goSecurity BLOG

Geschichte

Heutzutage ist Ransomware (auch Verschlüsselungstrojaner oder Kryptolocker genannt) in aller Munde. Woher kommt das Phänomen dieser digitalen Form der Erpressung? Die erste dokumentierte Ransomware stammt aus dem Jahre 1989. Bekannt wurde sie unter dem Namen AIDS und unterscheidet sich im Grunde kaum von den heutigen Verschlüsselungstrojanern. Der Biologe Joseph Popp verteilte damals 20’000 Disketten unter Teilnehmern der WHO-AIDS-Konferenz. Angeschrieben war die Diskette mit «AIDS Information – Introductory Diskettes» um – ähnlich wie bei den heutigen Kryptolockern – Neugierde zu wecken bzw. Vertrauen zu schaffen damit die Diskette – heute die Datei – geöffnet wird. Nach Einschieben der Disk startete der betroffene Computer 90 Mal ohne Probleme. Beim 91en Mal wurden dann aber Ordner versteckt und Namen von Dateien auf dem C:\-Laufwerk verschlüsselt. Als Lösegeld mussten umgerechnet etwa 200 Franken auf ein Postfach in Panama, das unter dem Namen PC Cyborg Corp. Registriert war, geschickt werden.

Dank des Wachstums des Internets wurde es mit der Zeit viel einfacher und praktikabler Popps Erpressungsmethode im grossen Stil einzusetzen. Kriminelle Organisationen begannen nach der Jahrtausendwende modernere Technologien wie die asymmetrische RSA Verschlüsselung einzusetzen. Ab 2011 stiegen die verschiedenen Typen von Ransomwares stark nach oben. Dieser Anstieg hielt stetig an bis Anfangs 2015 die Zahl explosionsartig auf über 700‘000 stieg. Aktuelle Zahlen aus 2016 wurden noch nicht veröffentlicht, aber auf Grund verschiedener und regelmässiger Presseberichte kann davon ausgegangen werden, dass sich diese Zahl auf keinen Fall verkleinert hat.

Aktuelle Verbreitungsformen und Arten

Aktuell ist die beliebteste Form Ransomware unter die Leute zu bringen der E-Mail-Anhang. Sei es eine fingierte Bewerbung mit verseuchtem Word-File oder ein anderer Dateityp, ein auf den ersten Blick vertrauensvoll wirkendes Dokument.

Andere Formen der Verbreitung sind manipulierte Werbeanzeigen auf Webseiten, JavaScripts oder Drive-By-Downloads. Eine der neusten Ransomwares benutzt sogar gekaperte TeamViewer-Accounts um den Kryptolocker via TeamViewer zu verbreiten. Die technischen Möglichkeiten sind hier beinahe unbegrenzt und werden in Zukunft sicher noch ganz andere Formen annehmen.

Normalerweise haben Kryptolocker bei Ankunft auf dem Zielsystem sofort mit dem Verschlüsseln der Daten begonnen. So konnte aber die Anzahl der infizierten Systeme durch die verschiedenen Antiviren-Hersteller in Schach gehalten werden, da die Signatur der Trojaner schnell erfasst und per Virendefinitionen verteilt werden konnte. Aktuell gehen die Cyber-Kriminellen aber intelligenter vor. Locky, einer der gefährlichsten Verschlüsselungstrojaner, nistet sich in zum Beispiel auf möglichst vielen Zielsystemen ein, um dann koordiniert mehrere zehntausend PCs gleichzeitig verschlüsseln zu können. So haben die AV-Herstellen nur sehr geringe, bis keine Chance den Schädling frühzeitig erkennen zu können.

Eine andere Art von Ransomware nistet sich im Zielsystem ein und sendet dann ein Signal an den Versender. Dieses signalisiert ihm, dass der Endrechner erfolgreich infiziert wurde. Der Angreifer versucht dann manuell mit Hilfe verschiedener Tools wie RAT (Remote Access Trojan) o. ä. tiefer ins Netzwerk vorzudringen bzw. höhere Rechte im Zielnetzwerk zu erlangen (sog. Privilege Escalation). Nach den gesammelten Informationen legt der Angreifer nun die zu verschlüsselnden Daten sowie die Höhe des Lösegeldes fest und gibt dem Kryptolocker das Signal die Dateien zu verschlüsseln. Diese Form von Attacke bringt ein erhöhtes Mass an Arbeit mit sich und ist hauptsächlich gegen Firmen gerichtet bei denen grössere Lösegeldsummen verlangt werden können.

Wie schnell kann es gehen?

Für KMUs kann ein Kryptolocker im schlimmsten Fall zum Bankrott führen. Im besten Fall müssen nur einige Dateien per Backup wiederhergestellt werden. Folgende Beispiele sollen erläutern wie schnell es gehen kann.

Jede Firma bekommt regelmässig Bewerbungen. Oft haben diese ein Bewerbungsschreiben angehängt, in welchem sich ein Verschlüsselungstrojaner verstecken kann. Ist die IT-Sicherheit innerhalb des Unternehmens nicht auf einem guten Stand, kann es schnell passieren, dass sämtliche Daten inklusive Backup verschlüsselt werden. Ist beispielsweise das Backup auf einem NAS oder in einer Cloud, ist es wahrscheinlich, dass diese auch mitverschlüsselt werden. Dies wäre für viele KMUs ein Horror-Szenario.

Im Netzwerk eines KMUs hat der Netzwerk-Admin seine Arbeit im Griff. Die Server sind stets auf dem neusten Stand, Antiviren-Definitionen werden stündlich aktualisiert und die Rechte für den Zugriff auf Netzlaufwerke sind korrekt vergeben.

Prävention im KMU

Wie kann sich ein Unternehmen möglichst gut gegen solche Angriffe schützen? Folgende Tipps sollen dabei helfen, nicht zum Opfer von Ransomware zu werden.

Antiviren-Software

Wird eine neue Art von Ransomware bekannt, geht es in der Regel nicht lange, bis auch die Antiviren-Programme gegen die «neue» Bedrohung gewappnet werden. Aus diesem Grund sollten Antiviren-Definitionen nicht nur ein Mal pro Tag aktualisiert werden, sondern stündlich. So kann der bestmögliche Schutz gewährleistet werden.

Windows- / Programm-Updates

Der Grossteil der heutigen Cyberattacken, welche nicht durch Social Engineering initialisiert werden, starten mit der Ausnutzung bekannter Sicherheitslücken in Software. Sei dies das Betriebssystem direkt oder ein auf dem Zielrechner installiertes Drittanbieterprogramm. Stellen Sie sicher, dass Ihre Windows-Versionen sowie diverse eingesetzte Drittanbieterprogramme stets auf dem neusten Stand sind.

Die grösste Gefahr hierbei sind Programme, die entweder direkt mit dem Internet kommunizieren oder aus dem Internet stammende Dateien öffnen (z.B. PDF Reader, Flash-Player, Browser etc.).

Mitarbeiter Awareness

Ein Unternehmen kann eine noch so gut konfigurierte, regelmässig gewartete und den IT-Sicherheitsstandards entsprechende IT-Infrastruktur haben, das entscheidendste Element, der Mensch selber, sollte ebenfalls stets auf einem aktuellen Stand in Sachen IT-Sicherheit und Bedrohungen aus dem Internet sein. Wissen die Mitarbeiter einer Firma wie sie einen Social-Engineering-Angriff erkennen können, wird das Risiko einer Infektion durch Ransomware stark verringert.

«Offline» Backup

Die neusten Kryptolocker wie Locky nisten sich zunächst im Zielrechner ein und untersuchen das Netzwerk, um möglichst viele Dateien verschlüsseln zu können. Wenn in Ihrem Unternehmen das Backup nur auf ein NAS gemacht wird und der betroffene Benutzeraccount Schreibrechte auf dem Backup hat, wird dieses ebenfalls mitverschlüsselt. Die einfachste und sicherste Art der Verschlüsselung des Backups vorzubeugen ist ein Backup auf ein Offline-Medium wie Tapes oder externe Festplatten, die nach erfolgreichem Backup jeweils entfernt werden. So haben Sie im Notfall stets eine aktuelle Kopie der gesamten Firmendaten zur Wiederherstellung vorhanden.

Rechte korrekt vergeben (Netzlaufwerke)

Netzlaufwerke bzw. Netzwerkfreigaben sind aus heutigen Betrieben kaum mehr wegzudenken. Sämtliche Mitarbeiter speichern firmenrelevante Dateien stets auf dem Netzlaufwerk. Oft haben Mitarbeiter, einfachheitshalber, aber auf zu vielen Freigaben zu viele Rechte. So werden bei einem Befall sehr viele Daten verschlüsselt. Wenn ein Mitarbeiter gewisse Daten nur anschauen, aber nicht verändern können muss, reichen einfache Lese-Rechte. So hat der User immer noch Einsicht in die benötigten Daten, der Verschlüsselungstrojaner hingegen kann dann die Dateien nicht verschlüsseln.

Admin-Accounts

Oft verwenden Administratoren eines Netzwerks den gleichen Account für die tägliche Arbeit und für administrative Arbeiten an den Servern. So hat ein Verschlüsselungstrojaner einfaches Spiel, da dieser Account normalerweise auf geschäftskritische Laufwerke und Freigaben, wie z.B. das Backup Zugriff hat. Es wird dringend empfohlen, für tägliche Arbeiten (surfen, Office, Mails, etc.) einen normalen User Account mit niedrigen Rechten zu verwenden und den Administrator-Account nur dann zu verwenden, wenn dies zwingend benötigt wird.

Prognose

Wie sieht die Zukunft mit Ransomware aus? Welche Gefahren werden noch auf uns zu kommen? Eine kleine Prognose.

Der vorhersehbarste Schritt der Cyber-Kriminellen ist, vermehrt auch Smartphones unter Beschuss zu nehmen. Es gab bereits Erpressungstrojaner, die für Smartphones gedacht waren, jedoch wurde in letzter Zeit das Augenmerkt hauptsächlich auf Desktops und Firmennetzwerke gelegt. Daher ist es sehr gut möglich, dass wir in Zukunft vermehrt mit Ransomware in Verbindung mit unserem Smartphone rechnen müssen. Da immer noch ein grosser Teil der weltweit betriebenen Smartphones nicht mit dem aktuellsten Betriebssystem und den dazugehörenden Sicherheits-Patches betrieben werden.

Das Internet of Things wächst immer weiter und immer mehr verschiedene Alltagsgegenstände werden internetfähig gemacht, sei es ein Wasserkocher, ein Kühlschrank oder eine Webcam. Alles wird mit dem Internet verbunden und ist somit auch automatisch ein Ziel für Ransomware. Stellen Sie sich vor jemand verschlüsselt ihren Kühlschrank so, dass sich dieser nicht mehr öffnen lässt bis eine gewisse Summe auf das Konto des Erpressers überwiesen wird. Eine verrückte Welt wäre das.

Auch das Starten einer Ransomwarekampagne wird immer einfacher. Für nur etwa 500 Franken kann jede und jeder mit ein wenig krimineller Energie ein Ransomware-Kit kaufen und eine Kampagne starten. Daraus resultiert, dass in Zukunft höchstwahrscheinlich noch viel mehr Ransomware-Angriffe durchgeführt werden. Auch wenn es sich hier «nur» um kleine Angriffe handelt, besteht die Gefahr einer Verschlüsselung der Daten trotzdem.