Ransomware
Keinen hohen Preis bezahlen
Fortsetzung des Artikels von Teil 2
Ransomware Crashkurs
Ransomware-Trojaner sind zwar bereits seit langer Zeit im Umlauf, rückten aber erst in diesem Jahr in den Fokus der Medien. Schuld daran ist vor allem der Kryptotrojaner „Locky“, der auf tausenden Rechnern in Deutschland Daten verschlüsselte und danach Lösegeld in Form von Bitcoins forderte. Laut BSI war im Mai 2016 ein Drittel aller Unternehmen mit Ransomware infiziert. Auch wenn in 70 Prozent der Firmen „nur“ Einzelarbeitsplätze betroffen waren, sind bei immerhin 22 Prozent der Befragten wichtige Teile ihrer IT-Infrastruktur ausgefallen. In elf Prozent der Fälle gingen sogar wichtige Unternehmensdaten verloren. Zwar ist es bereits gelungen, die Verschlüsselung einzelner Trojaner zu knacken, aber ein Ende der Ransomware-Welle scheint nach wie vor nicht in Sicht zu sein, denn Cyber-Kriminelle greifen stets zu neuen Mitteln: Ging es anfänglich um das einmalige Verschlüsseln der Daten und die damit einhergehende Epressung, kann man sich inzwischen dauerhaft mit dem Schädling infizieren. Forscher des Sicherheitsanbieters Sophos sind auf eine neue Art von Ransomware gestoßen, die nicht mehr nur persönliche Daten in Geiselhaft nimmt, sondern auch noch die Passwörter der Geschädigten stiehlt.
Für Kriminelle ist Cyber-Erpressung offenbar ein lukratives Geschäft: Die auf das Deep und Dark Web spezialisierte IT-Sicherheitsfirma Flashpoint hat in der Studie „Ransomware as a Service“ ermittelt, dass Drahtzieher von Attacken im Durchschnitt 90.000 Dollar pro Jahr verdienen. Hinzu kommt, dass die Schädlinge vergleichsweise einfach zu programmieren sind und daher immer neue Versionen entstehen.
Dabei basiert der Erfolg von Ransomware auf vermeidbaren Fehlern, sagt Dariush Ansari, Geschäftsleiter Network Box Deutschland. Ransomware wird in der Regel über verseuchte E-Mail-Anhänge verbreitet. Im Anhang befinden sich beispielsweise gefakte Rechnungen oder Dokumente im Allgemeinen, die mit dem jeweiligen Unternehmen in Verbindung stehen sollen. Andere Verbreitungswege sind zum Beispiel sogenannte Drive-By-Angriffe, bei denen das Opfer auf eine kompromittierte Webseite gelockt wird. Die frühen und einfachen Ransomware-Varianten waren noch mehrheitlich darauf ausgelegt, den Zugang zu einem PC mit einem Sperrbildschirm zu verhindern. Es erschienen Meldungen, dass das System im Zuge einer staatlichen Ermittlung gesperrt worden sei und nur gegen Zahlung eines „Bußgeldes“ freigegeben werden könne.
Neuere Varianten sind dagegen darauf ausgelegt, Dateien zu verschlüsseln, damit der Eigentümer nicht mehr darauf zugreifen kann. Das Passwort zur Entschlüsselung wird den Opfern dann gegen eine Lösegeldzahlung angeboten. Man kann sich jedoch nicht darauf verlassen, dass die Daten wieder freigegeben werden, wie ein aktuelles Beispiel belegt: Die neue Ransomware-Variante „Ranscam“ wurde von Sicherheitsexperten der Firma Cisco untersucht. Diese fanden heraus, dass das Programm überhaupt keine Funktion zum Entschlüsseln der Daten besitzt. Stattdessen lädt die Malware immer nur das gleiche Bild mit der Nachricht, dass die Zahlung bislang nicht eingegangen sei.
Updaten, beobachten, backupen – und sensibilisieren!
Bei Angriffen mit Ransomware rächen sich laut Ansari vor allem die Versäumnisse bei der Absicherung von IT-Infrastrukturen. Vermeidbare Fehler sind zum Beispiel schwache Administrator-Passwörter, veraltete Systeme, schlechte Netzwerksegmentierung und natürlich fehlende Backups.
Geeignete Malware-Scans können Kryptotrojaner in E-Mail-Anhängen und Web-Traffic schon am Gateway entdecken. Zusätzlich kann ein ausgeklügelter Gateway-Schutz Verbindungen von Malware zu externen Kontrollservern identifizieren und unterbinden. So ist es möglich, proaktiv Gefahrenquellen ausfindig zu machen und einzuschreiten, bevor größerer Schaden entsteht.
Wichtig sind auch regelmäßige Backups. Am besten sollten diese mehrmals
täglich angelegt werden. Zu einer professionellen Schutzstrategie gehört außerdem ein zusätzliches, räumlich getrenntes Backup. Damit lässt sich der Systemzustand von vor der Infektion jederzeit wiederherstellen. Sind die einzelnen Bereiche eines Netzwerkes sauber und konsequent voneinander getrennt, kann nur ein Teilsystem infiziert werden. Das begrenzt den Schaden und macht die Wiederherstellung noch einfacher.
Mitarbeiter und Kollegen müssen für das Thema Schadsoftware sensibilisiert werden, gerade weil manche Spam-E-Mail mittlerweile so gut gemacht ist, dass nicht mehr jeder Angriff auf den ersten Blick erkannt werden kann. Es gehört zum Einmaleins der Cyber-Sicherheit, kann aber nicht oft genug betont werden: Halten Sie immer Ihre Firewall und Anti-Virensoftware aktuell.
In einem sind sich jedenfalls sämtliche Security-Experten einig: Das Lösegeld zu bezahlen, ist auf keinen Fall eine Option.
Autor: Axel Pomper, Redakteur funkschau
- Keinen hohen Preis bezahlen
- Perimeterschutz ist nicht alles
- Ransomware Crashkurs
Lesen Sie mehr zum Thema
