Wissen kompakt: Ransomware ist eine Schadsoftware, die Computer bzw. Computerdateien verschlüsselt und ein Lösegeld für die Entschlüsselung und Wiederherstellung des Zugriffs verlangt.

Ransomware – wenn Dateien als Geiseln gehalten werden

Der Begriff „ransom“ stammt aus dem Englischen und bedeutet „Lösegeld“. Genau darum geht es bei Ransomware. Um Lösegeld.

Ransomware ist eine Schadsoftware, die den Zugriff auf Netzwerke, Computer oder Computerdateien mithilfe von Screenlockern oder File-Encryptern verschlüsselt. Opfer der Straftat können – zumindest in der Theorie – die Verschlüsselung durch die Bezahlung von Lösegeld aufheben. Einfach ausgedrückt kidnappt Ransomware Computer oder Computerdateien und verlangt für die Freigabe, also die Möglichkeit, die Daten wieder nutzen zu können, eine Gegenleistung in Form von Lösegeld.

Alternative Begriffe für Ransomware sind Erpressersoftware, Datenkidnapper, Verschlüsselungstrojaner oder Krytotrojaner.

Ransomware - das Erpressen von Lösegeld durch Kidnapping von Computer oder Daten

Social Engineering: Wie gelangt Ransomware auf Computer?

Die Antwort auf diese Frage lautet fast immer: Social Engineering.

In jedem Unternehmen besteht ein schwer kontrollierbarer Risikofaktor, selbst mit den besten technischen Sicherheitsvorkehrungen: der Mensch.

Beim Social Engineering geht es darum, Menschen zu beeinflussen. Der Social Engineer aka der Täter versucht persönlich, telefonisch, postalisch oder digital z. B. über E-Mail, Messenger oder Chat das Vertrauen des Opfers zu gewinnen, um vertrauliche Informationen zu erhalten bzw. Schadsoftware zu installieren.

Für Social Engineering – auch als soziale Manipulation bezeichnet – sind keine besonderen Programmierkenntnisse erforderlich. Durch den Einsatz psychologischer Tricks werden technische Barrieren überwunden. Folgende Methoden sind relativ üblich:

Phishing ist eine gängige Methode, bei der E-Mails an eine große Anzahl von Empfängern gesendet werden, um sie zu einer bestimmten Aktion zu bewegen. Diese Aktionen können das Anklicken eines Links, das Ausfüllen eines Formulars oder die Bestätigung der eigenen Identität beinhalten. Phishing-Methoden sind vielfältig und reichen von automatisierten Massenmails bis hin zu gezielten Angriffen. Trotzdem ist die Erfolgsquote vergleichsweise niedrig, da die E-Mails oft als Betrug erkannt oder direkt in den Spam-Ordner verschoben werden. Dies liegt daran, dass sie nicht individuell auf den Empfänger zugeschnitten sind.

Beim Spear-Phishing handelt es sich um eine Methode des gezielten Social Engineerings, die deutlich mehr Ressourcen erfordert als der herkömmliche Massenbetrug. Hierbei werden gezielt bestimmte Gruppen von Angestellten in einer spezifischen Branche ins Visier genommen. Anders als beim herkömmlichen Phishing, bei dem ein breites Netz ausgeworfen wird, wählen die Täter ihre Opfer gezielt aus.

Professionelle Social Engineers gehen sogar noch einen Schritt weiter und nehmen das Risiko auf sich, nur wenige ausgewählte Mitarbeiter oder sogar einzelne Personen in einem Unternehmen ins Visier zu nehmen. Sie erschleichen sich über einen längeren Zeitraum hinweg das Vertrauen ihrer Betrugsopfer, indem sie eine Beziehung aufbauen und deren Verhalten studieren. Zudem fälschen sie komplexe Referenzen, um ihre Glaubwürdigkeit zu untermauern.

Die Vorbereitungen für solche ausgefeilten Betrugspläne können Wochen oder sogar Monate in Anspruch nehmen. Der hohe Aufwand lohnt sich jedoch, da die Erfolgsquote bei diesen raffinierten Angriffen sehr hoch ist. Andernfalls würde der intensive Einsatz von Ressourcen nicht gerechtfertigt sein.

Beim Vishing – der Begriff setzt sich aus den Wörtern „Voice“ und „Phishing“ zusammen – ist eine Betrugsmethode, bei der Betrüger telefonisch versuchen, persönliche Informationen von ihren Opfern zu erhalten. Oft nutzen die Täter Techniken wie Anrufer-ID-Spoofing, bei denen sie die Anrufnummer manipulieren, um sie wie eine legitime Nummer aussehen zu lassen. Alternativ geben sie sich als Vertreter bekannter Institutionen wie Banken, Regierungsbehörden oder Technologieunternehmen aus. Sie nutzen den Anruf entweder, um sensible Informationen direkt von den Opfern zu erhalten oder um sie dazu zu bringen, auf betrügerische Websites oder Links zuzugreifen, wo sie dann ihre Daten preisgeben sollen.

Beim Baiting werden Opfer wird mit einem Köder (USB-Stick, CD, SD-Karte einer scheinbar vertrauenswürdiger Quelle oder Werbegeschenk) dazu gebracht, Datenträger zu verwenden, der Schadsoftware enthält.

Pharming ist eine Art von Cyberangriff, bei dem die DNS-Server (Domain Name System) eines Opfers manipuliert werden, um sie auf gefälschte Websites umzuleiten. Der Begriff „Pharming“ setzt sich aus den Wörtern „Phishing“ und „Farm“ zusammen. Die Angreifer manipulieren entweder direkt die DNS-Einträge des Opfers oder infizieren dessen Computer mit Schadsoftware, die die DNS-Einstellungen ändert. Dadurch werden die Opfer unbemerkt auf gefälschte Websites umgeleitet, wenn sie legitime URLs eingeben.

Scareware zielt darauf ab, Benutzer mit alarmierenden Meldungen zu verängstigen und sie dazu zu bringen, Malware herunterzuladen. Die Angreifer verwenden oft täuschend echte und legitime Aufforderungen, die den Benutzer zum schnellen Handeln drängen, ohne viel Zeit zum Nachdenken oder Analysieren zu lassen. Diese Aufforderungen können in Form von Popup-Fenstern, bedrohlichen Nachrichten oder falschen Schaltflächen auftreten und alarmierende Meldungen anzeigen, wie zum Beispiel: „Ihr PC ist sehr langsam. Beschleunigen Sie ihn jetzt“ oder „Schützen Sie jetzt Ihre IP von Angreifern!“ Benutzer, die auf diese Tricks hereinfallen, ermöglichen es der Ransomware, in ihre Systeme einzudringen und sie zu sperren oder ihre Daten zu verschlüsseln.

Kurzum: Social Engineering kann viele Formen annehmen. Oft kombinieren Social Engineers verschiedene Methoden miteinander, was es für Menschen in Organisationen auch schwer macht, entsprechende Maschen rechtzeitig zu erkennen.

Welche Arten von Ransomware gibt es?

Ransomware lässt sich in zwei Arten kategorisieren: 

1. Screenlocker bzw. Locker-Ransomware

Diese Art von Ransomware sperrt die Benutzer von ihren Systemen aus. In der Regel sehen die Benutzer nur einen Sperrbildschirm oder einen Bildschirm mit einer Lösegeldforderung. Die Maus und die Tastatur sind teilweise aktiviert, um die Zahlung an den Angreifer zu ermöglichen. Lockers zerstören normalerweise keine Daten, sondern verhindern lediglich den Zugriff der Benutzer darauf. Oft wird ein Timer mit einer Frist angezeigt, um das Opfer zur Zahlung zu drängen.

2. File-Encrypter bzw. Crypto-Ransomware

Dies ist die häufigste Art von Ransomware. Sie verschlüsselt die Daten, Informationen oder Dateien auf dem Gerät des Opfers. Das Opfer kann in der Regel die Daten sehen und das System sogar nutzen, kann jedoch aufgrund der Verschlüsselung nicht auf die Daten zugreifen. Die Crypto-Ransomware fordert die Opfer ebenfalls zur Zahlung auf. Wenn der Nutzer die Frist verpasst, werden alle verschlüsselten Daten endgültig gelöscht.

In der Literatur finden sich weitere (Sub-)Varianten:

Leakware-Angriffe – auch als Doxware oder Doxing bezeichnet – drohen Unternehmen, Behörden und auch Privatpersonen damit, vertrauliche Daten in öffentlichen Domains zu veröffentlichen.

RAAS, kurz für „Ransomware as a Service“ (Ransomware als Dienstleistung), ist ein Geschäftsmodell, bei dem Cyberkriminelle Ransomware an andere potenzielle Angreifer verkaufen oder vermieten. Ähnlich wie bei anderen Software-as-a-Service (SaaS)-Modellen können Kunden gegen Bezahlung Zugang zu Ransomware erhalten, ohne über umfangreiche technische Kenntnisse zu verfügen.

RAAS-Anbieter stellen oft eine benutzerfreundliche Oberfläche oder ein Dashboard bereit, über das Kunden die Ransomware personalisieren und anpassen können. Sie können beispielsweise festlegen, welche Dateitypen verschlüsselt werden sollen, das Lösegeld bestimmen und sogar Support erhalten. Einige RAAS-Angebote beinhalten auch Affiliate-Programme, bei denen Kunden einen Anteil der gezahlten Lösegelder erhalten, die durch ihre Verwendung der Ransomware erzielt werden.

RAAS hat die Verbreitung von Ransomware in den letzten Jahren erheblich erleichtert, da es potenziellen Angreifern ermöglicht, Ransomware-Attacken ohne großen Aufwand durchzuführen. Es hat auch dazu geführt, dass eine größere Vielfalt von Akteuren an solchen Angriffen beteiligt ist, da technisch weniger versierte Personen oder Gruppen einfach Zugang zu Ransomware erhalten können.

Tipps und Vorsichtsmaßnahmen gegen Ransomware

Es gibt eine Reihe von Tipps und Vorsichtsmaßnahmen, um sich als Organisation bzw. User vor der Bedrohung durch Ransomware zu schützen. Einerseits geht es darum, die Angriffsfläche zu minimieren, und andererseits um die Optimierung des persönlichen Handelns.

  • Schulen Sie Mitarbeiter und weisen Sie auf die extremen Gefahren hin. Cyber-Kriminelle nutzen psychologische Hilfsmittel, um Menschen zu Handlungen zu motivieren. Schnell klickt der Mitarbeiter auf den Link in der Mail der Chefin, ohne sich vorher bspw. die Absenderinformation der Mail genau anzuschauen. Stammt die Mail nur scheinbar von der Chefin, kann jeder Linkklick in der Mail weitreichende Folgen haben. Natürlich sollten Mitarbeiter niemals auf Links oder Anhänge in E-Mails von unbekannten Absendern stammen.
  • Aktualisieren Sie Betriebssysteme und Software mit den neuesten Patches, allerdings nur aus Ihnen bekannten und vertrauenswürdigen Quellen. Veraltete Anwendungen und Betriebssysteme sind das Ziel der meisten Angriffe.
  • 123456 ist vieles, aber kein sicheres Passwort. Nutzen Sie sichere Passwörter und auch Multifaktor-Authentifizierungen.
  • Sichern Sie regelmäßig Ihre Daten. Manche Quellen empfehlen 3 Kopien zu erstellen, für diese 2 verschiedene Arten von Speicher zu verwenden und 1 Kopie offline zu lagern. Idealerweise sichern Sie dabei auch System-Images, Anwendungssoftware und Konfigurationen. Auch die Verwendung von unveränderlichen Backups, die sich nicht mehr manipulieren oder löschen lassen, ist sinnvoll. Und testen Sie auch den Recovery-Prozess in Bezug auf Geschwindigkeit, Vollständigkeit und Kosten.
  • Beschränken Sie die Berechtigungen für die Installation und Ausführung von Softwareanwendungen auf Ihrem Computer.
  • Richten Sie für Administratoren nicht privilegierte Mail-Konten für alltägliche Zwecke ein, die zwar das Lesen von E-Mails, das Surfen im Internet etc. ermöglichen, gleichzeitig aber die Auswirkungen bei einem Klick auf eine Phising-E-Mail beschränken.
  • Nutzen Sie Whitelists bzw. Positivlisten mit Anwendungen, die im Netzwerk ausgeführt werden können.
  • Verwenden Sie Spamfilter, denn so verhindern Sie idealerweise, dass Phishing-E-Mails Endbenutzer erreichen. Authentifizieren Sie eingehende E-Mails, um E-Mail-Spoofing zu verhindern.
  • Konfigurieren Sie Firewalls, um den Zugriff auf bekannte bösartige IP-Adressen zu blockieren. Und segmentieren Sie Ihr Netzwerk, sodass sich Viren im schlimmsten Fall nur in einem Segment verbreiten können.
  • Monitoren Sie das System und überwachen Sie die Protokolle. Lassen Sie sich informieren, wenn ein neues Administratorkonto erstellt wird.

Grundsätzlich geht man davon aus, dass ca. 75 % aller Malware-Angriffe über Phishing erfolgt. Es ist daher besonders wichtig, Mitarbeiter mittels Schulungen auf die Gefahren hinzuweisen und richtige Vorgehensweisen zu trainieren.

Pro & Kontra: Lösegeld zahlen bei Ransomware

Und was sollten Sie tun, wenn Sie Opfer einer Ransomware wurden? Die Zahlung von Lösegeld bei Ransomware wird oft kontrovers diskutiert. Einige Befürworter argumentieren, dass die Zahlung von Lösegeld der schnellste und einfachste Weg ist, um den Zugriff auf verschlüsselte Daten wiederherzustellen und den Geschäftsbetrieb so schnell wie möglich wieder aufzunehmen. Es gibt jedoch auch zahlreiche Risiken und ethische Bedenken im Zusammenhang mit dieser Praxis.

Hier finden Sie einige Argumente für Pro Lösegeld:

  • Ein Hauptargument für die Zahlung eines Lösegelds ist, die gesperrten Dateien wieder nutzen zu können. Insbesondere wenn die Daten und Dateien einen hohen Wert für den Geschäftsbetrieb haben, gibt es praktisch keine Alternative zur Zahlung.
  • Für die Zahlung eines Lösegelds spricht, dass es Unternehmen ermöglicht, den Betrieb schnell wieder aufzunehmen, ohne lange Zeiträume ohne Zugriff auf die Daten zu haben. Vornehmlich für Unternehmen, deren Geschäftstätigkeit stark von der Verfügbarkeit ihrer Daten abhängt, kann die Zahlung eines Lösegelds die schnellste Lösung sein, um eine Unterbrechung der Geschäftstätigkeit zu vermeiden.
  • Öffentlich bekannt gewordene Angriffe können das Vertrauen von Kunden und Investoren in ein Unternehmen erschüttern. Durch die Zahlung des Lösegelds und die Wiederherstellung des Betriebs können Unternehmen den Imageverlust begrenzen und das Vertrauen ihrer Stakeholder zurückgewinnen.
  • In einigen Fällen kann der finanzielle Schaden eines Angriffs durch die Zahlung des Lösegelds begrenzt werden. Die Kosten für die Wiederherstellung von Daten und Systemen sowie die potenziellen Umsatzeinbußen aufgrund von Betriebsunterbrechungen könnten höher sein als das geforderte Lösegeld.

Und hier finden Sie einige Argumente Kontra Lösegeld:

  • Es gibt keine Garantie, dass der Angreifer nach Zahlung des Lösegelds die Daten tatsächlich freigibt. Selbst wenn das Lösegeld bezahlt wird, können die verschlüsselten Daten beschädigt oder unlesbar bleiben.
  • Es gibt keinen Mechanismus, der verhindert, dass der Angreifer die Lösegeldforderung wiederholt. Einmalige Zahlungen könnten Unternehmen zu einem wiederholten Ziel von Angriffen machen, da die Angreifer sehen könnten, dass das Opfer bereit ist zu zahlen. Täter müssen sich an keinerlei Ehrenkodex halten oder unfreundliche Beurteilungen der Opfer fürchten.
  • Die Zahlung von Lösegeld finanziert kriminelle Aktivitäten und trägt dazu bei, dass Ransomware eine lukrative Einnahmequelle für Cyberkriminelle bleibt. Dies kann andere potenzielle Angreifer dazu ermutigen, ähnliche Angriffe durchzuführen.

Eine Entscheidung ist nicht einfach und hier an dieser Stelle finden betroffene Unternehmen oder Personen auch keine finale Entscheidungshilfe. Wie hoch ist die Lösegeldforderung? Ist das Zahlen von Lösegeld überhaupt rechtlich erlaubt? Drohen Bußgelder? Situationen sind oftmals individuell, sodass sie auch individuelle Entscheidungen benötigen. Ansprechpartner wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) oder die US-amerikanische The Cybersecurity and Infrastructure Security Agency (CISA) empfehlen zwar auf ihren Webseiten, Lösegeldforderungen nicht nachzukommen, im Zweifel sollten sich Betroffene jedoch fachliche Expertise holen, um eine individuell fundierte Entscheidung zu treffen.

Fragen aus der Praxis

Hier finden Sie einige Fragen und Antworten aus der Praxis:

Seit wann gibt es Ransomware?

Als erste Ransomware gilt die AIDS Trojaner Disk. 1989 verschickte der Evolutionsbiologe und Harvard-Absolvent Joseph L. Popp 20.000 infizierte Disketten mit der Aufschrift „AIDS Information Introductory Diskette“. Auf diese Weise gelangte die Erpressersoftware sogar auf die Computer der Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation.

Die AIDS Trojaner Disk ersetzte eine Systemkonfigurationsdatei und begann nach neunzig Neustarts damit, die Festplatte zu verschlüsseln. Um wieder Zugriff auf ihre Daten zu erhalten, wurden die Opfer aufgefordert, 189 US-Dollar per Post an die Firma PC Cyborg in Panama zu schicken. Aus diesem Grund wurde die erste Ransomware auch als PC Cyborg Trojaner bekannt.

2005 wurde der erste Verschlüsselungstrojaner TROJ_PGPCODER.A über das Internet verbreitet. Die Erpresser verlangten seinerzeit mehrere hundert Dollar für die Entschlüsselung.

Was ist der Unterschied zwischen Ransomware und Malware?

Malware zielt darauf ab, in Computersysteme einzudringen und Schaden anzurichten. Ransomware ist eine spezielle Form von Malware, die darauf abzielt, Dateien auf einem infizierten System zu verschlüsseln und dann Lösegeld zu erpressen, um die Dateien wieder freizugeben.

Neben Ransomware gibt es auch andere Arten von Malware wie Spyware, Adware, Trojaner oder Viren. Diese haben unterschiedliche Ziele und Auswirkungen, wie zum Beispiel das Sammeln von persönlichen Daten und Informationen, sowie das Stehlen von persönlichen Dateien, das Anzeigen unerwünschter Werbung oder das Beschädigen von Dateien oder Systemen.

Kurzum: Ransomware ist eine Art von Malware; Malware ist nicht immer Ransomware.

Was leistet Software gegen Ransomware?

Software kann auf verschiedene Arten gegen Ransomware helfen:

Um bereits bekannte Ransomware-Familien zu erkennen, gibt es eine einfache Methode: die Verwendung von Signaturen. Diese Signaturen identifizieren spezifische Befehlsabfolgen im Code einer Datei, die charakteristisch für eine bestimmte Gruppe von Schadprogrammen sind. Sie können auch generische Codeabfolgen erkennen, die typische schädliche Aktionen wie Kompression, Verschlüsselung und Backdoor-Aktivitäten anzeigen.

Eine weitere Strategie besteht darin, den Netzwerkverkehr zu überwachen, um die Aktivierung von Ransomware zu verhindern. Dabei wird der Zugang zu den Kontrollservern blockiert. Die verhaltensbasierte Erkennung überwacht laufende Anwendungen auf verdächtige Aktivitäten und zielt darauf ab, die ersten Aktionen von Schadprogrammen zu erkennen. Dazu gehört auch die Ausnutzung von Sicherheitslücken über manipulierte Webseiten.

Bei der Installation von Ransomware lassen sich charakteristische Vorgänge erkennen, wie das Anlegen von Konfigurationsdateien und Registry-Einträgen. Um die Persistenz von Ransomware nach einem Neustart des Systems zu bekämpfen, werden typische Autostart-Mechanismen erkannt und unterbrochen.

Die Verbreitung von Ransomware über Webseiten wird durch das Sammeln und Blockieren schädlicher URLs bekämpft. Außerdem wird der Schadcode in den Browserdaten überprüft. Zusätzlich überprüfen Virenscanner E-Mail-Inhalte frühzeitig, um schädliche E-Mails gar nicht erst zuzustellen.

Wo finden Sie fachmännische Unterstützung bei einem Ransomware-Angriff?

Im Internet finden sich zahlreiche Angebote von Unternehmen, die eine Datenrettung, die Durchführung von Sicherheitsprüfungen oder die Bereitstellung von Schutzsoftware anbieten. Es gibt die beiden Portale ID Ransomware und No More Ransom, die Unterstützung bieten.

Das BSI stellt einen Maßnahmenkatalog (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html) zum kostenlosen Download zur Verfügung.

In der Schweiz bietet die Melde- und Analysestelle Informationssicherung MELANI Hilfe an. U.a. veröffentlicht MELANI halbjährliche Berichte zur Entwicklung von Ransomware.

Auch das European Cybercrime Center  – EC3 bietet viele nützliche Informationen.

Impuls zum Diskutieren:

„Übersehen. Vergessen. Versäumt.“ – Diese drei menschlichen Dinge nutzen Angreifer aus.

Hinweise:

Wenn Ihnen der Beitrag gefällt, teilen Sie ihn gerne in Ihrem Netzwerk. Und falls Sie sich für Tipps aus der Praxis interessieren, dann testen Sie unseren beliebten Newsletter mit neuen Beiträgen, Downloads, Empfehlungen und aktuellem Wissen. Vielleicht wird er auch Ihr Lieblings-Newsletter.

Hier finden Sie ein englisches Video zur Bekämpfung von Ransomware.

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Adware - Wissen kompakt - t2informatik

Wie funktioniert Adware?

Wissen kompakt: Was ist ein Misuse Case?

Was ist ein Misuse Case?

Wissen kompakt: Was ist Bloatware?

Was ist Bloatware?