Crypto-Malware

Top 6 der erfolgreichen Ransomware-Familien

| Autor / Redakteur: Christoph Brecht* / Stephan Augsten

Fesselnd: Wir betrachten, welche Malware-Familien aktuell am häufigsten für gesperrte Rechner verantwortlich sind.
Fesselnd: Wir betrachten, welche Malware-Familien aktuell am häufigsten für gesperrte Rechner verantwortlich sind. (Bild: tonsnoei - Fotolia.com)

Locky war weder die erste Ransomware, noch wird sie die letzte sein. Deshalb gilt es, Crypto-Trojaner und andere Erpresser-Tools besser zu verstehen, um sich schützen zu können. Wir werfen einen Blick auf die Ransomware, die aktuell aktiv und erfolgreich ist.

Zunächst möchten wir noch mal kurz beleuchten, was eine Ransomware ist und wie sie arbeitet. Bei Ransomware handelt es sich um einen bestimmten Typus von Schadsoftware, der vor allem den Zugang zu bestimmten Daten oder Funktionen des PCs sperrt.

Üblicherweise soll zur Freischaltung der gesperrten Daten oder Funktionen eine Art Lösegeld gezahlt werden, meist in Form der digitalen Währung Bitcoin. Allerdings kann die Zahlung eines Lösegeldes nicht garantieren, dass die Kriminellen auch tatsächlich die Kontrolle über vertrauliche Daten oder wichtige Funktionen zurückgeben. In vielen Fällen sind Daten, die in die Hände der Angreifer fallen unwiederbringlich verloren.

Zwei Typen von Ransomware

Es gibt zwei Arten von Ransomware: Die erste ist die eher traditionelle „Police Ransomware“. Im deutschen Sprachraum machten der „Bundespolizei Virus“ und der „BKA Trojaner“ von sich reden. Diese Schadsoftware sperrt den Browser oder gleich das ganze Betriebssystem.

Die zweite Art Ransomware ist wesentlich aggressiver und gefährlicher – und sie verbreitet sich im Augenblick rasend schnell: schädliche Verschlüsselungssoftware, sogenannte „Encrypting Ransomware“ oder „Cryptoware“ genannt, zu der auch der bekannte Locky-Trojaner zählt. Diese Art verschlüsselt Daten auf dem PC und macht sie so für den Nutzer komplett unbrauchbar.

Folgende Verbreitungswege sind bekannt:

  • über E-Mails mit einem schadhaften Anhängen;
  • über kompromittierte Webseiten;
  • über Software aus nicht vertrauenswürdigen Quellen;
  • über Soziale Netzwerke.

Eine Vielzahl verschiedener Ransomware-Familien ist derzeit im Umlauf. Einige Bedrohungen werden schnell durch entsprechende Updates und Sicherheitsmaßnahmen unwirksam gemacht. Andere halten sich hartnäckig. Wir haben hier die unserer Meinung nach sechs gefährlichsten rausgepickt, auch weil sie sich in ihrer Angriffsstrategie unterscheiden.

Niemand ist vor Locky sicher – immer noch nicht

Locky ist seit Februar 2016 in den Schlagzeilen. Vor allem in Europa ist diese Art Cryptoware verbreitet. Die Opfer infizieren Rechner meist über schadhafte Word-Dokumente in E-Mail-Anhängen. Locky verschlüsselt Dateien auf dem lokalen Rechner oder gleich im ganzen Netzwerk.

Die Situation ist besonders schwierig, denn Locky entwickelt sich ständig weiter und es werden immer neue Verbreitungswege entdeckt. Neben schadhaften E-Mailanhängen werden auch immer öfter Spezialisten bezahlt, die in das Netzwerk eines Unternehmens eindringen und Locky installieren.

CTB Locker – die maßgeschneiderte Bedrohung

Die Cryptoware CTB Locker wurde im Februar entdeckt und verbreitet sich am häufigsten über E-Mails und schadhafte Webseiten. Die E-Mails werden dabei ebenfalls speziell an den Empfänger angepasst. Ist der Rechner infiziert, durchsucht CTB Locker heimlich alle Laufwerke und Verzeichnisse im Netzwerk nach Dateien (Office Dokumente, Bilder, Textdateien, etc.) und verschiebt diese in ein verschlüsseltes, passwortgeschütztes Archiv.

Um von IT-Sicherheitsexperten nicht entdeckt zu werden verfügt CTB Locker über einen speziellen Mechanismus, der verhindern soll, dass die Schadsoftware auf virtuellen Maschinen mit der Arbeit beginnt. Da solche virtuellen Maschinen genutzt werden, um potentielle Bedrohungen zu erkennen und zu analysieren, wird CTB Locker in diesem Verfahren übersehen. Darüber hinaus ist diese Ransomware sehr flexibel. Es gibt mittlerweile zahlreiche Variationen, darunter auch eine, die speziell für Server entwickelt und von Stormshield entdeckt wurde.

TeslaCrypt und sein gefährlicher Nachfolger CryptXXX

Die Macher von TeslaCrypt haben zwar ihre Arbeit an dem Tool eingestellt, die Funktionsweise von TeslaCrypt ist dennoch interessant; auch, weil sie einem immer noch aktiven Nachfolger als Vorbild diente. TeslaCrypt analysierte alle Laufwerke eines infizierten Rechners und verschlüsselte nur Dateien, keine Anwendungen.

Auch Windows selbst blieb unberührt. Der Rechner war so weiterhin einsatzbereit, damit TeslaCrypt auf die Internetverbindung zugreifen konnte und das Opfer in der Lage war, das Lösegeld zu überweisen. TeslaCrypt nutzte außerdem den besonders sicheren Verschüsselungsalgorythmus AES. So gab es ohne Schlüssel so gut wie keine Möglichkeit, die Daten wieder freizuschalten.

Manche Varianten von TeslaCrypt nahmen besonders Computerspieler ins Visier. Die Schadsoftware verbreitete sich vor allem über E-Mails und sogenannte Exploit Kits. Die als Nachfolger von TeslaCrypt geltende Erpressersoftware CryptXXX ist dagegen immer noch aktiv und entwickelt sich sogar weiter. Sie sperrt mittlerweile auch den Zugriff auf den Desktop.

Die Malware installiert dazu einen Sperrbildschirm, der den Nutzer fortan von seinem eigenen Desktop aussperrt. Außerdem verfügt CryptXXX über eine Überwachungssoftware, die ungewöhnliche Systemaktivitäten erkennt. Sobald dies der Fall ist, wertet die Ransomware dies als Angriff und startet den Verschlüsselungsvorgang von neuem.

Petya – noch aggressiver als Locky

Die Cryptoware Petya ist besonders aggressiv. Sie verschlüsselt nicht nur Dateien, sondern die ersten Sektoren des Laufwerks, auf dem das Betriebssystem installiert ist. So wird verhindert, dass der PC überhaupt hochfährt. Damit bleibt er komplett nutzlos, bis das Lösegeld überwiesen ist. Das bedeutet aber nicht, dass der Computer nachher wieder benutzt werden kann. Die Daten darauf könnten immer noch verschlüsselt sein.

SamSam – besonders gefährlich für die Netzwerksicherheit

SamSam macht sich eine Technik Namens „Pass the Hash“ zunutze. Kriminelle nutzen diese Technik um die Authentifizierungssysteme von Servern zu umgehen. So erhalten sie Zugriff auf vertrauliche Daten oder kritische Anwendungen.

Über einen infizierten Arbeitsplatz können die Angreifer ihre Kontrolle auf alle Geräte eines Netzwerkes und somit die gesamte IIT-Infrastruktur eines Unternehmens ausweiten. Da SamSam von traditioneller Anti-Virus Software nicht erkannt wird, sollten Unternehmen ihre IT-Sicherheit an diese Gefahr entsprechend anpassen.

Cerber – der neue Liebling der IT-Sicherheit

Cerber könnte man als Ransomware-as-a-Service (RaaS) bezeichnen. Und Cerber ist nicht die einzige Ransomware, die in diese schnell wachsende Kategorie fällt. Betrüger können die Schadsoftware kaufen überall nach Belieben einsetzen. Das cyberkriminelle Netzwerk ist damit nicht länger ein enger Kreis von Programmierern sondern ein wachsender und zunehmend professioneller Schwarzmarkt für Schadsoftware.

Antivirus-Software ist nicht genug

Durch immer komplexere Angriffsszenarien und intelligentere Schadsoftware ist der Schutz durch eine einfache Anti-Virus Software nicht mehr ausreichend. Aktuelle Schadsoftware kann das Signaturanalysesystem gängiger Anti-Virus Software leicht umgehen. Um bekannte und unbekannte Gefahren rechtzeitig zu erkennen und abzuwehren, müssen diese Gefahren proaktiv angegangen werden.

Unsere Tipps:

  • Halten Sie Ihren Computer und alle Anwendungen auf dem neuesten Stand.
  • Legen Sicherheitskopien aller wichtigen Dateien an.
  • Folgen Sie niemals Links von unbekannten Quellen.

Wie sieht die „Super Cryptoware“ der nächsten Generation aus?

In den nächsten Monaten ist mit einer Vielzahl neuer Ransomwares zu rechnen. Existierende Ransomware wird sich außerdem ebenfalls weiterentwickeln und immer komplexer werden. Ransomware wird die Nachrichten garantiert noch eine Zeit lang beschäftigen.

Vor allem werden sich neue Verbreitungswege entwickeln. Schon jetzt setzen Locky und Cerber auch auf Zero-Day-Exploits. Damit können wesentlich mehr Maschinen infiziert werden als per E-Mail. Das macht Ransomware für Kriminelle sehr lukrativ.

* Christoph Brecht ist Regional Manager DACH bei Stormshield.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44125418 / Malware)