Wenn ein Cyberkrimineller schnell an Geld kommen möchte, infiziert er mit Ransomware einen Computer und verschlüsselt alle Daten auf der Festplatte. Die bösartige Software sendet eine Warnung an den Benutzer, die darauf hinweist, dass er ein Lösegeld zahlen muss, um seine Dateien für immer zu verlieren.
In der Vergangenheit forderten Kriminelle die Überweisung von Lösegeldern per Bargeld oder Zahlungsanweisung an Postfächer. Das war jedoch nicht immer von Dauer, denn Postfächer sind auf eine Person zurückführbar. Heute wird das Lösegeld fast immer in der unauffindbaren, anonymen Währung Bitcoin gefordert. Da Lösegelder nun unauffindbar gezahlt werden können, ist die Häufigkeit von Ransomware-Angriffen explodiert.
Der erste dokumentierte Ransomware-Angriff wurde im Dezember 1989 von einem Evolutionsbiologen namens Joseph L. Popp verübt. Im Jahr 1989 gab es das Internet, aber es war nicht das, was es heute ist, also wurde der Angriff über eine infizierte Computerfestplatte ausgeführt.
Popp verschickte 20.000 infizierte Disketten an die Teilnehmer der internationalen AIDS-Konferenz. Die Disketten trugen die Aufschrift "AIDS Information – Introduction Disdisks". Unter dem Vorwand, ein Fragebogen zu sein, der Nutzern dabei helfen soll, ihr AIDS-Risiko zu ermitteln, wurden die Datenträger heimlich mit einer Ransomware namens „AIDS-Trojaner“ infiziert, die auch als „PC-Cyborg“ bekannt ist.
Nach 90 Neustarts wurden ahnungslose Opfer mit einer Lösegeldforderung von 189 US-Dollar konfrontiert. Popp wollte, dass die Zahlungen an sein Postfach in Panama geschickt werden, was schließlich zurückverfolgt wurde. Überraschenderweise wurde er gefasst, aber nie strafrechtlich verfolgt.
Seitdem wurden Tausende von Ransomware-Angriffen gegen Einzelpersonen, kleine Unternehmen und sogar riesige Konzerne verübt. Obwohl Ransomware-Angriffe anfangs recht einfach waren, sind sie inzwischen komplex und praktisch nicht mehr auffindbar. Leider sind Ransomware-Angriffe aufgrund der Rentabilität nicht mehr wegzudenken.
Obwohl die meisten Menschen das Konzept von Ransomware verstehen, sollte man sie als das bezeichnen, was sie wirklich ist: Erpressung. Erpressung ist in den Vereinigten Staaten ein Verbrechen und deshalb sind moderne Kriminelle mutig genug, Ransomware-Angriffe zu starten und dabei auf die Anonymität von Kryptowährungen zu vertrauen.
Ransomware-Angriffe nutzen Verschlüsselungstechnologie, um den Zugriff auf Dateien zu verhindern. Im Laufe der 1990er Jahre wurden mit der Weiterentwicklung der Verschlüsselungsmethoden auch Ransomware-Angriffe immer ausgefeilter und ließen sich nicht mehr knacken. Etwa im Jahr 2006 begannen Gruppen von Cyberkriminellen, die asymmetrische RSA-Verschlüsselung auszunutzen, um ihre Angriffe noch undurchführbarer zu machen.
Beispielsweise verwendete der Archiveus-Trojaner die RSA-Verschlüsselung, um den Inhalt im Ordner „Eigene Dateien“ eines Benutzers zu verschlüsseln. Das Lösegeld verlangte von den Opfern, dass sie Waren über eine Online-Apotheke kaufen und im Gegenzug ein 30-stelliges Passwort erhielten, mit dem die Dateien entsperrt werden konnten.
Ein weiterer Ransomware-Angriff zu dieser Zeit war der GPcode-Angriff. GPcode war ein Trojaner, der als E-Mail-Anhang verbreitet wurde und sich als Jobanwendung ausgab. Bei diesem Angriff wurde zur Verschlüsselung ein 660-Bit-RSA-Schlüssel verwendet. Einige Jahre später stieg Gpcode.AK – sein Vorgänger – auf die Verwendung der 1024-Bit-RSA-Verschlüsselung um. Diese Variante zielte auf mehr als 35 Dateiendungen ab.
Ransomware-Angriffe mögen simpel und gewagt begonnen haben, doch heute sind sie zum schlimmsten Albtraum eines Unternehmens und zur Cash-Cow für Kriminelle geworden.
Cyberkriminelle wissen, dass sie mit Ransomware Geld verdienen können, und es hat sich zu einer weitgehend profitablen Branche entwickelt.
Laut einer Google-Studie mit dem Titel „Tracking Ransomware End-to-End“ verdienen Cyberkriminelle mit Ransomware über 1 Million US-Dollar pro Monat. "Es ist ein sehr, sehr profitabler Markt geworden und wird bleiben", sagte ein Forscher. Die Studie verfolgte mehr als 16 Millionen US-Dollar, die anscheinend Lösegeldzahlungen von 19.750 Personen innerhalb von zwei Jahren waren.
Die BBC berichtete über diese Google-Studie und erklärte, dass es mehrere „Stämme“ von Ransomware gibt und einige Stämme mehr Geld verdienen als andere. Eine Bitcoin-Blockchain-Analyse ergab beispielsweise, dass die beiden beliebtesten Sorten – Locky und Cerber – in nur einem Jahr zusammen 14,7 Millionen US-Dollar verdient haben.
Laut der Studie haben mehr als 95 % der Ransomware-Angreifer ihre Bitcoin-Zahlungen über Russlands inzwischen nicht mehr existierende BTC-e-Börse ausgezahlt. Sie werden wahrscheinlich nie erwischt werden.
Unternehmer, die auf einen Ransomware-Angriff unvorbereitet sind, werden sich nicht ohne Konsequenzen davon erholen – wenn sie überhaupt davon betroffen sind. Sie zahlen entweder das Lösegeld (was nicht immer zur Wiederherstellung der Dateien führt) oder sie investieren Zeit und Geld in den erfolglosen Versuch, die Verschlüsselung zu knacken.
Wenn nichts funktioniert, beziehen sie eine frühere Version ihrer Dateien von Mitarbeitern, Auftragnehmern und anderen, die möglicherweise Kopien haben. Auch wenn sie die meisten ihrer Dateien finden können, handelt es sich nicht um aktuelle Versionen, und das gesamte Team muss Überstunden machen, um das Geschäft wieder in Gang zu bringen.
Die einzige Möglichkeit, einen Ransomware-Angriff zu verhindern, besteht darin, vorbereitet zu sein, bevor er passiert. Dazu ist die Erstellung regelmäßiger Offline-Backups auf einem Gerät erforderlich, das nicht mit dem Internet verbunden bleibt. Malware, einschließlich Ransomware, kann gleichermaßen Backup-Laufwerke und USB-Laufwerke infizieren. Es ist wichtig, sicherzustellen, dass Sie aktuelle Offline-Backups aufbewahren.
Wenn Sie es noch nicht getan haben, ist es jetzt an der Zeit, alle Endgeräte mit Anti-Ransomware-Software zu schützen. Bei Check Point Software bieten wir diese Lösung allen Kunden unserer Endgerätesicherheit Suite an. Unsere Endgerätesicherheit-Suite – Harmony Endpoint – bietet Echtzeit-Bedrohungsprävention für alle Endgeräte Ihres Unternehmens.
Da so viele Geräte auf das Netzwerk Ihres Unternehmens zugreifen, können Sie es sich nicht leisten, auf Endgeräteschutz und Bedrohungsprävention zu verzichten. Die heutigen grenzenlosen Netzwerke erfordern leistungsstarke Software zum Schutz vor Cyber-Angriffen aller Art, einschließlich Ransomware.
Mit Harmony Endpoint wird Ihr Netzwerk rund um die Uhr dynamisch vor Ransomware und anderen Bedrohungen geschützt.
Um mehr darüber zu erfahren, wie Check Point Ihr Netzwerk schützen kann, vereinbaren Sie eine kostenlose Demo für Harmony Endpoint oder kontaktieren Sie uns für weitere Informationen. Wenn Sie sich nicht sicher sind, welche Dienste Sie benötigen, helfen Ihnen unsere Datenschutzexperten, das Richtige für Sie zu finden.