Vor drei Jahren, 2017, litten New Yorker Pendler unter einem Sommer mit überfüllten U-Bahnen und Verspätungen, allgemein der “Höllensommer” genannt. Leider weitete sich der auch gleich auf die Cybersicherheitsbranche aus.
Tatsächlich erlebte die Welt in diesem Sommer das, was nach Einschätzung vieler Sicherheitsexperten zum bisher größten Ransomware-Angriff überhaupt wurde.
Er sorgte vor allem deshalb weltweit für Chaos, weil er unter anderem den Betrieb kritischer Infrastrukturen wie den von Krankenhäusern, Eisenbahnen und der Telekommunikation vorübergehend lahmlegte.
Auf der Liste der bekannten wie berüchtigten Ransomware-Namen steht auch WannaCry, die im Mai 2017 das Licht der Welt erblickte. Der Name WannaCry war durchaus Programm, und allein die schiere Menge an teils schwerwiegenden Störungen, brachte den Begriff Ransomware nachhaltig ins Bewusstsein einer breiten Öffentlichkeit. WannaCry missbrauchte zwei von der NSA entwickelte Exploits, die von der Hackergruppe Shadow Brokers veröffentlicht wurden. Berichten zufolge wurden hunderttausende Endpunkte in 150 Ländern weltweit infiziert. Dazu kam zunächst das Tool DoublePulsar zum Einsatz und öffnete eine Backdoor, für die auf einem Endpunkt zu installierende Ransomware. Dann wurde mit EternalBlue eine nicht gepatchte Schwachstelle im Betriebssystem von Microsoft ausgenutzt, um die Daten auf dem jeweiligen Endpunkt zu verschlüsseln und die übliche Lösegeldforderung zu stellen. Der der britische NHS war nur einer von tausenden WannaCry-Geschädigten. Insgesamt wurden bei dem Angriff etwa zweihunderttausend Computer gekapert und Verluste von über 92 Millionen Pfund gemeldet. Kurz darauf, im Juni desselben Jahres, folgte NotPetya. Zunächst tauchte die Malware in der Ukraine als gefälschtes Steuersoftware-Update auf, bevor sie Geräte in über hundert Ländern infizierte.
Etwa zum selben Zeitraum rückt das Ransomware-as-a-Service (RaaS)-Modell in den Vordergrund. Anstatt einen Angriff selbst auszuführen, haben Ransomware-Autoren ihren sorgfältig erstellten Code gegen eine Gewinnbeteiligung an Partnerunternehmen auszulagern. RaaS veränderte die Dynamik der Cyberkriminalität erheblich. Jetzt konnten sich auch technisch weniger versierte Hacker an ziemlich profitablen Unternehmungen beteiligen. GandCrab ist ein bemerkenswertes Beispiel. Die Ransomware tauchte erstmals Anfang 2018 auf. Ihr Entwickler bot Interessierten im Rahmen einer gemeinsamen Phishing-Kampagne, die Möglichkeit einer Gewinnbeteiligung von 60/40 an den Lösegeldzahlungen. Im Laufe eines Jahres reklamierten die GandCrab-Autoren Einnahmen von über 150 Millionen Dollar für sich und verhalfen ihren Partnern angeblich zu weiteren Einnahmen in Höhe von insgesamt 2 Milliarden US-Dollar. Gand-Crab ist zwar ziemlich schnell von der Bildfläche verschwunden, allerdings nur um von Ransomware-as-a-Service wie Sodinokibi von REvil ersetzt zu werden.
Etlichen Cyberkriminellen ist allerdings das mit Ransomware-Zahlungen verbundene Unsicherheitsmoment schon lange ein Dorn im Auge. Ein Grund, das sogenannte “Doxxing” in das Angriffsarsenal aufzunehmen. Dabei werden die Daten vor der Verschlüsselung zunächst auf einen vom Angreifer kontrollierten Server exportiert. Die Androhung eines Daten-Leaks wird dazu benutzt, den Einsatz zu erhöhen und die Opfer zur Zahlung zu bewegen. Im Worst-Case-Szenario werden die Daten im Dark Web gegen Gebühr verkauft.
Die neueste Entwicklung in der Geschichte der Ransomware sind gezielte Angriffe gegen Betriebstechnologien (OT) und industrielle Steuerungssysteme (ICS). Während wir in der Vergangenheit eine Reihe von staatlich geförderten Hacking-Kampagnen gegen industrielle Steuerungssysteme erlebt haben, wurden wir inzwischen Zeuge, dass auch durchschnittliche Cyberkriminelle in diesen Bereich vordringen. Die im Dezember 2019 entdeckte Ransomware Ekans oder auch Snake scheint wohl der nachweislich erste Angriff dieser Art zu sein, bei dem Cyberkriminelle OT und ICS aus reiner Profitgier ins Visier genommen haben. Mit Beginn der Corona-Pandemie haben diese Fälle weiter zugenommen.
Ransomware in ihren mannigfachen Spielarten ist gekommen, um zu bleiben. Was sollten Unternehmen angesichts dessen tun?
Erstens: Auch wenn Ransomware sich weiterentwickelt hat und raffinierter geworden ist, wird sie doch weiterhin auf die gleiche Art und Weise verbreitet. Zum überwiegenden Teil wird die Erpressersoftware immer noch erfolgreich über Phishing-E-Mails verteilt. Eine effiziente Eindämmungsstrategie sind Schulungen und Mitarbeitertrainings, die das Sicherheitsbewusstsein verbessern. Je mehr Mitarbeiter wissen, worauf sie achten müssen, desto besser. Darunter niemals Anhänge aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen oder auf nicht verifizierte Links klicken.
Zweitens sollten Unternehmen aktiv dafür sorgen, dass alle Schwachstellen zügig gepatcht und sämtliche Betriebssysteme sowie Software von Drittanbietern regelmäßig upgedated werden. Für den Fall, dass dies für einen Endpunkt nicht möglich ist, sollten Unternehmen ein ” Social Distancing” für Assets in Erwägung ziehen. Auf diese Weise wird die Verbreitung von Ransomware minimiert. Darüber hinaus helfen Endpunkt-Sicherheitslösungen, Bedrohungen fast sofort zu erkennen und zu blockieren, ehe sie in das System eindringen.
Unternehmen sollten regelmäßig Backups von privaten Geräten und Unternehmenssystemen erstellen. Die Daten wiederherzustellen macht nach einem Ransomware-Vorfall den größten Teil des Aufwands aus. Und schließlich sollten Sie darauf verzichten, ein gefordertes Lösegeld zu zahlen, es sei denn, es gibt im konkreten Fall keine Alternative. Behalten Sie im Hinterkopf, dass Ehrlichkeit unter Dieben eher die Ausnahme ist. Das Lösegeld zu zahlen, gewährleistet nicht unbedingt, dass Sie den Entschlüsselungscodes zum Entsperren der Dateien tatsächlich bekommen. Wer profitiert, sind in jedem Fall die Angreifer, und Lösegeldzahlungen verschaffen ihnen die nötigen Ressourcen, um in weitere, komplexere Angriffe zu investieren. Abgesehen von der Tatsache, dass die Opfer Ransomware-Angriffe so als eine immer noch ausgesprochen lukrative Methode promoten.