Go to Top

Anatomie eines Ransomware-Angriffs

Ransomware

2016 war das Jahr der Erpressungs-Malware. Dabei werden Daten durch eingeschmuggelte Schadprogramme verschlüsselt und so unbrauchbar gemacht. Erst nach Zahlung von „Lösegeld“ sind die Daten wieder nutzbar.

Diese Art der Erpressung ist nicht neu. Schon 1989 konnte der Trojaner „AIDS.exe“ Dateien verstecken und so unbenutzbar machen. Allerdings änderte das Programm nur die Dateinamen, die Inhalte blieben unverändert. Das änderte sich im Jahr 2008, als die Schadprogramme begannen, die Dateiinhalte zu verschlüsseln. Ohne den passenden Schlüssel waren die Daten nicht mehr zu retten. Problematisch war damals – wie bei „echten“ Entführungen – die Übergabe des Lösegelds. Das wiederum änderte sich im Jahr 2013. Mit Bitcoin als Zahlungsmittel war der Geldfluss nicht mehr nachvollziehbar und der Erfolg der Schadsoftware nicht mehr aufzuhalten.

Mit Hilfe von verseuchten Werbebannern und Websites wurde die Malware ausgestreut. E-Mail Anhänge wurden gerne benutzt wie auch die klassische Methode des auf dem Parkplatz oder der Toilette „verlorenen“ USB-Sticks, der ein Schadprogramm enthielt, das beim Einstecken den Rechner infizierte.

Inzwischen sind die Programme stark verbessert worden, auch die Auswahl der Opfer hat sich gewandelt. Während früher eher auf Quantität gesetzt wurde – viele Opfer mit geringen Lösegeldforderungen ergaben eine nette Summe – wird inzwischen gezielt das mittlere und obere Management aufs Korn genommen. Mit Hilfe von Spear-Phishing werden CEOs ausgespäht und direkt angeschrieben. Die Mails sind so verfasst, dass der Adressat davon ausgehen muss, sie kämen von einer bekannten und hochrangingen Person, meist aus demselben Unternehmen. Beim Öffnen des Anhangs wird das Opfer zum Klick auf einen Link aufgefordert, der im Hintergrund eine größere Aktion startet. Die Malware wird geladen und gestartet.

Das Programm nimmt nach der Installation Kontakt zu einem oder mehreren sogenannten Command and Control (C&C) Servern auf. Von dort werden modernste Hacker-Tools auf den infizierten Rechner geladen, die sich festsetzen und dafür sorgen, dass auch im Falle einer sofortigen Trennung des Gerätes vom Netz (was bei älteren Schadprogrammen die Verschlüsselung der Daten noch aufhalten konnte) die Schadroutine nach einem Neustart des Computers wieder in Gang gesetzt wird.

Trickreich setzt sich ein Teil der Malware im Autostart-Ordner fest, ein anderer Teil treibt in der Registry sein Unwesen. Unterprogramme versuchen ins Firmennetzwerk zu gelangen, was bei Opfern mit höheren Zugangsrechten mehr Erfolg verspricht als bei „einfachen“ Angestellten. Was es bedeutet, wenn ein solches Programm sich übers Firmennetzwerk ausbreiten kann, ist leicht vorstellbar.

Besonderen Wert legt moderne Erpressungs-Software auf den Befall von Backup-Medien. Diese sind die ersten Ziele, denn mit Hilfe eines zeitnahen Backups können die meisten Probleme, die durch  die Geiselname von Daten entstehen, umgangen werden. Daher sorgt die Software dafür, dass auch die Dateien eines Backups nicht mehr benutzbar sind.

All das passiert in aller Stille. Vor Beendigung des Infiltrationsprozesses soll möglichst niemand ahnen, dass Unheil droht. Sind alle Vorbereitungen getroffen werden die Daten verschlüsselt und die Lösegeldforderung erscheint auf den Bildschirmen der befallenen Computer. Die geforderte Summe wird möglichst aus Informationen der Buchhaltung über die Umsätze des Unternehmens errechnet, sie bewegt sich häufig im fünf- oder sechsstelligen Bereich.

Die Erfolgsquote ist erschreckend hoch. Eine Umfrage von Osterman Research in Amerika, Kanada, Großbritannien und Deutschland zeigt, dass von den befragten 540 Firmen mit durchschnittlich 5400 Angestellten fast 40 Prozent bereits Probleme mit Ransomware hatten. Mehr als ein Drittel davon mussten Umsatzeinbußen hinnehmen, 20 Prozent wurden durch den Datenverlust ruiniert.

Wer sich ein genaues Bild des Ablaufs einer Attacke des neuesten und gefährlichsten Erpresser-Programms CryptoWall 3.0 (CW3) machen will findet auf sentinelone.com den Ablauf einer Attacke in englischer Sprache beschrieben. Verständlich ist der Text allerdings nur für technisch versierte Leser.

Bildnachweis:

Markus Spiske raumrot.com/www.pexels.com/ CC0 license