Die Ransomware-Bedrohungslage ist nicht neu. Zwar kam sie erst Mitte der 2010er Jahre so richtig in Fahrt, doch diese besondere Art von Cyberangriffen, bei denen böswillige Akteure Dateien verschlüsseln und eine Zahlung verlangen, um sie wieder zugänglich zu machen, existiert tatsächlich bereits seit über 30 Jahren.
Seit kurzem hat sich der Kampf gegen Ransomware aber verändert: Unternehmen und Behörden sehen sich immer größeren Angriffsvolumina, höheren Lösegeldforderungen und ausgefeilteren Strategien zur Verbreitung von Malware in IT-Umgebungen ausgesetzt. Dazu kommt eine grundsätzliche Zunahme der genannten Aktivitäten. Und da Ransomware-Angriffe für Cyberkriminelle nach wie vor äußerst lukrativ sind, ist es unwahrscheinlich, dass sich dieser Trend in absehbarer Zeit umkehren wird.
- For a 5-step practical guide to preparing for a ransomware attack, read the infographic
Contents
Die Entwicklung aktueller Ransomware-Bedrohung
Der erste bekannte Ransomware-Angriff fand im Dezember 1989 statt. Delegierte, die an der AIDS-Konferenz der Weltgesundheitsorganisation teilnahmen, erhielten Disketten mit einem bösartigen Code, der sich auf MS-DOS-Systemen installierte und schließlich Dateinamen verschlüsselte, wodurch die betroffenen Systeme praktisch unbrauchbar gemacht wurden. Die Opfer wurden angewiesen, eine Zahlung an die „PC Cyborg Corporation“, eine Adresse in Panama zu schicken, um wieder Zugriff auf ihre Dateien zu erhalten.
Wie erwartet, war dieser frühe Angriff nicht sehr erfolgreich, nicht nur da die Post ein ineffizientes Mittel gewesen ist, um Zahlungen zu erhalten, sondern auch weil die vom Trojaner verwendete Verschlüsselungsmethode schwach war. Security-Experten war es rasch möglich ein Tool zur Entschlüsselung der Daten zu entwickeln, welches sie im Nachgang der Öffentlichkeit schnell zugänglich machten.
Trotz aller Misserfolge lieferte der AIDS-Trojaner beziehungsweise der Angriff der PC Cyborg-Gruppe ungewollt eine Blaupause für die nächste Generation von Angreifern. Anhand des Beispiels lernten Nachahmer, was zu vermeiden gewesen wäre und wo Verbesserungspotenzial bestand, um ihre Ziele zu erreichen.
Zunächst einmal nutzten neuere Ransomware-Generationen Public-Key-Kryptografie. Damit mussten die Entschlüsselungscodes nicht mehr in die Malware eingebettet werden. Zudem verfügten sie über wirksamere Mittel, um den Erstzugang in die Umgebung des Opfers zu schaffen und so eine einfache Verbreitung der Schadsoftware auf die gesamte IT-Infrastruktur eines Unternehmens zu erreichen. Und nicht zuletzt besaßen sie eine solide Strategie für das Einsammeln anonymer und grenzüberschreitender Zahlungen.
Das Aufkommen von Bitcoin und anderen, lange Zeit anonym handelbarer Kryptowährungen in den frühen 2010er Jahren war die Grundlage dafür, dass Ransomware zu der konstanten und wachsenden Bedrohung wurde, die sie heute ist. Einer erste, erfolgreiche Ransomware moderner Lesart war CryptoLocker. Diese verbreite sich 2013 schnell über Spam- und Phishing-Anhänge und zielte auf private Computernutzer ab. CryptoLocker verwendete starke Public-Key-Kryptografie zur Verschlüsselung betroffener Systeme und forderte von ihren Opfern Zahlungen in Bitcoin. Im Jahr 2015 meldete die US-amerikanische Bundespolizei FBI mehr als 1.000 Opfer von CryptoLocker und einen verursachten kollektiven Gesamtschaden von umgerechnet knapp über 15,5 Millionen Euro.
Die neueste Ära, in der sich Malware breitflächig und schnell verbreitet, deren Angriffe öffentlichkeitswirksam sind, wo Lösegelder oft in Millionenhöhe gefordert wurden und wo die Opfer unter Druck gesetzt wurden, sofort zu zahlen, läutete die Ransomware WannaCry im Jahr 2017. WannaCry nutzte eine Sicherheitslücke in Microsoft Windows aus, für die eigentlich bereits ein Patch zur Verfügung stand. Mehr als 230.000 Computer in über 150 Ländern wurden infiziert und Bitcoin-Zahlungen in 20 verschiedenen Sprachen gefordert. Die Täter verlangten pro infiziertem Computer umgerechnet lediglich 260 Euro. Ob WannaCry wirklich darauf abzielte, die Lösegelder von allen infizierten Opfern einzuholen, ob die Malware zu früh veröffentlicht wurde oder ob sie einfach nur eine massive Störung verursachen sollte, wird sich im Nachhinein nicht mehr aufklären. Die Entwickler von Wannacry agierten jedoch eindeutig auf nationalstaatlicher Ebene und größtmöglichen Schaden zum Ziel. Sie nutzen äußerst effektive und stabile Lücken zur Ausführung von Remote-Code und schrieben den Schadcode so, dass er sich automatisch über mehrere Netzwerke verbreitete. Seitdem haben viele Ransomware-Akteure diese „wurmähnlichen“ Funktionen in ihre Malware eingebaut, um auf diese Weise schnell und effektiv ganze Unternehmen infizieren zu können.
Das Geschäftsmodell: Ransomware-as-a-Service
In den letzten Jahren haben sich Ransomware-Betreiber auf der Suche nach einem tragfähigen Geschäftsmodell an seriösen Softwareentwicklern orientiert. Als Software-as-a-Service (SaaS) populär wurde, begannen Cyberkriminelle in ähnlicher Art und Weise, jedem Zugang zu ihren Ransomware-Toolkits zu gewähren, der sein eigenes „Geschäft“ rund um Ransomware aufbauen wollte. Diese Ransomware-as-a-Service (RaaS)-Kits ermöglichten es selbst Möchtegern-Cyberkriminellen mit geringen technischen Fähigkeiten oder Kenntnissen, Ransomware-Angriffe zu starten. Die RaaS-Betreiber erhielten im Gegenzug einen Teil des Lösegelds. Die Kits werden in großem Umfang im Dark Web beworben und vermarktet, wo jeder sie kaufen kann, von organisierten cyberkriminellen Gruppen bis hin zu Einzelpersonen. Genau wie reguläre SaaS-Dienstleistungen können RaaS-Angebote einen 24/7-Benutzersupport, zusätzliche gebündelte Angebote und Zugang zu Benutzerbewertungen und Community-Foren beinhalten. Die Preise für den Zugang sind vergleichsweise niedrig und reichen von knapp 35 Euro bis zu mehreren Tausend Euro pro Monat oder einfach einer prozentualen Provision auf alle Ransomware-Zahlungen. Angesichts der Tatsache, dass die durchschnittliche Lösegeldforderung Ende 2020 einen neuen Höchststand von 732.829 Euro erreicht hat – Tendenz weiter steigend –, ist es leicht nachvollziehbar, dass dieses Modell für Kriminelle einen großen Reiz bietet. Schließlich muss nur ein kleiner Teil der Angriffe erfolgreich sein, damit die Angreifer erhebliche Einnahmen erzielen können. Hinzu kommt, dass heutzutage ohne Probleme Zahlungsmethoden zugänglich sind, die kriminelle Geldströme vereinfachen und den Empfang anonymer Zahlungen in Millionenhöhe ermöglichen.
Die globale Verbreitung von Kryptowährungen erleichtert sowohl den Verkauf von RaaS-Kits als auch die Einziehung von Zahlungen der Opfer. Inzwischen wird die Entwicklung von Ransomware immer professioneller und erfolgt in industriellem Maßstab. Die RaaS-Betreiber investieren ihre Einnahmen weiterhin in zuverlässigere Exploits und in Softwareentwickler, die die Aufgabe haben, schnell die neuesten Angriffswerkzeuge und -methoden zu integrieren. Auf diese Weise können sich Ransomware-Kriminelle einen ersten Zugang zu den Umgebungen der Opfer verschaffen, indem sie die neuesten Exploits, verbesserte Techniken zur Orchestrierung von Seitwärtsbewegungen und insgesamt bessere Ransomware-Einsatzmöglichkeiten nutzen. Kriminelle Gruppen bieten auch einen vorher festgelegten Zugang zum Netzwerk des Opfers im Austausch für einen Prozentsatz der endgültigen Lösegeldzahlung an. Dies verschafft weniger qualifizierten Cyberkriminellen Zugang zu einer größeren Anzahl potenzieller Opfer und besser ausgerüsteten Gruppen den Skalenvorteil.
Dem Aufstieg der Ransomware begegnen
Es ist so gut wie sicher, dass Ransomware-Angriffe in den kommenden Monaten und Jahren an Häufigkeit, Schwere und in ihren Auswirkungen weiter zunehmen werden. Wenn sich die Gelegenheit bietet, werden Menschen mit krimineller Energie sie nutzen. Solange Unternehmen weiterhin Lösegeld zahlen, anstatt die geschäftlichen und betrieblichen Folgen einer längeren Ausfallzeit in Kauf zu nehmen, ist kein Ende in Sicht. Jedes Mal, wenn ein Opfer zahlt, erhöht sich der Anreiz für die Cyberkriminellen, weitere Angriffe zu verüben.
Das Problem ist grundlegend: Viel zu viele Unternehmen beherrschen immer noch nicht die Grundlagen der IT-Sicherheit. Dazu zählen ein ständiger, vollumfänglicher Einblick in den eigenen Bestand, ein Schwachstellenmanagement und eine Reduktion der Angriffsfläche. Gerade weil RaaS es auch weniger versierten Bedrohungsakteuren ermöglicht, große Mengen an Angriffen zu verüben, nutzen Angreifer häufig einfache Mechanismen, um sich zunächst Zugang zu der Umgebung zu verschaffen, in der sie die Ransomware einsetzen werden. Mit der Einhaltung basaler Cybersicherheit-Standards ließen sich bereits viel Angriffe abwehren.
Obwohl die Zuordnung von Angriffen eine große Herausforderung darstellt, hat sich in den letzten Jahren der Eindruck gefestigt, dass sich einige nationalstaatliche Akteure mit organisierten cyberkriminellen Gruppen verbünden. Ransomware-Angriffe sind Teil der globalen geopolitischen Cyber-Schlachtfront geworden. Trotz aller Bemühungen der Strafverfolgungs- und Regierungsbehörden können diese kriminellen Gruppen weiterhin ungestraft operieren. Da sie sich in Ländern befinden, in denen sie stillschweigend oder ausdrücklich von Regierungen und lokalen Behörden geschützt werden, ist es äußerst schwierig, sie zu stoppen.
Und da immer mehr öffentlichkeitswirksame Anschläge die Aufmerksamkeit der Medien auf sich ziehen, laden sie immer wieder Nachahmungstäter ein. Der Angriff auf Colonial Pipeline, einem der größten Benzin-Pipeline-Betreiber aus den USA, beispielsweise erregte weltweites Aufsehen. Es war möglich die Treibstoffversorgung im Osten der Vereinigten Staaten zum Erliegen zu bringen. Der Supply-Chain-Ransomware-Angriff auf den IT-Dienstleister Kaseya durch die Hackergruppe REvil, aber auch der jüngste Angriff mit der Ransomware Hive auf die Server der Handelsgruppe Media-Saturn zeigen, welche enormen Auswirkungen solche Attacken auch auf nachgelagerte Wirtschaftssubjekte und Sogar Konsumenten haben können
Mit der wachsenden Zahl an Ereignissen ist mit einem verstärkten Eingreifen der Behörden zu rechnen, einschließlich neuer Vorschriften und Offenlegungspflichten für Unternehmen. In der Zwischenzeit jedoch entscheiden sich Versicherer zunehmend gegen die Deckung dieser Risiken oder verlangen hohe Prämien. Es obliegt allen Unternehmen, ihr Risiko zu begrenzen, indem sie ein rigoroses und quantitatives Cyber-Risikomanagementprogramm entwickeln und umsetzen. Ohne ein solches Programm.
und ohne eine solide Grundlage für einschlägige Sicherheitsmaßnahmen, Planung der Reaktion auf potentielle Vorfälle und die Einrichtung geeigneter Kontrollen werden die finanziellen Folgen bald zu groß sein, um sie stemmen zu können.
A version of this article was originally published in Security Insider magazine
Read more about how we can help you better to prepare for cyberattacks or listen to the webinar on lessons learned from our Incident Response teams working with organizations around the world.