Wieland Alge im Interview: Vier Antworten zu Ransomware

Cyberangriffe treffen auf Unternehmen stärker als jemals zuvor. Dieser besorgniserregende Trend ruft die internationalen Sicherheitsexperten auf den Plan. IT-Profi Wieland Alge von Barracuda beantwortet im Interview alle Fragen rund um Ransomware.

Die Entwicklung der Ransomware

Ein Ausblick von Wieland Alge, VP & GM EMEA bei Barracuda Networks

Ransomware-Angriffe sorgen häufig für Schlagzeilen und das wird wohl auch in absehbarer Zukunft so bleiben. Tatsächlich hat, laut Verizons gerade veröffentlichten 2016 Data Breach Investigation Report, die Anzahl der Angriffe im Vergleich zum Vorjahr weltweit um 16 Prozent zugenommen – ein besorgniserregender Trend für Sicherheitsexperten. Aber was steckt hinter dem explosionsartigen Anstieg dieser relativ neuen Form von Cyberangriffen? Um diese Frage zu beantworten, müssen wir zunächst einen Blick auf die Entwicklung der Ransomware werfen.

Was ist Ransomware?

Ransomware ist Schadsoftware für eine bestimmte Art von Cyberangriff, bei dem die Opfer zur Zahlung von Lösegeld (engl. ransom) für die Herausgabe ihrer im Zuge des Angriffs verschlüsselten Daten erpresst werden. Die ersten Ransomware-Programme waren als Software zum Entfernen von Spyware oder zur PC-Bereinigung getarnt.Diese setzten nicht auf die Verschlüsselung von Daten, sondern beschädigten die PCs der Betroffenen und boten gegen Bezahlung eine Anwendung zur Schadensbehebung an.

Einige Jahre später wurde diese Form von Angriffen von gefälschten Antivirenprogrammen abgelöst. Diese ähnelten zwar den früheren Angriffsversuchen mit Ransomware, gingen aber noch einen Schritt weiter, indem sie die Benutzer zu mehrjährigen Zahlungen für Support erpressten.

2011 kam dann die auf Verschlüsselung basierende Ransomware auf. Dabei handelt es sich um Schadsoftware, die den Zugriff auf die befallenen Computersysteme verhindert. Parallel zur Verbesserung der Schutz- und Wiederherstellungsmethoden entwickelte sich auch die Ransomware weiter. Dabei entstand die inzwischen stark verbreitete Crypto-Ransomware. Im Folgenden sind die drei aktuell bekanntesten der mittlerweile unzähligen Ransomware-Varianten aufgeführt:

1. CryptoWall: Die älteste der drei Varianten, für die auch weltweit der größte Anteil (83,45 Prozent) an mit Ransomware befallenen Systemen verzeichnet wird.

2. Locky: Dies ist die neueste der drei wichtigsten Ransomware-Varianten, die sich am schnellsten verbreitet und am höchsten entwickelt ist. Sie ist für 16,47 Prozent der Ransomware-Angriffe verantwortlich, die zwischen dem 17. Februar und dem 2. März 2016 erfolgt sind.

3. TeslaCrypt: Diese Malware wurde vorwiegend durch gekaperte WordPress- und Joomla-Websites verbreitet und ist für 0,08 Prozent aller Infektionen verantwortlich. Allerdings markieren aktuelle Berichte über die Veröffentlichung des Master Keys für die Entschlüsselung von TeslaCrypt durch seinen Entwickler das Ende dieser Ransomware-Variante.

Gründe für die zunehmende Verbreitung

Es gibt mehrere Gründe für die rasante Verbreitung von Ransomware-Angriffen in den letzten Jahren. Einer davon ist der technische Aspekt. Die Entwicklung von effektiver Ransomware ist einfacher geworden. Inzwischen wird sie sogar als „Ransomware-as-a-Service“ angeboten. Allerdings spielen auch andere bedrohlichere Faktoren eine Rolle. Aufgrund des digitalen Wandels der Kriminalität gibt es inzwischen „professionelle“ Internetkriminelle, die sich auf das Erpressen von Lösegeld und die Geldwäsche spezialisiert haben. Das Aufkommen digitaler Zahlungssysteme wie Bitcoin erleichtert den Angreifern zudem den anonymen Geldtransfer und vereinfacht ihnen die Erpressung, ohne dass ihre Spuren verfolgt werden können.

Entsprechend ist es einerseits für technisch versierte Personen einfacher, erfolgreiche eine kriminelle Laufbahn zu starten. Und andererseits setzen organisierte Kriminelle die digitalen Methoden äußerst effektiv ein.

Angriffsstrategien der Ransomware: Nutzer im Fokus

Eine Zeit lang waren clever formulierte E-Mails das Mittel der Wahl für potenzielle Angreifer, doch inzwischen gibt es andere, ähnlich effektive Möglichkeiten, die PCs von Opfern zu infizieren. Außerdem sind Ransomware-Angriffe mittlerweile Bestandteil der meisten Exploit-Kits, die PCs über Drive-By-Downloads gänzlich ohne aktives Zutun des Nutzers angreifen.

Fast alle Strategien zielen dabei auf das Verhalten der Benutzer ab. Entweder werden sie durch raffinierte Phishing-E-Mails dazu gebracht, angehängte Dateien zu öffnen oder Links zu vermeintlich seriösen Websites aufzurufen, sie können aber auch beim Surfen im Internet auf verseuchte Seiten gelangen. Hochentwickelte Software zur Erkennung von Bedrohungen kann vor einigen dieser Angriffsmethoden schützen, greift jedoch nicht, wenn der Befall über das Internet erfolgt.

Bei den Angriffen per E-Mail gehen die Täter inzwischen immer geschickter vor: Anstatt die Opfer aufzufordern, einen Anhang zu öffnen, der leicht zu blockieren oder zu überprüfen ist, leiten sie sie an eine gefälschte Website weiter, über welche die PCs der Betroffenen infiziert werden. E-Mail-Sicherheitsprogramme nehmen aufwendige Website-Authentifizierungen vor. Dabei überprüfen sie unter anderem, ob die URL zur Domain des Absenders gehört, vergleichen die Website mit bekannten gefälschten Websites, überprüfen sie auf gültige Zertifikate usw. Allerdings können Websites Weiterleitungen aufweisen, und in den meisten Fällen sind nicht die Sicherheitsprogramme das Problem, sondern die Benutzer. Sie lassen sich dazu verleiten, eine Website zu öffnen, und klicken auf den präsentierten Link.

Weitere Themen von Barracuda? Dann könnte Sie dieser Beitrag zur EMEA Conference 2016 interessieren!

So können sich Benutzer schützen

Ransomware-Angriffe werden künftig wahrscheinlich auch auf andere Plattformen wie Macs, und IoT-Endgeräte übergreifen und die erfolgreichsten Ransomware-Varianten werden sich weiterentwickeln und den Schutzmaßnahmen einen Schritt voraus bleiben – wie die jüngst entdeckte neue Variante von Locky erahnen lässt. Benutzer sollten daher vielschichtige Maßnahmen implementieren, um ihre Netzwerke bestmöglich zu schützen. Dazu zählen vor allem drei Sicherheitskomponenten: Next Generation FirewallsE-Mail-Ssecurity und Backup Lösungen, mit denen Folgendes abgedeckt werden kann:

• Hochentwickelte Technologien zur Erkennung von Bedrohungen, die verdächtige oder unbekannte Dateien in einer Sandbox-Umgebung ausführen, bevor sie an die Benutzer weitergeleitet werden.

• Webfilter, um Drive-By-Downloads und Phone Home-Versuche mithilfe eines Web Security Gateways oder anderer Webfilterlösungen zu unterbinden.

• E-Mail-Schutz am Standort oder in der Cloud (z.B. Office 365), um E-Mails zu identifizieren und abzufangen, die mit Ransomware und anderer Malware infiziert sind, bevor sie in die Postfächer der Benutzer gelangen.

• Sicherheitsrichtlinien, um Office-Makros und andere potenzielle Angriffspfade zu deaktivieren.

• Datensicherungen, um Backups aller Daten sowie einen Disaster Recovery-Plan vorzuhalten, damit Daten im Fall eines Ransomware-Angriffs wiederhergestellt werden können.

Internetkriminellen ist es egal, wer ihre Opfer sind, ihnen kommt es nur darauf an, dass diese zahlen. Zur Zielscheibe sind Organisationen aller Größen geworden – in jüngster Vergangenheit waren vor allem das Gesundheitswesen und der öffentliche Sektor betroffen. Doch auch wenn sich Ransomware ständig weiterentwickelt, können sich Benutzer effektiv davor schützen. Ein mehrstufiger Sicherheitsansatz in Kombination mit der Schulung von Benutzern bzw. Mitarbeitern ist die vielversprechendste Strategie für den Schutz vor Ransomware.