29 September 2015

Kroll Ontrack warnt: Ransomware-Attacken auf Unternehmen nehmen zu

Vor allem virtuelle Laufwerke befinden sich im Fadenkreuz der Cyber-Kriminellen

Böblingen, 29. September 2015 – Mittlerweile sollte jeder schon einmal von sogenannter Ransomware gehört haben. Diese Malware sorgt dafür, dass die Geschädigten nicht mehr auf ihre Daten zugreifen können und fordern ein- oder mehrmalige Zahlungen, damit diese Sperre aufgehoben wird. Bislang waren vor allem Privatpersonen Opfer derartiger Attacken. Das ändert sich nach Erkenntnissen von Kroll Ontrack, Experte für Datenrettung und E-Discovery, gerade. Mittlerweile geraten auch immer mehr Unternehmen ins Visier der Hacker und Cyber-Kriminellen.

Fast wöchentlich liest man von neuer Malware, die die Geräte der Nutzer als Geisel nehmen und diese nur wieder gegen Zahlung von Geld freigeben – Ransomware ist mittlerweile allgegenwärtig. Dabei infizieren sich die Anwender meist entweder über manipulierte Software oder Links beziehungsweise Datenanhänge in Spam-Mails. Gerade der Weg über die E-Mail stellt dabei ein äußerst komfortables Einfalltor für Hacker dar. So können ohne großen Aufwand Schutzmaßnahmen wie Firewalls und ähnliches ganz einfach umgangen werden. Dies ist daher auch die häufigste Art und Weise, wie Unternehmen Opfer solcher Angriffe werden.

Nach Auskunft von Kroll Ontrack laufen die Attacken dabei in Wellen ab. Diese ebben immer dann ab, wenn die Anti-Viren-Software-Hersteller ihre Programme aktualisieren. Doch sind die Cyber-Kriminellen ihren Gegnern meist mindestens einen Schritt voraus: Oft herrscht nur wenige Tage Ruhe, dann steht die neueste Ransomware bereit.

Die Evolution des Verbrechens
Die Methoden, nach denen die Hacker dabei vorgehen, haben sich in den letzten Jahren stark verändert. Wurden früher die Nutzerdaten einfach in einem Zip-File verschlüsselt, setzen die Verbrecher mittlerweile auf Technologien wie beispielsweise CryptoLocker oder Curve-Tor-Bitcoin (CTB) Locker. Gerade letzteres ist besonders perfide, da dabei die Daten der Betroffenen innerhalb des Tor-Netzwerks – im Volksmund auch Darknet genannt – versteckt werden. Die Angriffe werden in den meisten Fällen von Ländern ausgeführt, die keine dedizierte Gesetzgebung gegen Cyber-Attacken haben. Die Kriminellen sitzen also eher in Afrika als beispielsweise in Europa oder Nordamerika.

Unternehmen im Fadenkreuz
Derzeit geraten vermehrt Unternehmen ins Visier der Hacker, da hier deutlich mehr Ausbeute zu holen ist als bei Privatpersonen. Die Ransomware greift dabei gezielt virtuelle Laufwerke an, löscht diese komplett und repliziert die Dateien auf die Server der Cyber-Kriminellen. Die geschädigten Unternehmen erfahren meist erst dann von der virtuellen Geiselnahme, wenn es zu spät ist. Dann finden sie statt ihrer virtuellen Laufwerke ein Schreiben der Hacker, in dem diese die Sicherheitsmaßnahmen kritisieren und Lösegeld für die Daten fordern. Diese Forderung geht meist mit der Drohung einher, die vertraulichen Unternehmensdaten auf dem offenen Markt zu verkaufen, sollte dem nicht nachgekommen werden.

Dies war auch der Fall bei einem kürzlich von Kroll Ontrack bearbeiteten Auftrag. Hier wurde eine Bezahlung in Bitcoins gefordert, ansonsten drohten die Kriminellen damit, die Daten innerhalb von zwei Wochen an den Meistbietenden zu versteigern. Glücklicherweise waren die Experten von Kroll Ontrack in der Lage, die Daten des Kunden vollständig wiederzubeschaffen, so dass das Unternehmen den Forderungen der Verbrecher nicht nachkommen musste.

Peter Böhret, Managing Director Kroll Ontrack GmbH, erklärt: „Auch wenn sich die Methoden der Cyber-Kriminellen für ihre Ransomware-Angriffe stetig weiterentwickeln, haben unsere Spezialisten doch ihre eigenen Methoden, Daten wiederzubeschaffen und wiederherzustellen. So sparen sich Unternehmen das Lösegeld und kommen trotzdem wieder an ihre Daten. Dabei sehen wir klar den Trend weg von breiten Attacken gegen Einzelpersonen und Kleinunternehmen und stattdessen hin zu gezielten Angriffen auf größere Firmen.“

Daher empfiehlt Kroll Ontrack Unternehmen, sich mit den folgenden Maßnahmen gegen Ransomware zu schützen:

  • Immer die aktuellste Anti-Viren-Software installiert haben – und diese auch zu aktualisieren
  • Regelmäßig Backups machen und diese auf Geräten außerhalb des Firmennetzwerks absichern
  • Backups der virtuellen Laufwerke auf Geräten an einem anderen Ort lagern Böhret ergänzt: „Die älteren Ransomware-Programme sind bereits seit längerem vollständig analysiert und es existieren auch Gegenmittel. Doch entwickelt sich die Malware immer weiter und die Zahl der Angriffe steigt. Der Schlüssel für Unternehmen liegt also darin, die Daten stets regelmäßig zu sichern und vertrauenswürdige Partner zu haben, wenn eine Datenrettung nötig sein sollte."