Eine der bekanntesten Malware Varianten, die es heute gibt, Ransomware – die es einem Cyberkriminellen ermöglicht, einem Opfer den Zugriff auf seine Dateien zu verweigern, bis ein Lösegeld gezahlt wurde – ist zu einem wichtigen Fokus von Cyberkriminellen und Cyberverteidigern geworden.
Ransomware nutzt Verschlüsselungsalgorithmen, die sicherstellen sollen, dass nur jemand mit Zugriff auf den Entschlüsselungsschlüssel die auf die verschlüsselten Daten angewendete Transformation rückgängig machen und die ursprüngliche, verwendbare Version wiederherstellen kann. Ein Opfer wird durch den Verlust des Zugriffs auf wertvolle Daten dazu motiviert, ein Lösegeld zu zahlen. Nach Zahlung des Lösegelds muss der Ransomware-Betreiber lediglich einen kurzen Entschlüsselungsschlüssel bereitstellen, um den Zugriff auf alle verschlüsselten Daten wiederherzustellen.
Die Theorie hinter Ransomware ist recht einfach und unterscheidet sich kaum von einer Ransomware-Variante zur anderen. Die Einzelheiten der Art und Weise, wie Ransomware von Cyberkriminellen eingesetzt wird, können jedoch je nach Gruppe und Angriffskampagne sehr unterschiedlich sein und haben sich in den letzten Jahren erheblich weiterentwickelt.
Laut Checkpoint Research hat sich die Zahl der von Ransomware weltweit betroffenen Organisationen im ersten Halbjahr 2021 im Vergleich zu 2020 mehr als verdoppelt, und die Sektoren Gesundheitswesen und Versorgung sind seit Anfang April 2021 die am stärksten betroffenen Sektoren.
Der Erfolg der Doppelerpressung im Jahr 2020 ist insbesondere seit Ausbruch der Covid-19-Pandemie offensichtlich. Obwohl nicht alle Vorfälle – und ihre Ergebnisse – gemeldet und veröffentlicht werden, verdeutlichen die zwischen 2020 und 2021 gesammelten Statistiken die Bedeutung des Angriffsvektors. Der durchschnittliche Lösegeldpreis ist im letzten Jahr um 171 % auf fast 310.000 US-Dollar gestiegen.
Ransomware-Angriffe, die Ende 2020 und Anfang 2021 stattgefunden haben, deuten auf eine neue Angriffskette hin – im Wesentlichen eine Erweiterung des Ransomware Ansatzes mit doppelter Erpressung, die eine zusätzliche, einzigartige Bedrohung für den Prozess einschließt – einen Angriff mit dreifacher Erpressung
Berühmte Angriffe im Jahr 2021 – Microsoft Exchange-Hack, Colonial Pipeline-Netzwerk, Stadt Tulsa, JBS Meat Company, Fujifilm
Ende 2019 und Anfang 2020 zeichnete sich ein neuer Trend bei Ransomware-Angriffen ab. Anstatt sich darauf zu beschränken, die Dateien eines Opfers zu verschlüsseln, begannen Ransomware-Autoren, auch sensible Daten von ihren Zielen zu stehlen. Zu den Ransomware-Varianten, die Benutzerdaten stehlen, gehören Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet und Snatch.
Dieser Schritt war eine Reaktion darauf, dass Organisationen sich weigerten, Lösegeldforderungen zu zahlen, nachdem sie Opfer einer Ransomware-Infektion geworden waren. Obwohl die Kosten für die Behebung eines Ransomware-Angriffs häufig höher sind als das geforderte Lösegeld, empfiehlt die bewährte Praxis, dass Lösegeld nicht gezahlt werden sollte, da es den Cyberkriminellen dadurch ermöglicht wird, ihre Aktivitäten fortzusetzen und weitere Angriffe durchzuführen.
Durch den Diebstahl von Daten von infizierten Computern vor der Verschlüsselung könnten Ransomware-Betreiber mit der Offenlegung dieser Daten drohen, wenn das Opfer sich weigert, das Lösegeld zu zahlen. Abhängig von der Art der erfassten und weitergegebenen Daten kann dies dazu führen, dass ein Unternehmen einen Wettbewerbsvorteil auf dem Markt verliert oder gegen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) verstößt, weil es die anvertrauten Kundendaten nicht schützt dazu.
2019 war als das Jahr bekannt, in dem Ransomware-Betreiber ihren Fokus auf kritische Institutionen richteten. Allein in den ersten drei Quartalen des Jahres 2019 wurden über 621 Krankenhäuser, Schulen und Städte in den Vereinigten Staaten Opfer von Ransomware-Angriffen von Ryuk und anderen Ransomware-Varianten. Diese Angriffe kosteten schätzungsweise Hunderte Millionen Dollar und führten dazu, dass Städte ihren Bewohnern keine Dienstleistungen mehr anbieten konnten und Krankenhäuser gezwungen waren, nicht unbedingt notwendige Eingriffe abzusagen, um Patienten eine Intensivpflege zu bieten.
Dieser neue Ansatz zur Bekämpfung von Ransomware machte sich die Bedeutung der von diesen Organisationen bereitgestellten Dienste zunutze. Im Gegensatz zu einigen Unternehmen, die einen beeinträchtigten Betrieb überstehen und sich gleichzeitig von einem Angriff erholen konnten, mussten Städte, Schulen und Krankenhäuser den Betrieb so schnell wie möglich wiederherstellen und hatten oft Zugang zu Notfallmitteln. Infolgedessen waren Ransomware-Angriffe gegen diese Organisationen häufig erfolgreich und kommen weiterhin vor.
Im Gegensatz zu den meisten Ransomware-Angriffen, die auf zufällig ausgewählte Einzelpersonen und Unternehmen abzielen, handelte es sich bei der Ryuk-Ransomware um einen sehr gezielten Angriff. Die hinter dieser Operation stehenden Cyberkriminellen hatten es auf Opfer abgesehen, deren Geschäfte selbst durch eine geringe Ausfallzeit erheblich beeinträchtigt würden.
Ryuk wurde entwickelt, um Unternehmensserver zu verschlüsseln und den Geschäftsbetrieb zu unterbrechen, bis das Lösegeld bezahlt wurde, anstatt die Daten einer Person zu stehlen oder zu kompromittieren.
Ryuks Ziele
Zu den gezielten Opfern gehörten Zeitungen, darunter alle Tribune-Zeitungen, und ein Wasserversorgungsunternehmen in North Carolina. Betroffene Zeitungen mussten eine verkleinerte Version der Tagesnachrichten produzieren, die keine bezahlten Kleinanzeigen enthielt.
Die Details
Ryuk infizierte Systeme durch Malware namens TrickBot und Remote-Desktop-Software. Nachdem Ryuk den Zugriff auf Server gesperrt hatte, verlangte er zwischen 15 und 50 Bitcoins, was etwa 100.000 bis 500.000 US-Dollar entsprach.
Neben der Deaktivierung von Servern, der Infizierung von Endgeräten und der Verschlüsselung von Backups deaktivierte Ryuk auch die Systemwiederherstellungsoption des Windows OS , um zu verhindern, dass sich Opfer nach dem Angriff erholen.
Als die Malware entdeckt wurde, wurden Patches erstellt, um den Angriff zu vereiteln, aber sie hielten nicht stand. Sobald die Server wieder online gingen, begann Ryuk damit, das gesamte Servernetzwerk erneut zu infizieren.
Experten von McAfee vermuten, dass Ryuk mit Code erstellt wurde, der von einer Gruppe nordkoreanischer Hacker stammt, die sich Lazarus Group nennen. Für die Ausführung der Ransomware musste jedoch die Sprache des Computers auf Russisch, Weißrussisch oder Ukrainisch eingestellt sein.
PureLocker wurde wie Ryuk entwickelt, um ganze Server zu verschlüsseln und ein Lösegeld zu verlangen, um den Zugriff wiederherzustellen. Die Malware wurde speziell dafür entwickelt, unentdeckt zu bleiben, indem sie ihr bösartiges Verhalten in Sandbox-Umgebungen verbirgt und normale Funktionen nachahmt. Es löscht sich auch selbst, nachdem der Schadcode ausgeführt wurde.
Die Ziele von PureLocker
PureLocker zielte auf die Server großer Unternehmen ab, von denen die Angreifer glaubten, dass sie ein hohes Lösegeld zahlen würden.
Die Details
Nach einer gründlichen Analyse nannten Kryptografieforscher von Intezer und IBM X-Force diese Ransomware PureLocker, weil sie in der Programmiersprache PureBasic geschrieben ist.
Das Schreiben von Malware in PureBasic ist ungewöhnlich, bietet Angreifern jedoch einen erheblichen Vorteil: Es ist schwierig, in PureBasic geschriebene Schadsoftware zu erkennen. PureBasic-Programme lassen sich auch problemlos auf verschiedenen Plattformen nutzen.
PureLocker wird immer noch von großen Cyberkriminellenorganisationen eingesetzt. Experten gehen davon aus, dass PureLocker als Dienstleistung an Cyberkriminelle verkauft wird, die über das erforderliche Wissen verfügen, um große Unternehmen ins Visier zu nehmen. Seltsamerweise ist Ransomware-as-a-Service (RaaS) mittlerweile ein „Ding“.
Cybersicherheitsexperten wissen nicht genau, wie PureLocker auf Server gelangt. Die Einführung eines Zero-Trust-Ansatzes für die Netzwerksicherheit ist der beste Weg, sich vor unbekannten Bedrohungen zu schützen.
REvil ist Malware einer Sorte namens GandCrab, die in Russland, Syrien und mehreren anderen nahe gelegenen Ländern nicht ausgeführt werden kann. Dies weist darauf hin, dass es aus dieser Gegend stammt.
Es wird angenommen, dass es sich bei REvil wie bei PureLocker um Ransomware-as-a-Service handelt, und Sicherheitsexperten sagen, es handele sich um einen der schlimmsten Fälle von Ransomware im Jahr 2019.
Warum ist REvil so schlecht? Bei den meisten Ransomware-Angriffen können Menschen die Lösegeldforderung ignorieren und ihren Verlust begrenzen. Die Hintermänner des Angriffs drohten jedoch damit, die von ihnen verschlüsselten vertraulichen Daten zu veröffentlichen und zu verkaufen, wenn das Lösegeld nicht gezahlt würde.
REvils Ziele
Im September 2019 schloss REvil mindestens 22 Kleinstädte in Texas. Drei Monate später, am Silvesterabend, schloss REvil Travelex – einen britischen Geldwechselanbieter.
Als Travelex pleite ging, mussten die Flughafenbörsen altmodisch vorgehen und Papierbücher erstellen, um den Austausch zu dokumentieren. Cyberkriminelle forderten ein Lösegeld in Höhe von 6 Millionen US-Dollar, aber Travelex wird die Zahlung dieser Summe weder bestätigen noch dementieren.
Die Details
REvil nutzt Schwachstellen in Oracle WebLogic-Servern und dem Pulse Connect Secure VPN aus.
Am 1. März 2019 griff Ransomware die Notrufzentrale von Jefferson County an und schaltete sie offline. Das Personal des Bezirksgefängnisses verlor außerdem die Möglichkeit, Zellentüren aus der Ferne zu öffnen, und Polizeibeamte konnten keine Nummernschilddaten mehr von ihren Laptops abrufen.
Ohne ein funktionierendes 911-System war die gesamte Stadt den sekundären Auswirkungen dieses Ransomware-Angriffs ausgesetzt. Zwei Wochen lang hatten die Disponenten keinen Zugang zu Computern.
Auch das Videokonferenzsystem, das es den Insassen ermöglichte, mit Familienangehörigen in Kontakt zu treten, fiel aus. Zu Familienbesuchen mussten die Wärter die Häftlinge persönlich begleiten, was das Risiko für ihre Sicherheit erhöhte.
Die Stadt zahlte das Lösegeld in Höhe von 400.000 US-Dollar und konnte ihre Systeme wiederherstellen.
Am 10. April 2019 wurde die Stadt Greenville, NC, von einer Ransomware namens RobinHood angegriffen. Als die meisten Server der Stadt offline gingen, schaltete das IT-Team der Stadt die verbleibenden Server offline, um den Schaden zu begrenzen.
Dieser Angriff war nicht das erste Mal, dass RobinHood seine Runde machte. Im Mai 2019 wurde die Stadt Baltimore schwer getroffen. Die Stadt musste mehr als 10 Millionen US-Dollar ausgeben, um sich von einem RobinHood-Angriff zu erholen. Obwohl das Lösegeld nur 76.000 US-Dollar betrug, kostete die Wiederherstellung der Daten die Stadt 4,6 Millionen US-Dollar und alle Systeme der Stadt waren einen Monat lang nicht funktionsfähig. Der Stadt entstand ein Schaden in Höhe von 18 Millionen US-Dollar.
Im Jahr 2018 verlor Ransomware an Popularität, da der steigende Wert der Kryptowährung zu einem Anstieg des Kryptojackings führte. Cryptojacking-Malware soll einen Zielcomputer infizieren und damit die rechenintensiven Schritte ausführen, die zum „Mining“ von Bitcoin und anderen Proof of Work (PoW)-Kryptowährungen erforderlich sind, und die Belohnungen erhalten, die mit dem Finden eines gültigen Blocks verbunden sind.
Das heißt jedoch nicht, dass Ransomware im Jahr 2018 völlig inaktiv war. Im August 2018 wurde die Ryuk-Ransomware (eine der größten Ransomware-Bedrohungen heute) zum ersten Mal „in freier Wildbahn“ entdeckt. Die Entstehung von Ryuk war Teil einer Veränderung in der Art und Weise, wie Ransomware-Betreiber ihr Geld verdienten. Angriffe wie WannaCry zielen auf Quantität statt Qualität ab, indem sie so viele Opfer wie möglich angreifen und von jedem ein kleines Lösegeld verlangen. Allerdings war dieser Ansatz nicht immer profitabel, da dem Durchschnittsbürger das Know-how fehlte, ein Lösegeld in Kryptowährung zu zahlen. Infolgedessen mussten Ransomware-Betreiber einen erheblichen „Kundendienst“ leisten, um an ihre Zahlungen zu kommen.
Im Jahr 2018 und darüber hinaus sind Ransomware-Betreiber bei der Auswahl ihrer Ziele selektiver geworden. Durch den Angriff auf bestimmte Unternehmen könnten Cyberkriminelle die Wahrscheinlichkeit erhöhen, dass die von ihrer Malware verschlüsselten Daten wertvoll sind und dass ihr Ziel in der Lage ist, das Lösegeld zu zahlen. Dies ermöglichte es Ransomware-Betreibern, einen höheren Preis pro Opfer zu verlangen und eine angemessene Erwartung zu haben, dass sie bezahlt werden.
2017 war das Jahr, in dem Ransomware wirklich ins öffentliche Bewusstsein gelangte. Obwohl es Ransomware schon seit Jahrzehnten gibt, haben die WannaCry- und NotPetya-Angriffe im Jahr 2017 diese Art von Malware zu einem bekannten Namen gemacht. Diese Ransomware-Varianten haben auch andere Cyberkriminelle und Malware-Autoren dazu inspiriert, in den Ransomware-Bereich einzusteigen.
WannaCry ist ein Ransomware-Wurm, der den von der NSA entwickelten EternalBlue-Exploit nutzt, um sich von Computer zu Computer zu verbreiten. Innerhalb von drei Tagen gelang es WannaCry, über 200.000 Computer zu infizieren und Schäden in Milliardenhöhe anzurichten, bevor der Angriff von einem Sicherheitsforscher mithilfe des eingebauten „Kill Switch“ gestoppt wurde.
NotPetya ist ein Beispiel für eine berühmte Variante, bei der es sich eigentlich gar nicht um Ransomware, sondern um Wiper-Malware handelt, die sich als Ransomware ausgibt. Obwohl es von seinen Opfern Lösegeldzahlungen verlangte, hatte der Code der Malware keine Möglichkeit, den Betreibern der Malware einen Entschlüsselungsschlüssel zur Verfügung zu stellen. Da sie den Schlüssel nicht hatten, konnten sie ihn ihren Opfern nicht zur Verfügung stellen, was die Wiederherstellung verschlüsselter Dateien unmöglich machte.
Ransomware hat sich als äußerst wirksames Werkzeug für Cyberkriminelle erwiesen. Der Verlust des Zugriffs auf ihre Daten hat viele Organisationen dazu veranlasst, hohe Lösegelder zu zahlen, um sie wiederherzustellen. Der Erfolg von Ransomware bedeutet, dass sie wahrscheinlich nicht als Bedrohung für die Cybersicherheit von Unternehmen verschwinden wird. Der Schutz vor dieser schädlichen Malware erfordert die Bereitstellung einer speziellen Anti-Ransomware-Lösung.