Erpressung via Ransomware

So schützen Unternehmen sich vor Krypto-Trojanern

| Autor / Redakteur: Dr. Christopher Kunz / Peter Schmitz

Ransomware ist für Unternehmen zunehmend eine große Bedrohung. Die wirksamste Maßnahme gegen Krypto-Trojaner ist ein aktuelles Backup.
Ransomware ist für Unternehmen zunehmend eine große Bedrohung. Die wirksamste Maßnahme gegen Krypto-Trojaner ist ein aktuelles Backup. (© santiago silver - Fotolia)

Der aktuelle Trend in Bezug auf Malware heißt Ransomware. Sie heißen Locky, Coinvault, Bitcryptor, Teslacrypt, Cryptolocker und Cryptowall, um nur einige zu nennen und sie alle arbeiten nach demselben Prinzip. Einnisten, Daten verschlüsseln und dann die Uer erpressen.

Einer der besorgniserregendsten Security-Trends der letzten beiden Jahre ist zweifelsohne die massenhafte Verbreitung von Krypto-Trojanern. Diese Untergattung der sogenannten „Ransomware“, also erpresserischer Malware, agiert besonders perfide – sie verschlüsselt alle Dateien auf dem Computer des Opfers und fordert zur Entschlüsselung eine anonyme Überweisung.

Wurden zu Beginn der aktuellen Ransomware-Welle meist Privatpersonen Opfer der Krypto-Trojaner, hat die Szene der Cyberkriminellen nun verstärkt Unternehmen ins Visier genommen, vor allem, weil hier mehr Geld zu holen ist. Für Anwender und Firmen, die mit großen Datenmengen arbeiten wird es daher immer wichtiger, entsprechende Schutzmaßnahmen zu ergreifen und zwar bevor die Infektion erfolgt.

Die Erpressung mit Malware ist nicht neu – der BKA-Trojaner verbreitete bereits vor fünf Jahren Angst und Schrecken. Er verschlüsselte keine Dateien, sondern blockierte Windows-Computer mit einem speziellen Vorschaltbildschirm. Während derartige Sperren noch recht leicht zu entfernen sind, stehen Anwender bei einer Krypto-Trojaner-Infektion vor nahezu unlösbaren Problemen.

Krypto-Trojaner treten am häufigsten unter Windows auf: das Microsoft-Betriebssystem bietet dank seiner immensen Verbreitung das größte Potenzial für Malware-Autoren, Geld mit ihrem Werk zu verdienen. Aber auch unter MacOS X (KeRanger) und sogar auf Webservern (CTB-Locker) machen sich die fiesen Schädlinge breit und halten virtuell die Hand auf.

Namen wie Locky, Coinvault, Bitcryptor, Goldeneye oder Popcorn Time stehen für im Detail unterschiedliche Angriffsverfahren, aber dasselbe Grundprinzip: Über klassische Infektionsvektoren wie etwa Drive-By-Downloads, Ausnutzen von Browser- und Plugin-Schwachstellen oder Social Engineering gelangen die Trojaner auf den Rechner des Opfers und werden ausgeführt.

Besonders fies ist eine Ausbreitungsmethode des Trojaners „Popcorn Time“. Er bietet Opfern an, den notwendigen Schlüssel für ihre Dateien herauszurücken, wenn sie von sich aus zwei Infektionen durchführen. Den notwendigen Link für eine angepasste Version des Trojaners liefert Popcorn Time gleich mit. Goldeneye hingegen tarnt sich als Bewerbung und richtet sich speziell an Personalverantwortliche. Die E-Mail, der eine harmlose PDF-Datei und ein mit bösartigen Makros versehenes Excel-Dokument anhängen, ist so gut gemacht, dass selbst misstrauische Anwender nur auf den zweiten Blick Verdacht schöpfen dürften.

Nach der initialen Infektion verschlüsselt der Trojaner so viele Dateien des Opfers wie möglich – bis zu 60 verschiedene Dateitypen laufen durch die Krypo-Algorithmen und bleiben als Datensalat auf der Festplatte zurück. Inzwischen haben die Autoren der Malware sich mit kryptographischen Verfahren bewaffnet, die nicht ohne Weiteres knackbar sind. Sind die Daten einmal verschlüsselt, bleibt wenig Handlungsspielraum. Üblicherweise werden die Infizierten mittels Popups über ihre missliche Lage in Kenntnis gesetzt und auf Webseiten im Darknet geschleust, über die sie das Lösegeld in Bitcoins erwerben können. Beträge im hohen dreistelligen Eurobereich sind üblich. Je nach Größe des Datenträgers auch mal vierstellige Lösegelder.

Was tun bei Infektion?

Ist das Kind einmal in den Brunnen gefallen, sind – wie oben erwähnt – die Handlungsmöglichkeiten sehr begrenzt. Wohl dem, der regelmäßige Backups seiner Daten gemacht hat und sicher sein kann, dass diese nicht auch infiziert sind. Ein Backup einzuspielen, ist nämlich der einzige garantierte Weg, die verschlüsselten Daten zurückzubekommen.

Von einer Zahlung der geforderten Beträge raten Experten und das BSI ab. Es ist nicht sicher, dass die Kriminellen ihr Wort halten und nach Zahlung des Lösegelds das Schlüsselmaterial zur Verfügung stellen – manche Trojaner waren sogar derart programmiert, dass das technisch überhaupt nicht möglich gewesen wäre. Von den Kriminellen genannte Alternativen zur Zahlung – wie die Infektion anderer Nutzer - sind strafbar, und sollten auf keinen Fall in Erwägung gezogen werden.

Nutzer, die auf ihre Daten nicht dringend angewiesen sind, aber kein Backup haben, könnten darauf hoffen, dass die Autoren der Malware von den Behörden gefasst werden oder den Betrieb einstellen; in beiden Fällen ist es bereits vorgekommen, dass funktionierende Schlüssel kostenlos zur Verfügung gestellt wurden.

Wie kann man sich schützen?

Generell sollten Unternehmen ihre Mitarbeiter gründlich und regelmäßig schulen, um sie für die Gefahr zu sensibilisieren, die von Krypto-Trojanern ausgeht. Für Nutzer und Firmen, die mit großen Datenmengen arbeiten (wie zum Beispiel Webhoster), ist es wichtig, Schutzmaßnahmen gegen potenzielle Angriffe via Ransomware zu ergreifen. Den wirkungsvollsten Schutz bietet beim Hosting die richtige Backup-Strategie.

Regelmäßige Sicherheitsupdates auf jedem Arbeitsplatzrechner oder Server sind eine Kardinalspflicht des Administrators. Dennoch schlüpfen viele Krypto-Trojaner noch immer durch Lücken in veralteten Browsern und es bedarf bisweilen wenig mehr als eines falschen Klicks auf einer Website, um sich zu infizieren.

Da die Malware wellenartig verbreitet wird und häufig am frühen Vormittag – bevor sie von Virenscannern als bösartig erkannt wird – in den Postfächern aufschlägt, ist auf Antivirus-Software nur bedingt Verlass. Wo immer möglich, sollte die Angriffsfläche verkleinert werden, etwa durch den Verzicht auf Makros in Office-Dokumenten während des regulären Geschäftsbetriebs. Sind die Kollegen nicht daran gewöhnt, einen Dialog der Marke „Dieses Dokument enthält Makros“ zu akzeptieren, sobald sie ein Office-Dokument öffnen, so werden sie eher hellhörig, wenn das plötzlich von ihnen verlangt wird.

Die wirksamste Maßnahme gegen Krypto-Trojaner ist jedoch ein aktuelles und zuverlässiges Backup. Können versehentlich infizierte Daten im Handumdrehen wiederhergestellt werden, verpufft die Drohkulisse der Krypto-Trojaner und die Kriminellen müssen sich andere Opfer suchen.

Über den Autor

Dr. Christopher Kunz ist Geschäftsführer der filoo GmbH. Mit der Open-Source basierten ClouDEasy Lösung bietet filoo einen einfachen Einstieg in einfach administrierbare Cloudlösungen Made in Germany an.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44546697 / Malware)