Die Welle von Lösegeldforderungen, die derzeit Computer auf der ganzen Welt überschwemmt, könnte für viele Unternehmen ein Problem für ihre Sicherheitsrichtlinien bedeuten. Obwohl diese Angriffe von Tag zu Tag zahlreicher und virulenter werden, ist die Prognose für Lösegeldforderungen alles andere als düster. Um Ihnen zu helfen, den Kopf über Wasser zu halten, hat Stormshield einen Blick auf die aktuellen Entwicklungen geworfen und die sechs jüngsten Beispiele für Lösegeldforderungen vorgestellt. Wir helfen Ihnen, ihre Funktionsweise besser zu verstehen und geben Ihnen einige kostenlose Tipps, damit Sie sich vor Locky und seinen Freunden CTB-Locker, TeslaCrypt, Petya und SamSam schützen können.
Was ist Lösegeldforderung?
Ransomware ist eine bestimmte Art von Malware, die den Zugriff auf den infizierten Computer einschränkt, alle oder einige seiner Funktionen blockiert und vom Benutzer verlangt, innerhalb eines bestimmten Zeitraums ein Lösegeld zu zahlen, wobei in der Regel die digitale Währung Bitcoin verwendet wird. Im Grunde genommen wird Ihr PC nicht nur als Geisel genommen... aber die Zahlung des Lösegeldes garantiert keineswegs, dass Sie die Kontrolle über Ihren Computer zurückerlangen und sicher und gesund auf seinen Inhalt zugreifen können. In den meisten Fällen sind Daten, die in die Hände eines Angreifers fallen, unwiderruflich verloren. Kurze Geschichte der Ransomware.
Verschiedene Arten von Lösegeld
Es gibt zwei Arten von Lösegeldforderungen. Die erste ist die eher traditionelle "Polizei" Lösegeldforderung, die sich in Ihren Browser einklinkt (daher der Name "Browlock") oder Ihren Computer komplett lahm legt. Die zweite Kategorie - die sich immer mehr verbreitet und wahrscheinlich die schädlichere ist - ist "verschlüsselnde Lösegeld-Software" oder "Cryptoware". Die Malware verschlüsselt den gesamten Inhalt Ihres Computers und macht ihn ohne den Entschlüsselungsschlüssel, den der Pirat Ihnen nur gegen Lösegeld gibt, unlesbar.
Wie Ihr PC mit Lösegeld infiziert werden kann
- Eine betrügerische E-Mail (mit einem infizierten Anhang)
- Eine kompromittierte oder bösartige Website
- Installation von Software aus einer unzuverlässigen Quelle
- Soziale Netzwerke (die das Social Engineering erleichtern)
Die zuletzt geborene Lösegeldforderung, die auftaucht
Niemand ist vor Locky sicher
Locky ist eine Art von Kryptoware, die seit Februar sehr im Rampenlicht steht. Sie verbreitet sich derzeit wie ein Lauffeuer in ganz Europa, hauptsächlich durch bösartige Makros in Word-Dokumenten: Die Opfer werden infiziert, wenn sie Anhänge von bösartigen E-Mails herunterladen. Es verschlüsselt Dateien auf ihrer Workstation... manchmal sogar in einem ganzen Netzwerk.
Darüber hinaus entwickelt es sich wöchentlich weiter und nutzt neue Verbreitungsmethoden. Einige Gruppen verbreiten zum Beispiel gerne Malware, indem sie Personen bezahlen, die auf die Ausnutzung von Sicherheitslücken spezialisiert sind. Sie nutzen diese Schwachstellen - insbesondere Zero-Day - um die Kontrolle über Computer zu übernehmen und Locky auf ihnen zu installieren.
CTB Locker - ein neuer, maßgeschneiderter Gegenspieler
CTB-Locker ist ein weiteres Beispiel für cryptoware. Es wurde im Februar entdeckt und zielt auf alle Windows-Versionen (ab Windows XP) und verbreitet sich bevorzugt über Booby-Trapped-E-Mails. Aber es benutzt auch kompromittierte oder bösartige Webseiten. Betrügerische E-Mail-Kampagnen sind effektiv, da sie auf bestimmte Benutzergruppen abzielen, für die die Nachrichten maßgeschneidert wurden (insbesondere in der Sprache der Benutzer). Dadurch sind sie wirkungsvoller als standardisierte E-Mails, die in Massen versendet werden.
Einmal ausgelöst, wandern sie lautlos im Hintergrund durch Ihren Computer. Es gelangt auf alle Ihre Festplatten und Netzwerkfreigaben und stellt eine Liste von Dateien (Office-Dokumente, Bilder, Textdateien usw.) zusammen. Anschließend verschiebt es sie in ein kennwortgeschütztes, verschlüsseltes Archiv.
Um die Erkennung durch die Sicherheitsexperten von Unternehmen zu vermeiden, verfügt CTB-Locker über einen Anti-Debugging-Mechanismus: So kann es virtuelle Maschinen, die von Sicherheitsexperten zur Analyse von Malware verwendet werden, identifizieren und sicherstellen, dass sie nicht auf ihnen ausgeführt werden. Diese besondere Lösegeldforderung ist beunruhigend vielseitig: Es gibt mehrere Varianten, darunter die jüngste - eine Server-Variante - die von einem unserer Stormshield-Experten entdeckt wurde.
TeslaCrypt - der Lösegeld-Trojaner, der seine Karten in der Nähe der Brust hält
Im Februar 2016 haben wir einen ausführlichen Artikel über TeslaCrypt.
Er analysiert alle Laufwerke auf Ihrem Computer und sucht nach Dateien. Es ignoriert Windows selbst und Ihre Anwendungen, so dass Ihr Computer betriebsbereit bleibt. Auf diese Weise kann er immer noch auf das Internet zugreifen und Sie können das Lösegeld bezahlen. Die Datendateien werden mit AES-Verschlüsselung verschlüsselt. Da die AES-Verschlüsselung zu den robustesten gehört, gibt sie Hackern die vollständige Kontrolle über die Dateien der Opfer - sie haben absolut keine Chance, sie unverschlüsselt wiederherstellen zu können. Einige Versionen dieser Malware zielen vor allem auf die PCs von Spielern ab. Sie kann Computer auf verschiedene Weise infizieren, verwendet aber hauptsächlich E-Mails und Exploit-Kits.
Petya - noch aggressiver als Locky
Diese Lösegeldforderung ist sogar noch aggressiver als Locky: Petya verschlüsselt nicht nur Dateien, sondern auch die ersten Sektoren der Systemplatte und verhindert so das Laden des Betriebssystems des PCs. Das Ergebnis ist, dass die anvisierte Maschine komplett funktionsunfähig ist. Diese sehr aggressive Angriffsstrategie zeigt einmal mehr, wie lukrativ diese Art von Malware sein kann.
Der Vorwand, um auf Festplatten zu gelangen, kann z.B. ein Lebenslauf sein, der per E-Mail an die Personalabteilung eines Unternehmens geschickt wird.
Wird das Netzwerk infiziert, ist der Computer völlig unbrauchbar. Bis zur Zahlung des Lösegeldes - was keineswegs das Ende der Affäre garantiert - sind die Daten des Unternehmens gesperrt.
SamSam gräbt das Hash-Set aus
Die Besonderheit dieser neuen Kryptoware ist die Art und Weise, wie sie eine neue Technik, die als "Pass the Hash" bezeichnet wird, verwendet. Dies stellt eine große Bedrohung für die Netzwerksicherheit in Unternehmen dar. PC-Piraten nutzen diese Technik, um Server-Authentifizierungssysteme zu umgehen und so auf vertrauliche Informationen und kritische Anwendungen zuzugreifen. Sobald der Angreifer einen bestimmten Arbeitsplatz kompromittiert hat, kann er seinen Zugriff auf alle Maschinen und das gesamte IT-System eines Unternehmens ausdehnen. Da sie nicht durch Antiviren-Software blockiert werden können, müssen Unternehmen wissen, wie schwerwiegend diese Art von Angriffen sein kann und eine ganz neue Einstellung zu den Risiken einnehmen, denen ihre IT-Infrastruktur ausgesetzt ist.
Samsam hat kürzlich MedStar Health getroffen, eine Organisation, die etwa zehn Krankenhäuser in Maryland und Washington verwaltet. Die Hacker verlangten insgesamt 45 Bitcoins, um alle betroffenen Systeme freizuschalten - rund 18.500 US-Dollar.
Cerber - der neueste Schreckgespenst der Cybersecurity-Gemeinde
Cerber ist das, was als Ransomware As A Service (RaaS) bekannt ist. RaaS ist zwar nicht allein, aber ein Trend, der sich gerade erst abzeichnet und der sich deutlich verbreiten dürfte. Betrüger können nun die Malware kaufen und sie nach Belieben einsetzen. Das cyberkriminelle Netzwerk ist also nicht mehr nur ein kleiner Kreis von Programmierexperten und Softwareautoren. Mit all diesen schillernden Lösegeld-Innovationen wird der Schwarzmarkt der Cyberkriminalität immer fragmentierter und ausgeklügelter. in der Tat wird die Cyberkriminalität immer strukturierter und wird auf breiter Basis kommerzialisiert.
Unverzichtbare Ratschläge, um sich vor Lösegeldforderungen (Ransomware) zu schützen:
- Halten Sie Ihren Computer auf dem neuesten Stand (Ihr Betriebssystem, Ihre Software und Plug-Ins)
- Bewahren Sie Backups Ihrer wichtigsten Dateien auf
- Klicken Sie nicht auf Links aus unbekannten Quellen
Eine neue Generation von "Super Cryptoware"?
Wir können höchstwahrscheinlich erwarten, dass in den kommenden Monaten ein Anstieg an neuer Lösegeld- und Cryptoware entstehen wird, die immer komplexer wird. Dies ist erst der Anfang von Ransomware - und seine Entwicklung wird noch einige Zeit lang für Schlagzeilen sorgen. Lesen Sie mehr über die Cybersicherheits-Trends 2016, um mehr darüber zu erfahren.
Eine der Veränderungen, auf die es zu achten gilt, sind die immer innovativeren Mittel, mit denen sich Lösegeldforderungen propagieren. Beispielsweise nutzen Locky und Cerber manchmal eine Zero-Day-Schwachstelle aus, um sich zu verbreiten; dies kann eine weitaus größere Auswirkung in Bezug auf die Anzahl der infizierten Computer haben als E-Mail. Dieser Trend zeigt, wie unglaublich lukrativ Lösegeldforderungen sein können und ermutigt Angreifer dazu, noch mehr böswillige Anstrengungen zu unternehmen, um möglichst viele Opfer zu bekommen. Da die Profile der Piraten immer vielfältiger werden, trägt diese neue Generation von Lösegeldern auch dazu bei, dass sie noch mächtiger werden.
Nein, Antiviren-Software ist nicht genug
Da Piraten immer komplexere und intelligentere Angriffsszenarien und Malware entwickeln, reicht die einfache Installation von Antiviren-Software nicht mehr aus, um Ihren Arbeitsplatz zu schützen. Malware kann das Signaturanalysesystem leicht überlisten, so dass die proaktive Identifizierung von bösartigem Verhalten - wozu Stormshield Endpoint Security in der Lage ist - jetzt unerlässlich ist, um sowohl bekannten als auch unbekannten Bedrohungen entgegenzuwirken. Die Technologie von Stormshield Endpoint Security kann die gesamte in diesem Artikel erwähnte Lösegeldforderung kontrollieren - die meisten davon, bevor sie überhaupt von der Cybersicherheits-Community identifiziert wurde. Damit Sie verstehen, wie sich unsere Technologie von Ihrer Standard-Antivirensoftware unterscheidet, werfen Sie einen Blick auf unsere Infografik hier.
Sie benötigen einen Watchdog für Ihr Netzwerk
In manchen Fällen - wie z.B. bei Locky - ist Ihr Arbeitsplatz nicht das einzige, was Sie absperren müssen, um sich vor den Gefahren von Lösegeldern zu schützen. Obwohl Stormshield Endpoint Security die Ausführung von Malware auf Ihrem Computer verhindert und/oder die Ausnutzung einer Schwachstelle (über ein Exploit-Kit) verhindert, bietet eine Firewall der neuen Generation - wie Stormshield Network Security - eine zusätzliche Schutzebene auf Serverebene.
Wenn Ihr PC also von Locky infiziert wird, weil Sie ein weniger effektives Antivirenprogramm verwenden, verhindert Stormshield Network Security, dass die Lösegeldforderung einen Verschlüsselungsschlüssel vom Internetserver erhält, so dass Ihre Dokumente nicht verschlüsselt werden können. Und wenn es Ihre Dokumente nicht verschlüsseln kann, kann es Sie nicht gegen Lösegeld aufhalten.