Volker Marschner

ist Security Consultant bei Cisco Security und kennt die aktuellen Sicherheitsrisiken.

Ransomware – Die nächste Generation

Hacker, die über Erpresser-Schädlinge von den Opfern Geld abfischen, damit diese wieder Zugriff auf ihre Dateien bekommen, entdecken immer ausgefeiltere Methoden, berichtet Volker Marschner, Security Consultant bei Cisco, im aktuellen silicon.de-Blog.

Ob Locky, SamSam oder TeslaCrypt: Die Zunahme der Angriffe durch Ransomware sorgt immer häufiger für Schlagzeilen. Gleichzeitig steigt die Wahrscheinlichkeit, dass Unternehmen von einer solchen Erpressungs-Software betroffen sind. Doch wie sollen sie im Falle eines Falles reagieren? Viele glauben, die Bezahlung des Lösegelds sei der effektivste Weg, um auf die verschlüsselten Daten wieder zugreifen zu können. Dies mag sogar in vielen Fällen richtig sein, selbst das FBI soll schon entsprechende Empfehlungen ausgesprochen haben. Doch wer zahlt, unterstützt damit auch die Entwicklung der nächsten Ransomware-Generation.

Tatsächlich verfolgen die meisten Entwickler und Verbreiter von Ransomware heute einen “Spray and Pray” (Versprühen und Beten)-Ansatz. Sie möchten so viele Adressaten so schnell wie möglich erreichen. Ähnlich wie bei den klassischen Spam-Mails hoffen sie darauf, dass dann der eine oder andere auf den Anhang oder die angezeigte Datei klickt und damit die Schadsoftware herunterlädt. Diese so genannten Payloads werden meist via Exploit-Kits oder massenhaft verbreiteten Phishing-Kampagnen verschickt.

In letzter Zeit sind jedoch immer häufiger auch Ransomware-Kampagnen entdeckt worden, die bestimmte Unternehmensnetzwerke gezielt angreifen. Dies dürfte – wiederum ähnlich wie bei Spam-Mails – wohl der künftige Trend für diese Art von Malware sein. Denn individuelle Angriffe sind zwar aufwändiger zu entwickeln, aber dafür deutlich erfolgversprechender als unpersönliche Attacken.

Locky-Text. (Bild: Talos/Cisco Security)
Gruß von “Locky”. Volker Marschner von Cisco Security sieht einen neuen Trend: Erpresser-Software peilt gezielt Unternehmen oder Unternehmensteile an. (Bild: Talos/Cisco Security)

Bislang wollten Angreifer über die von ihnen verbreiteten Schadprogramme möglichst lange Zeit unbemerkt auf persönliche oder sensible Daten zugreifen. Ransomware stellt daher einen Paradigmenwechsel für Angriffe auf Firmennetzwerke dar: von Untergrundaktivitäten zu offener Erpressung.

Da Unternehmen heute zunehmend vom ständigen Zugriff auf Daten abhängig sind, um ihre Geschäftsprozesse durchführen zu können, wird diese Taktik immer erfolgreicher. Wer kann sich heute schon Verzögerungen bei der Produktion oder der Bereitstellung von Services leisten? Entsprechend schnell wird das Lösegeld bezahlt und die Cyberkriminellen erhalten einen kurzfristigen Gewinn bei geringem Aufwand.

In Zukunft wird sich diese Angriffstechnik weiterentwickeln, wie ein aktuelles Whitepaper von Talos zeigt. Demnach lernen die Entwickler von Ransomware aus den erfolgreichen Aktionen der Vergangenheit, um die Effizienz ihrer Schadprogramme zu erhöhen. In Kombination mit neuen Methoden zur Erreichung der Zielgruppe wird der Trend zu Ransomware gehen, die sich selbst verbreitet und sich halbautomatisch durch ein Netzwerk bewegen kann, um möglichst viele sensible Daten zu verschlüsseln.

Wie dies funktioniert, zeigt das Beispiel von SamSam.exe. Diese Malware richtet sich gezielt an Institutionen aus dem Gesundheitsbereich. Der Code ist zwar nicht besonders kompliziert und funktioniert nicht vollkommen selbstständig. Doch er weist bereits einige Verhaltensweisen eines erfolgreichen Computer-Wurms auf, wie schnelle Verbreitung, Payload-Auslieferung und Verhinderung von Prozessen zur Wiederherstellung der Systeme. Sich selbst verbreitende Ransomware oder “Kryptowürmer” stehen also bereits als nächste Generation vor der Tür.

Wer solch eine Nachricht angezeigt bekommt, sollte vorgesorgt haben. Wer an die Erpresser bezahlt, fördert Kriminelle und zieht womöglich weitere Forderungen von Hackern auf sich. (Bild: Talos/Cisco Security)
Wer solch eine Nachricht angezeigt bekommt, sollte vorgesorgt haben. Wer an die Erpresser bezahlt, fördert Kriminelle und zieht womöglich weitere Forderungen von Hackern auf sich. (Bild: Talos/Cisco Security)

Entsprechend müssen sich Unternehmen schon heute dagegen wappnen. Die entsprechenden Sicherheitstechniken wie DMZ-Härtung über regelmäßige Port-Scans oder Schwachstellenanalyse, ständige Software-Aktualisierung, strenge Identifizierungs- und Authentifizierungssysteme, Mitarbeiter-Trainings, Netzwerksegmentierung, Application Blocking und Whitelisting oder regelmäßiges Backup der Daten auf getrennten Systemen sind bereits längst bekannt.

Doch diese kritischen Sicherheitssysteme und Best Practices wurden von vielen Unternehmen trotz aller Warnungen bislang ignoriert. Einzelne, isolierte Anwendungen können zwar Teile des Unternehmensnetzwerks vor bestimmten Angriffstypen schützen. Doch so lange keine umfassenden Sicherheitsarchitekturen im Einsatz sind, die vor, während und nach einer Attacke wirken, lässt sich diese neue Generation von Bedrohungen nicht abwehren. Wer heute nicht eine solche Verteidigungsstrategie aufbaut, muss morgen viel Lösegeld zahlen.