Die Entwicklung der Ransomware und die passenden Tools zur Bekämpfung

Ransomware hat sich in den letzten Jahren in eine hoch entwickelte Cyberwaffe verwandelt. Um diese zu stoppen, sind hochmoderne Technologien notwendig.

Die Entwicklung der Ransomware im vergangenen Jahr kann zweifellos als Evolutionssprung bezeichnet werden. Seriöse Cyberkriminelle haben die einst einfache Bedrohung der Dateiverschlüsselung in ein recht kompliziertes Tool verwandelt und alle Anzeichen deuten darauf hin, dass sich dieser evolutionäre Trend auch in Zukunft weiter fortsetzen wird.

The only way to put an end to the development of ransomware is to render its attacks ineffective

Vor 2017

In den „guten alten“ Zeiten handelte es sich bei den Opfern von Ransomware meist um zufällige und passive Zuschauer. Cyberkriminelle verbreiteten Spam nach Lust und Laune, in der Hoffnung, mindestens einen Nutzer mit mehr oder weniger wichtigen Dateien auf seinem Computer zu finden, der den bösartigen Anhang öffnen würde.

Im Jahr 2016 änderte sich diese Situation jedoch schlagartig. Zunehmend wurden die zufälligen Nutzerlisten von Spammern durch individuelle E-Mail-Adressen von Firmenmitarbeitern ersetzt, die online gefunden werden konnten. Die Täter hatten also klar erkannt, dass ein zielgerichteter Angriff auf Unternehmen um einiges profitabler war, als die zuvor von ihnen angewandte Methode. Auch der Inhalt der Nachrichten änderte sich entsprechend: Anstatt den Nachrichtenverkehr als persönliche Korrespondenz zu tarnen, schienen die Nachrichten nun von Partnern, Kunden und Steuerdiensten zu stammen.

2017

Auch im vergangenen Jahr hat die Situation erneut einen radikalen Wandel durchgemacht. Zwei große Epidemien, die Schäden in Millionenhöhe verursachten, zeigten, dass Ransomware nicht ausschließlich zu Erpressungszwecken verwendet werden könnte. Bei der ersten Epidemie, dem berüchtigten Schadprogramm WannaCry, handelte es sich um einen technologischen Vorreiter, der eine Sicherheitslücke in der Implementierung des SMB-Protokolls in Windows ausnutzte. Obwohl diese Schwachstelle bereits behoben worden war, hatten zahlreiche Unternehmen darauf verzichtet, den Patch zu installieren.

Dennoch hatte WannaCry als Ransomware nicht besonders großen Erfolg. Trotz der Infizierung von Hunderttausenden von Rechnern brachte WannaCry seinen Entwicklern nur bescheidene Gewinne ein. Aus gutem Grund fingen einige Forscher an, das Ziel der Ransomware zu hinterfragen. Hatten es die Entwickler tatsächlich nur auf das Geld abgesehen oder war stattdessen Sabotage oder Datenzerstörung das Ziel?

Mit der nächsten Bedrohung wurden jedoch jegliche Zweifel ausgeräumt. Denn der als Ransomware getarnte Wiper ExPetr war nicht einmal in der Lage, verschlüsselte Daten wiederherzustellen. Mit einem Angriff auf die Supply-Chain gelang es den Entwicklern, einen Teil der ukrainischen Buchhaltungssoftware namens MeDoc zu kompromittieren, was dazu führte, dass nahezu jedes Unternehmen, mit geschäftlichen Aktivitäten in der Ukraine, dem Infektionsrisiko ausgesetzt war.

2018

Die bisherigen Ereignisse in diesem Jahr zeigen, dass sich Ransomware noch immer in der Entwicklung befindet. Unsere Experten haben kürzlich eine relativ neue Bedrohung, die neueste Variante der SynAck-Ransomware, untersucht, und herausgefunden, dass SynAck komplexe Mechanismen enthält, um spezifischen Schutztechnologien aus dem Weg zu gehen. Die Experten von Kaspersky Lab gehen deshalb davon aus, dass die neue Variante von SynAck für hochgradig gezielte Angriffe genutzt wird. Zu den Besonderheiten der neuen SynAck-Variante zählen:

  • Die Verschleierungstechnik „Process Doppelgänging“, mit der versucht wird, bösartige Prozesse als legitim zu tarnen;
  • Die Verschleierung von ausführbarem Code vor der Kompilierung;
  • Der Abbruch von laufenden Prozessen und Diensten, um sich besonders wertvoller Dateien einfacher bemächtigen zu können;
  • Das Löschen von Ereignisprotokollen, um die Analyse nach einem Vorfall zu erschweren.

Es gibt keinerlei Hinweise darauf, dass die Entwicklung der Ransomware bereits abgeschlossen ist. Ihre Macher werden mit Sicherheit auch in Zukunft nach Möglichkeiten suchen, sie zu verbessern.

So kann die Entwicklung gestoppt werden

Die einzige Möglichkeit, der Entwicklung von Ransomware ein Ende zu setzen, besteht darin, ihre Angriffe wirkungslos zu machen. Und das erfordert modernste Spitzentechnologien. Unsere Kunden sind schon seit Langem geschützt: Denn all unsere Unternehmens-Endpunktlösungen enthalten Subsysteme, mit denen wir Ransomware effektiv bekämpfen können.

Aber selbst wenn Sie keine der Unternehmenslösungen von Kaspersky Lab verwenden, ist das kein Grund, Ihre Daten nicht zu schützen. Das Kaspersky Anti-Ransomware Tool, unsere dedizierte Lösung, erweitert die Sicherheitsmechanismen der meisten Drittanbieter. Es nutzt die neuesten Verhaltensdetektionstechnologien, um Ransomware frühzeitig zu entdecken, und nutzt alle Vorteile unserer Cloud-basierten Tools voll aus. Darüber hinaus entwickelt sich unser Tool kontinuierlich weiter, um sich auch den Herausforderungen modernster Bedrohungen stellen zu können.

Diese neueste Version von Kaspersky Anti-Ransomware Tool kann über die Kommandozeile ausgeführt werden und erleichtert so die automatisierte Implementierung in Unternehmensnetzwerken. Abgesehen davon ist die Lösung völlig kostenlos. Registrieren, downloaden und installieren Sie die Anwendung hier.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.