windows 7 ausgestattet). Der Angriff wurde durch Notfall-Patches, die von Microsoft veröffentlicht wurden, gestoppt. US-Sicherheitsexperten behaupteten, dass Nordkorea für den Angriff verantwortlich sei, obwohl keine Beweise vorgelegt wurden.


Bad Rabbit (2017)

Eine Ransomware, die als gefälschtes Adobe Flash-Update verbreitet und von kompromittierten Websites heruntergeladen wurde. Die meisten infizierten Computer befanden sich in Russland und der Befall war abhängig von der manuellen Installation einer .exe-Datei. Der Preis für die Entschlüsselung betrug damals rund 280 US-Dollar (0,05 BTC).


Locky (2016)

Wird in der Regel per E-Mail in der Form einer Rechnung verteilt, die zu einer Zahlung auffordert und infizierten Anhängen enthält. Im Jahr 2016 wurde das Hollywood Presbyterian Medical Center von Locky infiziert und zahlte 40 BTC-Lösegeld (damals 17.000 US-Dollar), um wieder Zugang zu den Computersystemen des Krankenhauses zu erhalten.

Loading