Geschichte und Entwicklung von Ransomware

Wo Ransomware ihren Ursprung hat, wie Blocker zu Verschlüsselern wurden und warum Malware das Lieblingstool von Cyberkriminellen ist.

In der letzten Zeit hat Ransomware viel Aufmerksamkeit in den Medien erregt. Ist diese Malware nur ein weiteres reißerisches Thema, und wird vergessen, sobald eine neue Bedrohung auftaucht? Leider ist es der unwahrscheinlichere Fall: Ransomware verbreitet sich geradezu wie eine pandemische Seuche und wird so bald nicht verschwinden. Es geht uns nicht darum, Ihnen Angst einzujagen. Schauen Sie sich jedoch einmal die von Kaspersky Security Network erstellten Statistiken an — es geht hier um eine ernstzunehmende Bedrohung.

Die erste Welle: Blocker

Die Geschichte der Ransomware kann in zwei Teile unterteilt werden: vor der Verschlüsselung und danach. Blocker waren die Vorgänger der modernen Verschlüsseler. Diese Malware blockierte den Zugriff auf das Betriebssystem oder den Browser bis der Nutzer ein moderates Lösegeld bezahlte. Für die Zahlung war es notwendig, eine SMS an eine Kurzwahlnummer (eine Alternative für eine Telefonnummer, häufig für Spendenüberweisungen verwendet) zu senden oder eine Geldüberweisung an ein eWallet zu tätigen.

Diese Malware war äußerst gewinnbringend — und Kriminelle brachten sie häufig zum Einsatz. Natürlich lösten Sicherheitsexperten und Strafverfolgungsagenturen das Problem sehr schnell.

Sie fanden eine elegante Lösung und zogen Cyberkriminellen einen Strich durch die Rechnung, indem sie Änderungen am Zahlungssystem vornahmen. Denn als die gesetzlichen Vorschriften zur elektronischen Zahlung geändert wurden, wurde das Cyberverbrechen weniger gewinnbringend, und zugleich risikoreicher und viele Täter wurden geschnappt.

Die zweite Welle: Verschlüsseler

Vor ein paar Jahren änderte sich alles. Bitcoin wurde weitverbreitet und recht beliebt unter Cyberkriminellen. Die Kryptowährung ist zum einen eine digitale Anlageoption und zum anderen ein Zahlungssystem, das unmöglich verfolgt oder reguliert werden kann. Cyberkriminellen ist die Kryptowährung daher mehr als willkommen. Zusätzlich gingen Täter zu einem neuen Ansatz über: anstatt den Zugriff auf Browser und Betriebssysteme zu blockieren, entschieden sie sich dazu, Dateien, die auf den Festplatten der Opfer gespeichert waren, zu verschlüsseln.

Warum ist dieses Verfahren so effizient? Private Dateien sind einmalig, also können Nutzer sie nicht durch eine erneute Installation des Betriebssystems ersetzen. Wenn der Cryptor eine starke Verschlüsselung verwendet, ist es nicht möglich, die Dateien wiederherzustellen (in anderen Worten, zu entschlüsseln). Dadurch sind Kriminelle dazu in der Lage, enorme Lösegelder zu fordern: mehrere Hunderte von Dollarn von Privatnutzern und mehrere Tausende von Betrieben und Unternehmen.

Eine Zeit lang war die neue Generation von Verschlüsselern weniger verbreitet als die alten Blocker. Aber das war nur eine Frage der Zeit: Kriminelle stiegen sehr schnell auf neue Malware um. Ende 2015 stieg die Anzahl von Ransomware-Angriffen schlagartig an.

Nach unseren Analysen, die auf Statistiken von Kaspersky Security Network basieren, hat sich die Anzahl von Angriffen in einem Jahr mehr als verfünffacht: von 131.111 Versuchen, unsere Nutzer 2014-2015 zu infizieren auf 718.536 im Zeitraum 2015-2016.

Globale Verbreitung von Angriffen und die aktivsten Ransomware-Familien

Die Top-10-Länder, in denen Bürger auf Ransomware stoßen, sind Indien, Russland, Kasachstan, Italien, Deutschland, Vietnam, Algerien, Brasilien, die Ukraine und die USA. Jedoch sind in Indien, Algerien, Russland, Vietnam, Kasachstan, der Ukraine und Brasilien vorwiegend alte und ungefährlichere Versionen von Verschlüsselern im Umlauf. In den USA werden 40% der User von gefährlichen Verschlüsselern angegriffen. In Italien und Deutschland ist die Situation am schlimmsten: „Ransomware“ ist in diesen Ländern mittlerweile gleichbedeutend mit „Verschlüsseler“.

2015-2016 waren diese Schutzgelderpressungs-Trojaner die aktivsten: TeslaCrypt (fast die Hälfte der Angriffe), aber zum Glück haben wir jetzt einen Entschlüsseler für ihn. Die anderen sind CTB-Locker, Scatter und Cryakl (für den wir ebenfalls einen Entschlüsseler anbieten). Diese vier Familien teilen sich 80% des „Marktes“.

Ein anderer nennenswerter Fakt: ursprünglich war Ransomware vorwiegend auf Heimanwender ausgerichtet. Nach einer „Aktualisierung“ der Verschlüsselung begannen Cyberkriminelle, auch Unternehmen zu bedrohen: im Zeitraum 2015-2016 hat sich die Zahl der Unternehmensanwender, die von Ransomware angegriffen wurden, mehr als verdoppelt – sie stieg von 6.8% (2014-2015) auf 13.13%.

Sie finden mehr Informationen zur Entwicklung von Ransomware zwischen 2014 und 2016 unter securelist.com.

Wie man sich schützen kann

  1. Erstellen Sie regelmäßig Sicherungskopien
  1. Verwenden Sie verlässliche Sicherheitslösungen. Zum Beispiel spürt Kaspersky Internet Security, wie andere unserer Kernprodukte, alle bekannten Ransomware-Familien auf und blockiert sie. Die Sicherheitssoftware verfügt darüber hinaus über ein integriertes Modul, das Sie vor den neuesten und noch unbekannten Verschlüsselern beschützen kann.
  1. Aktualisieren Sie Ihre Software auf regulärer Basis: Korrekturen lösen Softwareschwachstellen, und je weniger Bugs Sie haben, desto schwieriger ist es, Ihr System zu infizieren.
  1. Bleiben Sie auf dem neuesten Stand über Neuigkeiten zur Cybersicherheit hier auf Kaspersky Daily und unter threatpost.com — Vorsicht ist besser als Nachsicht. Gehen Sie sicher, Ihren Freunden, Verwandten und Kollegen von den neuesten Bedrohungen zu berichten.
  1. Wenn Sie bereits zum Opfer von Ransomware geworden sind, zahlen Sie kein Lösegeld, bevor Sie nicht andere Optionen ausprobiert haben. Wenn Sie es mit einem Blocker zu tun haben, verwenden Sie unser Gratistool WindowsUnlocker. Wenn Sie ein Problem mit einem Verschlüsseler haben, schauen Sie unter NoRansom.kaspersky.com nach, ob es auch hierfür eine Lösung gibt.

 

Tipps