Was ist Ransomware?

Ransomware ist eine Art von Malware (Schadsoftware), die auf verschiedene Weise in Erscheinung treten kann und sowohl einzelne Systeme als auch Netzwerke von Unternehmen, Krankenhäusern, Flughäfen und Regierungsbehörden befallen kann.

Ransomware wird seit ihrem ersten Auftreten im Jahr 1989 ständig verbessert und immer ausgefeilter. Während es sich bei einfachen Formaten in der Regel um Ransomware ohne Verschlüsselung handelt, werden bei modernen Formaten kryptografische Methoden verwendet, um Dateien zu verschlüsseln und unzugänglich zu machen. Verschlüsselungs-Ransomware kann auch auf Festplatten verwendet werden, um das Betriebssystem eines Computers vollständig zu sperren und dem Opfer den Zugriff darauf zu verwehren. Das letztendliche Ziel besteht darin, die Opfer dazu zu bringen, ein Lösegeld für die Entschlüsselung zu zahlen. Dies wird normalerweise in schwer nachvollziehbaren digitalen Währungen (wie Bitcoin oder anderen Kryptowährungen) verlangt. Es gibt jedoch keine Garantie dafür, dass die Angreifer die Zahlung akzeptieren.

Die Popularität von Ransomware hat im letzten Jahrzehnt (insbesondere im Jahr 2017) deutlich zugenommen. Als finanziell motivierter Cyberangriff stellt sie derzeit – wie Europol berichtet (IOCTA 2018) – die größte Malware-Bedrohung weltweit dar.


Wie werden Opfer gemacht?

  • Phishing: eine häufige Form des Social Engineering. Im Zusammenhang mit Ransomware sind Phishing-E-Mails eine der häufigsten Formen der Verbreitung von Malware. Die Opfer werden normalerweise über manipulierte E-Mail-Anhänge oder Links infiziert, die als legitim getarnt sind. In einem Computernetzwerk kann ein einziges Opfer ausreichen, um eine ganze Organisation zu kompromittieren.

  • Exploit-Kits: ein Paket aus verschiedenen Schadtools und vorgefertigtem Exploit-Code. Diese Kits sind darauf ausgelegt, Probleme und Schwachstellen in Softwareanwendungen und Betriebssystemen auszunutzen, um Schadsoftware zu verbreiten (unsichere Systeme mit veralteter Software sind die häufigsten Ziele).

  • Malvertising: Angreifer nutzen Werbenetzwerke, um Ransomware zu verbreiten.


Wie schützen Sie sich vor Ransomware-Angriffen?

  • Nutzen Sie externe Quellen, um Ihre Dateien regelmäßig zu sichern, sodass Sie sie nach der Beseitigung einer möglichen Infektion wiederherstellen können;

  • Seien Sie vorsichtig mit E-Mail-Anhängen und Links. Klicken Sie nicht auf Anzeigen und Websites unbekannter Quelle.

  • Installieren Sie ein vertrauenswürdiges Antivirenprogramm und halten Sie Ihre Softwareanwendungen und Ihr Betriebssystem auf dem neuesten Stand;

  • Aktivieren Sie die Option „Dateierweiterungen anzeigen“ in den Windows-Einstellungen, damit Sie die Erweiterungen Ihrer Dateien einfach überprüfen können. Vermeiden Sie Dateierweiterungen wie .exe, .vbs und .scr.

  • Vermeiden Sie den Besuch von Websites, die nicht durch das HTTPS-Protokoll gesichert sind (d. h. URLs, die mit „https://“ beginnen). Bedenken Sie jedoch, dass viele bösartige Websites das HTTPS-Protokoll implementieren, um die Opfer zu verwirren, und das Protokoll allein garantiert nicht, dass die Website legitim oder sicher ist.

  • Besuchen Sie NoMoreRansom.org, eine Website von Strafverfolgungsbehörden und IT-Sicherheitsunternehmen, die sich für die Bekämpfung von Ransomware einsetzen. Die Website bietet kostenlose Entschlüsselungs-Toolkits für infizierte Benutzer sowie Ratschläge zur Prävention.


Beispiele für Ransomware

GrandCrab (2018)

Die Ransomware tauchte erstmals im Januar 2018 auf und forderte in weniger als einem Monat über 50.000 Opfer, bevor sie durch die Arbeit der rumänischen Behörden zusammen mit Bitdefender und Europol (ein kostenloses Datenwiederherstellungskit ist verfügbar) unterbrochen wurde. GrandCrab wurde über Malvertising und Phishing-E-Mails verbreitet und war die erste bekannte Ransomware, die eine Lösegeldzahlung in der Kryptowährung DASH verlangte. Das anfängliche Lösegeld variierte zwischen 300 und 1500 US-Dollar.


WannaCry (2017)

Ein weltweiter Cyberangriff, der in 4 Tagen über 300.000 Computer infizierte. WannaCry verbreitete sich über einen Exploit namens EternalBlue und zielte auf Microsoft Windows-Betriebssysteme (die meisten betroffenen Computer liefen unter Windows 7). Der Angriff wurde durch Notfallpatches von Microsoft gestoppt. US-Sicherheitsexperten behaupteten, Nordkorea sei für den Angriff verantwortlich, obwohl keine Beweise vorgelegt wurden.


Böser Hase (2017)

Eine Ransomware, die als gefälschtes Adobe Flash-Update verbreitet wurde, das von kompromittierten Websites heruntergeladen wurde. Die meisten infizierten Computer befanden sich in Russland und die Infektion war von der manuellen Installation einer EXE-Datei abhängig. Der Preis für die Entschlüsselung betrug damals rund 280 US-Dollar (0,05 BTC).


Locky (2016)

Normalerweise wird es per E-Mail als Rechnung mit Zahlungsaufforderung und infizierten Anhängen verbreitet. 2016 wurde das Hollywood Presbyterian Medical Center von Locky infiziert und zahlte ein Lösegeld von 40 BTC (damals 17.000 US-Dollar), um wieder Zugriff auf die Computersysteme des Krankenhauses zu erhalten.