Denken Sie, Sie kennen Ransomware? Überlegen Sie nochmals!

Autor/Redakteur: Michael Gerhards, Head of CyberSecurity bei Airbus CyberSecurity/gg

Im vergangenen Jahr gab es einen starken Anstieg der Zahl groß angelegter Ransomware-Attacken auf globaler Ebene. Ein aktueller Bericht von Druva schätzt, dass jeden Tag 4.000 Ransomware-Angriffe stattfinden und ein Bericht von Verizon stuft Ransomware als die Nummer eins der von Cyberkriminellen im Jahr 2017 verwendeten Crimeware ein. Auch das britische National Cyber Security Centre hat Ransomware als die häufigste Cyber-Erpressungsmethode identifiziert, die von Cyberkriminellen eingesetzt wird, um Unternehmen anzugreifen.

Ransomware ist eine Art von Malware, die den Zugriff auf einen Computer oder seine Daten einschränkt und im Austausch für die Rückgabe der Daten Geld verlangt. Die Schadprogramme werden dabei mittels Phishing-E-Mails, Spam-Kampagnen, Drive-Bys oder anderen Programmen verbreitet, die von einem unvorsichtigen Benutzer, der eine infizierte Website besucht, auf seinen Computer heruntergeladen werden. Im Mai 2017 löste WannaCry, eine der bekanntesten Ransomware-Varianten der Welt, globale Panik aus, als sie den National Health Service (NHS) in Großbritannien traf und Krankenhäuser in der Folge nicht mehr in der Lage waren, auf Patientendaten zuzugreifen.

In über 150 Ländern wurden Unternehmen und Institutionen verschiedenster Branchen angegriffen, darunter Bahnhöfe, Universitäten und sogar ein nationales Telekommunikationsunternehmen. Die publikumswirksamen WannaCry-Angriffe machten deutlich, wie abhängig Organisationen von ihren Daten sind und welche Folgen es hat, wenn der Zugang zu ihnen eingeschränkt wird. Wenn Organisationen nicht auf ihre Daten zugreifen können, können sie in einigen Fällen stark beeinträchtigt oder gar handlungsunfähig werden. Woher kommt die Bedrohung durch Ransomware, ist sie ein neues Phänomen, wie entwickelt sie sich und vor allem, wie können sich Unternehmen und Organisationen dagegen schützen?

Die Geschichte der Ransomware

Ransomware ist nicht neu, es gibt sie bereits seit 1989. Der erste dokumentierte Fall ist der AIDS-Trojaner (oder PC-Cyborg-Ransomware) von Joseph Popp, der 20.000 infizierte Diskettenlaufwerke an die Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisationen verteilt hatte. Seitdem ist Ransomware immer häufiger aufgetaucht, da mit dieser Technik viel Geld verdient werden kann.

Im Jahr 2017, schätzt der Bericht von Druva, hat sich die Ransomware-Industrie vervierfacht und schätzungsweise den Umfang von einer Milliarde Dollar erreicht. Aufgrund der enormen finanziellen Rendite von Ransomware entwickeln Cyberkriminelle ständig neue Varianten, um mehr Opfer zu erreichen und Sicherheitsvorkehrungen zu umgehen.

Die neuesten Ransomware-Varianten haben ausgefeilte Strategien für die Verbreitung der Malware entwickelt. Während die meisten Lösegeldforderungs-Programme in der Regel irgendeine Art der Benutzerinteraktion erfordern, haben neuere Untersuchungen gezeigt, dass Hacker Systeme mit WannaCry infiziert haben, indem sie eine RCE-Schwachstelle (Remote Code Execution) ausnutzten, die es ihnen ermöglichte, nicht gepatchte Systeme ohne Benutzerinteraktion zu infizieren. Dies ist eine Vorgehensweise, die bisher eher mit einem Wurm als mit Ransomware in Verbindung gebracht wurde.

Bezahlen oder nicht bezahlen

Das große Dilemma, vor dem eine Organisation steht, sobald sie mit Ransomware infiziert ist, ist die Frage, ob sie die Forderung zahlen soll oder nicht. Dies gilt insbesondere für Unternehmen, die nicht über eine umfassende Backup-Strategie verfügen und Gefahr laufen, den Zugriff auf ihre Dateien vollständig zu verlieren, wenn sie nicht zahlen.