Die Ransomware-Saga

Wenn Sie sich mit Informationssicherheit beschäftigen, dann haben Sie in den letzten Jahren bestimmt viel von Ransomware, bzw. Erpressungssoftware gehört. Vielleicht hatten Sie sogar das Pech, von einem dieser Angriffe betroffen gewesen zu sein. Es ist nicht übertrieben, Ransomware als die gefährlichste Malware unserer Zeiten zu beschreiben.

Aber wussten Sie, dass die ersten Schadprogramme dieser Art bereits vor 30 Jahren entwickelt wurden und, dass Sicherheitsforscher viele Funktionen von modernen Angriffen bereits Mitte der 90er Jahren vorhergesehen haben? Möchten Sie erfahren, warum Bildschirmsperren (Blocker) durch Verschlüsselungsmalware (Cryptor) ersetzt wurden, was die höchste Lösegeldzahlung der Geschichte war und was AIDS mit all dem zu tun hat?

Wenn ja, dann lesen Sie weiter, denn wir haben einen interessanten Ransomware-Rückblick für Sie erstellt, in dem Sie die Antworten auf diese Fragen und viele interessanten Fakten finden werden. Lassen Sie uns nun die Entwicklung von Bildschirmsperren, Verschlüsselungsmalware, Wiper und anderen gemeinen Ransomware-Erfindungen aus den letzten Jahrzehnten ergründen.

Ransomware-Wörterbuch

Folgende Begriffe werden oft im Text erwähnt:

Kryptografie – Teilgebiet der Informatik, die Außenstehende daran hindert vertrauliche Informationen zu lesen. Verschlüsselung ist ein Aspekt von Kryptografie.

Symmetrische Verschlüsselung – Eine Methode zur Datenverschlüsselung, wobei derselbe Schlüssel zum Ver- und Entschlüsseln verwendet wird.

Asymmetrische Verschlüsselung – Bei dieser Methode zur Datenverschlüsselung werden zwei Schlüssel verwendet: Ein Public-Key (öffentlicher Schlüssel), um die Informationen zu verschlüsseln und ein Private-Key (privater Schlüssel), um die Informationen zu entschlüsseln. In diesem Fall kann der öffentliche Schlüssel nicht zur Entschlüsselung verwendet werden, denn hierfür kommt nur der private Schlüssel infrage.

RSA – Ein weitverbreiteter asymmetrischer Verschlüsselungsalgorithmus.

Ransomware – Unter Ransomware fallen alle Schadprogramme, die das Opfer dazu zwingen, dem Angreifer Lösegeld zu zahlen. Zu Ransomware zählen Blocker, Cryptor und als Cryptor getarnte Wiper.

Blocker – Eine Art von Ransomware, die einen Computer oder ein mobiles Gerät blockiert oder eine Blockierung vortäuscht. Bei dieser Art von Malware wird in der Regel ständig eine Nachricht mit einer Lösegeldforderung angezeigt.

Cryptomalware (Cryptor) – Eine Art von Ransomware, die die Dateien verschlüsselt, damit sie nicht verwendet werden können.

Wiper – Eine Art von Malware die dafür konzipiert ist, die Daten auf dem Gerät des Opfers zu löschen. Manchmal stellt sich heraus, dass die angebliche Cryptomalware tatsächlich ein Wiper ist, der den Dateien irreparablen Schaden zufügt – selbst wenn das Lösegeld bezahlt wird, ist es unmöglich die Daten wiederherzustellen.

RaaS (Ransomware-as-a-Service) – Ein Modell in kriminellen Kreisen bei dem Ransomware-Entwickler die Malware an jeglichen Interessenten verleasen, der die Erpressersoftware anwenden und einen Teil des Erlöses kassieren möchte. Es handelt sich hier sozusagen um ein kriminelles Franchise.

1989: Der erste Ransomware-Angriff

Dr. Joseph L. Popp, ein gelernter Evolutionsbiologe, entwickelte den ersten dokumentierten Cryptor. Da Popp sich das weitverbreitete Interesse an AIDS zunutze machte, wurde seine Malware mit dem Namen AIDS-Trojaner getauft.

Zu dieser Zeit befand sich das Internet noch im Anfangsstadium und Popp benutzte eine recht originelle Liefermethode (nach modernen Standards). Er verfügte über die Adressenlisten der Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation und auch der Abonnenten der Zeitschrift PC Business World. Popp nutzte die Listen, um seinen Opfern Disketten mit der Aufschrift „AIDS Information – Introductory Diskettes“, zusammen mit detaillierten Anleitungen zur Programminstallation zu schicken. Im Lizenzvertrag stand, dass der Benutzer sich damit einverstanden erklärte 378 $ an das Unternehmen zu zahlen. Aber wer nimmt so etwas schon ernst?

Tatsächlich wurde bei der Programminstallation Malware auf der Festplatte gespeichert. Nach einer bestimmten Anzahl an Systemstarts wurde der AIDS-Trojaner aktiviert und verschlüsselte auf dem infizierten Computer die Namen der Dateien (einschließlich der Erweiterungen). Die Dateinamen wurden in eine Buchstabensuppe aus zufällig gewählten Schriftzeichen verwandelt, wodurch es unmöglich war mit diesen Dateien zu arbeiten. Beispielsweise musste zum Öffnen einer Datei zuerst die entsprechende Dateierweiterung festgestellt und manuell geändert werden.

Gleichzeitig zeigte die Malware eine Nachricht auf dem Bildschirm an, die dem Benutzer mitteilte, dass seine Probezeit nun abgelaufen und die Abo-Gebühr fällig sei: 189 $ für ein Jahr oder 378 $ für lebenslangen Zugang. Das Geld sollte auf ein Konto in Panama überwiesen werden.

Da diese Malware auf symmetrische Verschlüsselung basierte, befand sich der Schlüssel zur Wiederherstellung der Dateien direkt im Code. Daher war das Problem recht einfach zu lösen: Man musste nur den Schlüssel herausbekommen, die Malware löschen und dann mit dem Schlüssel die Dateinamen wiederherstellen. Im Januar 1990 hatte Jim Bates, der redaktionelle Berater vom Fachmagazin Virus Bulletin, die Programme AIDSOUT und CLEARAID zu diesem Zweck entwickelt.

Joseph Popp wurde verhaftet, aber das Gericht beschloss, dass er verhandlungsunfähig war. Ein Jahrzehnt später veröffentlichte er allerdings das Buch: Popular Evolution: Life-Lessons from Anthropology (Populäre Evolution: Lektionen für das Leben anhand der Anthropologie).

1995–2004: Young, Yung und die Ransomware der Zukunft

Vielleicht weil die Entwicklung des AIDS-Trojaners seinem Erfinder nicht zum Reichtum verholfen hatte, waren Betrüger zu dieser Zeit nicht sonderlich an der Methode interessiert Daten zu Erpressungszwecken zu verschlüsseln. Das Interesse wurde erst 1995 erneut geweckt, und zwar durch wissenschaftliche Neugierde.

Die Kryptografen Adam L. Young und Moti Yung wollten herausfinden, wie der leistungsstärkste Computervirus aussehen würde. In ihrem Forschungsprojekt arbeiteten sie das Konzept von auf asymmetrischer Verschlüsselung basierender Ransomware aus.

Anstatt der Verwendung von einem einzigen Schlüssel, der zur Dateiverschlüsselung im Programmcode enthalten sein muss, verwendeten sie in ihrem Modell zwei Schlüssel: Einen öffentlichen und einen privaten Schlüssel, womit der Schlüssel zur Entschlüsselung geheim blieb. Darüber hinaus stellten Young und Yung die Hypothese auf, dass die Opfer die Lösegeldzahlung mit elektronischem Geld machen müssten, das damals noch nicht einmal existierte.

Auf der IEEE-​Konferenz für Sicherheit und Datenschutz im Jahr 1996 präsentierten die Cybersicherheit-Propheten ihre Forschungsergebnisse, die allerdings von den Teilnehmern nicht besonders begrüßt wurden. 2004 veröffentlichten Young und Yung das Buch Malicious Cryptography: Exposing Cryptovirology (Bösartige Kryptografie: Kryptovirologie enttarnt), in dem sie ihre Forschungsergebnisse systematisch darlegten.

2007–2010: Die goldenen Jahre der Blocker

Während Cryptomalware noch den richtigen Augenblick abwartete, wurde die Welt zunehmend von einer neuen Art von Ransomware bedroht: den Blockern. Diese recht primitive Art von Malware beeinträchtigt die normale Funktionsweise des Betriebssystems, indem es in den Bootvorgang von Windows eingeschleust wird. Außerdem blockieren viele Arten von Blockern den Registry-Editor und den Task-Manager, um das Löschen der Malware zu verhindern.

Zu den diversen Methoden dieser Malware-Art, die die Computerbenutzung verhindern, zählen u. a. nicht schließbare Fenster und Änderungen des Bildschirmhintergrunds. Eine der Zahlungsmethoden bestand darin, gebührenpflichtige Sonderrufnummern in der Lösegeldforderung anzugeben.

Ein spezielles Antivirenprogramm ist in der Regel nicht nötig, um diese Ransomware-Blocker außer Gefecht zu setzen – mit ein bisschen Know-how können sie sogar direkt von den Benutzern gelöscht werden. Beispielsweise ist es möglich diese Malware manuell zu entfernen, indem der Computer über eine Live- oder Notfall-CD im abgesicherten Modus gestartet wird oder man sich über ein anderes Profil in Windows einloggt.

Dieses relativ niedrige Risiko wurde allerdings dadurch wettgemacht, dass die Trojaner sehr leicht zu schreiben sind. Quasi jeder konnte sie verteilen. Die Trojaner konnten sogar automatisch generiert werden.

In manchen Fällen wurde ein pornografisches Banner auf dem Bildschirm angezeigt, der zu verstehen gab, dass das Opfer verbotene Inhalte angesehen hatte (eine Taktik, die auch heute noch verwendet wird). Da in der Regel ein bezahlbares Lösegeld gefordert wurde, entschlossen sich viele Benutzer keine Hilfe zu suchen und die Erpressungsforderung zu erfüllen.

2010: Cryptomalware mit asymmetrischer Verschlüsselung>

In 2011 optimierten Cryptomalware-Entwickler ihre Produkte erheblich und wie Yung und Young bereits vorhergesehen hatten, begannen sie die asymmetrische Verschlüsselung zu verwenden. Beispielsweise basierte die Änderung des GpCode Cryptors auf dem RSA-Algorithmus.

2013: CryptoLocker, die Hybrid-Ransomware

2013 erschien die erste Hybrid-Ransomware, eine Kombination aus Blocker und Cryptomalware. Dieses Konzept steigerte die Chancen der Cyberkriminellen das Lösegeld auch tatsächlich einzutreiben, denn selbst wenn die Malware und damit auch der Blocker entfernt werden, bleiben die Dateien weiterhin verschlüsselt und der Benutzer kann nicht darauf zugreifen. CryptoLocker ist möglicherweise die berüchtigtste Hybrid-Ransomware. Diese Malware wurde per Spam-Mails verschickt und die Cyberverbrecher, die dahintersteckten, akzeptierten Zahlungen in Bitcoin.

2015: Blocker werden durch Verschlüsseler ersetzt

Im Jahr 2015 stellte Kaspersky eine lawinenartig anwachsende Anzahl an Infizierungsversuchen mit Cryptomalware fest, mit einem Wachstumsfaktor von 5,5. Cryptoren verdrängten nach und nach die Blocker.

Verschlüsselungsmalware wird aus mehreren Gründen auch heute noch verwendet. Erstens, weil Benutzerdaten wesentlich wertvoller sind als Systemdateien und Applikationen, die jeder Zeit erneut installiert werden können. Mit der Verschlüsselung können Cyberverbrecher deutlich höheres Lösegeld fordern und haben außerdem bessere Chancen darauf den Erlös auch zu erhalten.

Zweitens waren in 2015 anonyme Überweisungen von Kryptowährung weit verbreitet und die Angreifer hatten weniger Angst über die Zahlung entlarvt zu werden. Bitcoin und andere Altcoins ermöglichen es große Summen von Geld zu überweisen, ohne unerwünschte Aufmerksamkeit zu erregen.

2016: Massen-Ransomware

Ransomware stellte 2016 eine wachsende Plage für die Cybersicherheit dar. In diesem Jahr wurden elfmal mehr Änderungen bei Ransomware festgestellt. Die Lösegeldforderungen betrugen durchschnittlich von 0,5 bis hin zu mehreren Hundert Bitcoins (der damals allerdings weniger wert war als heute). Anstatt individuelle Benutzer wurden als Zielopfer immer häufiger Unternehmen ausgewählt und der Aufstieg dieser neuen kriminellen Branche löste ein großes Echo in den Medien aus.

Cyberverbrecher müssen inzwischen nicht mehr ihre eigene Malware entwickeln, sondern können die fertigen Produkte einfach kaufen. Beispielsweise wurde eine „lebenslange Lizenz“ für die Stampado-Ransomware zum Verkauf angeboten. Diese Malware drohte damit nach einem bestimmten Zeitraum nach dem Zufallsprinzip ausgewählte Dateien zu löschen, um den Opfern Angst einzujagen und sie zum Bezahlen zu zwingen.

Ransomware wurde sogar als RaaS-Modell (Ransomware-as-a-Service) angeboten, ein Begriff der mit der Erscheinung vom digitalen Erpressungsdienst Encryptor RaaS auftauchte. Durch dieses Modell konnte die Ransomware noch schneller verbreitet werden.

Die Erpresser nahmen jetzt, abgesehen von Unternehmen und Privatanwendern, auch Regierungen und Kommunalverwaltungen ins Visier. Ein Paradebeispiel hierfür ist der HDDCryptor, der mehr als 2.000 Computer der San Francisco Municipal Transport Agency (SFMTA) infizierte. Die Cyberverbrecher verlangten 100 BTC (umgerechnet ca. 70.000 $), um das System wiederherzustellen, aber die SFMTA schaffte es letztendlich das Problem alleine zu lösen.

2016–2017: Petya, NotPetya und WannaCry

Im April 2016 grassierte eine neue Malware namens Petya. Herkömmliche Cryptoren belassen das Betriebssystem üblicherweise unbeschadet, damit das Opfer den PC zur Zahlung des Lösegeldes verwenden kann. Petya geht dagegen wesentlich brutaler vor und vermauert das komplette Betriebssystem der infizierten Geräte: Angriffsziel ist die Master-Dateitabelle (Master File Table, kurz MFT bezeichnet), ein zentraler Datei-Index mit der kompletten Struktur der Dateien und Ordner, der auf der Festplatte gespeichert wird.

Trotz der zerstörerischen Natur dieser Malware hatte Petya Schwierigkeiten mit den Vertriebsmethoden. Zur Aktivierung dieser Malware ist es erforderlich eine ausführbare Datei herunterzuladen und auf dem Rechner laufezulassen, wodurch die Chancen auf eine erfolgreiche Infizierung deutlich beeinträchtigt werden. Wahrscheinlich wäre Petya gar nicht so bekannt geworden, wenn nicht eine weitere Ransomware namens WannaCry aufgetaucht wäre.

Im Mai 2017 hatte WannaCry weltweit bereits über 500.000 Geräte infiziert und einen finanziellen Schaden in Höhe von ca. 4 Milliarden US-Dollar verursacht. Wie die Cyberverbrecher das erreichen konnten? Indem sie sich den EternalBlue-Exploit verwendeten, der sich einige der gefährlichsten Schwachstellen von Windows zunutze machte. Der Trojaner wurde in Netzwerke infiltriert und installierte WannaCry auf den Computern der Opfer. Von dort aus verbreitete sich dann die Malware auf andere Computer des lokalen Netzwerks. Innerhalb der infizierten Systeme funktioniert WannaCry wie herkömmliche Ransomware – die Dateien werden verschlüsselt und die Cyberverbrecher fordern Lösegeld.

Nur zwei Monate nach den ersten WannaCry-Angriffen erschien ein neuer Cryptor der an EternalBlue angepasst wurde: NotPetya, auch bekannt unter ExPetr. NotPetya korrumpiert die komplette Festplatte.

Darüber hinaus verschlüsselt NotPetya das Inhaltsverzeichnis der Festplatte auf eine Art und Weise, die eine Entschlüsselung sogar nach der Lösegeldzahlung unmöglich macht. Experten kamen zu der Schlussfolgerung, dass es sich um eine als Cryptor getarnte Wiper handelt. Der Schaden von NotPetya beträgt über 10 Milliarden US-Dollar.

Der WannaCry-Angriff war so katastrophal, dass Microsoft in aller Eile einen Patch für Betriebssysteme veröffentlichte, die eigentlich nicht mehr unterstützt wurden. Für noch unterstützte Systeme gab es schon seit Langem Updates, aber nicht alle hatten ihre Geräte aktualisiert, wodurch diese zwei Ransomware-Programme sich weit verbreiten konnten.

2017: Eine Million für eine Entschlüsselung

Zusätzlich zu den beispiellosen Schäden in Milliardenhöhe wurde 2017 ein neuer Rekord erstellt: Die höchste Lösegeldzahlung von einer einzigen Organisation. Der südkoreanische Webhoster Nayana willigte ein, eine Million US-Dollar zu zahlen (heruntergehandelt von einer 4,5-mal so hohen Summe), um die mit dem Erebus-Cryptor infizierten Computer zu entsperren.

Was die Experten-Community am meisten verwunderte an diesem Fall war, dass das Unternehmen die Lösegeldzahlung öffentlich bekannt gab. Die meisten Opfer ziehen es vor, solche Vorfälle nicht an die große Glocke zu hängen.

2018–2019: Eine Bedrohung für die Gesellschaft

In den letzten Jahren war die hohe Anzahl an Angriffen auf kommunale Unternehmen bemerkenswert. Unternehmen für Transport, Energie- und Wasser-Versorgung und Institutionen des Gesundheitswesens sind einem zunehmenden Risiko ausgesetzt. Cyberkriminelle erhoffen sich von diesen Einrichtungen zuverlässige und außerdem hohe Lösegeldzahlungen, denn nicht funktionierende Computer bedeutet Tausende von Menschen im Stich zu lassen.

Zum Beispiel fand 2018 ein Cryptomalware-Angriff auf den Flughafen in Bristol, UK statt wodurch die Anzeigetafeln auf dem Flughafen zweit Tage lang ausfielen. Die Flughafenmitarbeiter ersetzten die digitalen Informationsbildschirme durch Whiteboards und man muss zugeben, dass der Flughafen den Angriff schnell und effektiv gemeistert hat. So weit bekannt ist, mussten keine Flüge storniert werden und es wurde auch kein Lösegeld bezahlt.

Die US-amerikanische Klinik Hancock Health hingegen zahlte 4 BTC (umgerechnet ca. 55.000 $ zu disem Zeitpunkt) nachdem ihre Systeme von der Ransomware SamSam infiziert wurde. CEO Steve Long erklärte, dass das Unternehmen sich zur Lösegeldzahlung entschieden hätte, weil ein Schneesturm bevorstand und darüber hinaus eine der schlimmsten Grippewellen der Geschichte herrschte. Die Klinik verfügte einfach nicht über ausreichend Zeit, um die Computer einzeln wiederherzustellen.

Insgesamt sind 2019 in den USA über 170 Stadtverwaltungen der Ransomware zu Opfer gefallen, mit Lösegeldforderungen bis zu 5 Millionen US-Dollar. Die Aktualisierung der Betriebssysteme in solchen Organisationen ist oft nicht so einfach und deshalb verwenden die Cyberkriminellen häufig alte – und leichter zugängliche – Exploits.

2020: Weitere Ransomware-Ausbreitung und Erpressung mit dem Leaken von Daten

Abgesehen von der steigenden Anzahl an Infektionen und Anzahl an Erpressungsvorfällen, sowie den schlimmeren Folgen, ist 2020 ein denkwürdiges Jahr, weil ein neuer Hybrid-Ansatz ins Spiel kam, bei dem die Daten vor der Verschlüsselung an die Ransomware-Betreiber geschickt werden. Darauf drohen die Cyberkriminellen damit, die Informationen zu veröffentlichen oder die Daten an Wettbewerber zu schicken. In Anbetracht der enormen Wichtigkeit, die der Sicherheit von personenbezogenen Daten heutzutage beigemessen wird, kann die Umsetzung dieser Drohung katastrophale Folgen für ein Unternehmen haben. Diese Taktik wurde das erste Mal in 2019 von der Maze-Guppe verwendet und 2020 wurde sie zu einem echten Trend in der Ransomware-Branche.

Die Schönheitsklinikkette Transform Hospital Group war das Opfer einer der Vorfälle, die 2020 am meisten Aufsehen erregte. Die Hackergruppe REvil hatte 900 GB an Daten vom Unternehmen gestohlen und verschlüsselt. Darunter befanden sich Patientenfotos vor und nach der Operation und die Angreifer drohten damit, die Fotos zu veröffentlichen.

Darüber hinaus haben Cryptomalware-Betreiber in 2020 einige neue Taktiken ersinnt. Die REvil-Gruppe begann beispielsweise damit gestohlen Informationen zu versteigern. Cyberkriminelle haben sich außerdem in kartellartigen Organisationen vereinigt. Die Maze-Gruppe war die erste, die damit begann, indem sie Informationen veröffentlichte, die mit dem LockBit-Cryptor gestohlen wurde. Laut den Cyberverbrechern arbeiten sie jetzt eng mit LockBit zusammen. Sie bieten ihre Plattform zum Leaken von Daten an und teilen auch ihr Wissen.

Sie prahlten sogar damit, dass eine weitere bedeutende Gruppe bald dem Kartell beitreten wird, und zwar die RagnarLocker, ein Bahnbrecher im Bereich DDoS-Angriffe auf Ressourcen der Opfer, um zusätzlichen Druck auf die Unternehmen auszuüben, die gerade erpresst werden.

Schlussfolgerung

In einer Zeitspanne von dreißig Jahren hat sich Ransomware von einem relativ harmlosen Spielzeug zu einer ernsthaften Bedrohung für Benutzer aller Plattformen entwickelt und besonders für Unternehmen. Es ist wichtig einige Sicherheitsregeln zu beachten, um sich vor Ransomware-Angriffen zu schützen – und sollten die Hacker trotzdem erfolgreich sein, ist es wichtig Hilfe bei Experten zu suchen, anstatt die Forderungen der Cyberkriminellen zu erfüllen.