{"id":9285,"date":"2016-11-28T12:09:06","date_gmt":"2016-11-28T12:09:06","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=9285"},"modified":"2020-06-30T17:25:07","modified_gmt":"2020-06-30T15:25:07","slug":"fighting-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fighting-ransomware\/9285\/","title":{"rendered":"Die Ransomware-Pest 2016"},"content":{"rendered":"

Die Wurzeln von Kryptographie und L\u00f6segeld liegen tief in der Geschichte der Menschheit. Jedoch hat die Welt erst in den vergangenen Jahrzehnten gesehen, was geschieht, wenn sie jemand kombiniert. Es begann 1989, als Dr. Joseph L. Popp die Pandemie ausl\u00f6ste, die wir heute als Ransomware kennen.<\/p>\n

\"ransomware-plague-featured\"<\/a><\/p>\n

Ursprung<\/h3>\n

Popp, der als Urvater des computerbasierten Erpressungssystems bekannt ist, verbreitete seine sch\u00e4dliche Nutzlast auf der AIDS-Konferenz der Weltgesundheitsorganisation. Die Diskette mit dem Namen \u201eAIDS-Informationen \u2013 Einf\u00fchrungsdisketten\u201c kam eigentlich mit der separat gedruckten Warnung, dass die Software den Computer sch\u00e4digen w\u00fcrde.<\/p>\n

#Ransomware: Eine kurze Einleitung, die aktuelle Situation, Prognosen und wie das Problem gel\u00f6st werden kann.<\/p>Tweet<\/a><\/blockquote>\n

Aber wer liest eigentlich Informationsbeilagen? Einige der 20.000 Disketten, die Popp erstellt hatte, wurden eingef\u00fchrt und l\u00f6sten eine Blockierung der Computer der Opfer aus; die angezeigte L\u00f6segeldforderung (170 \u20ac, die \u00fcber Schneckenpost an ein Postfach in Panama geschickt werden sollten) wird regelm\u00e4\u00dfigen Lesern dieses Blogs bekannt vorkommen. Popp wartete dann darauf, dass seine Opfer der L\u00f6segeldforderungen nachgehen w\u00fcrden.<\/p>\n

Heutige Ransomware<\/h3>\n

An dem urspr\u00fcnglichen Ransomware-Konzept hat sich wenig ge\u00e4ndert. Vielleicht ist der gr\u00f6\u00dfte Unterschied, dass statt eines Postfaches anonyme Netzwerke, wie TOR und I2P, in Verbindung mit Bitcoin verwendet werden, um der Strafverfolgung entkommen zu k\u00f6nnen. Was ist das f\u00fcr ein System, das die Zeit \u00fcberdauern konnte?<\/p>\n

Direkte Monetisierung hilft. Mit einer durchschnittlichen L\u00f6segeldsumme von 270 \u20ac wirken Millionen-Euro-Kampagnen gegen Ransomware weit hergeholt, aber selbst kleine Summen addieren sich mit der Zeit \u2013 und diese Erpressungssysteme haben ihre Wirksamkeit und ihre gleichbleibende Kraft bewiesen.<\/p>\n

Der Durchschnittsuser wird<\/em> sich wahrscheinlich der schwierigen Frage stellen m\u00fcssen, ob er L\u00f6segeld zahlen oder seine Dateien verlieren m\u00f6chte. Leider entschlie\u00dfen sich viele zu einer L\u00f6segeldzahlung, obwohl wir strengstens davon abraten<\/a>; wir raten zu einem anderen Weg, falls m\u00f6glich, wie das Suchen eines Entschl\u00fcsselers auf der Seite No More Ransom!<\/a>.<\/p>\n

\"The<\/a><\/p>\n

Die Anzahl der Ransomware, die t\u00e4glich neu entdeckt wird, kann entmutigend wirken, aber die Quantit\u00e4t<\/em> ist tats\u00e4chlich ein geringeres Problem als die Qualit\u00e4t<\/em>. Eine vergleichsweise kleine Anzahl von Malware-Familien ist\u00a0gut genug verschl\u00fcsselt und hat so viel Zugkraft, dass man sich Sorgen machen m\u00fcsste; aber die wenigen Familien, die f\u00fcr ihren gro\u00dfen Auftritt bereit sind, richten ernsthaften Schaden an (damit meine ich euch, Locky<\/a> und Cerber<\/a>). Und das ist mehr als genug, um Sicherheitsforscher auf Trab zu halten.<\/p>\n

Auch wenn ein einziger T\u00e4ter eine Ransomware-Kampagne starten kann, spezialisieren sich Cyberkriminelle und profitieren von Teamwork. Sie k\u00fcmmern sich um technischen Support, helfen ihren Opfern beim Kauf von Bitcoins, um das L\u00f6segeld zu zahlen, w\u00e4hrend sie ihren sch\u00e4dlichen Code verbessern und versuchen, Sicherheitsforscher und Exekutivbeh\u00f6rden zu t\u00e4uschen. Erpressung ist harte Arbeit!<\/p>\n

Als Gesch\u00e4ftsmodell ist Ransomware in den vergangenen Jahren aufgebl\u00fcht, teilweise wegen neuen Angeboten von schl\u00fcsselfertigen Ransomware-as-a-Service-L\u00f6sungen. Obwohl f\u00fcr die Erstellung der meisten Ransomware-Arten nur eingeschr\u00e4nkte technische Kenntnisse erforderlich sind, ist die eigne Herstellung einer gut gemachten Ransomware eine anspruchsvollere Aufgabe. Der Trick besteht in einer guten Verschl\u00fcsselung (wenn sie schlecht gemacht ist, kann viel zu schnell ein Entschl\u00fcsselungstool entwickelt werden \u2013 und darum k\u00fcmmern wir uns).<\/p>\n

Der einfachste Weg f\u00fcr Amateure ist ein aufgeteiltes Gesch\u00e4ftsmodell: Sie k\u00fcmmern sich um die Verteilung und zahlen einen Teil der Beute an die urspr\u00fcnglichen Entwickler. Diese Art von Deal ist leider sehr erfolgreich.<\/p>\n

Ransomware-Arten<\/h3>\n

Die Entwicklung verschiedener Ransomware-Arten \u2013 von einfachen Gebr\u00e4uen, die auf Tools Dritter basieren (wie WinRAR, GPG), bis hin zu Malware, die Quelltext vom Microsoft Developer Network implementiert \u2014 zeigt die Bereitschaft der Cyberkriminellen, den Einsatz zu erh\u00f6hen.<\/p>\n

Au\u00dferdem ist es heutzutage nicht ungew\u00f6hnlich, hochwertige Ransomware zu finden, die Shadow Copy-Backups l\u00f6schen, extern angeschlossene oder Netzlaufwerke verschl\u00fcsseln und selbst in Ihre Cloud-synchronisierten Dateien eindringen kann. Die Messlatte wurde h\u00f6her gelegt, und obwohl es viele Amateure gibt, halten uns eine Hand voll Hauptakteure auf Trab.<\/p>\n

Trends<\/h3>\n

Einige neuere Ransomware-Varianten, die in Brasil entdeckt wurden, zeigen, dass Ransomware weiterhin w\u00e4chst, aber mehr durch Markenumstellung als durch Innovation. Warum sich mit der Erstellung eines eigenen Ransomware-Codes herumplagen? Selbst Kinder ohne besondere Kenntnisse k\u00f6nnen Ransomware-Kits kaufen, die alles enthalten, was man f\u00fcr einen Kampagnenstart braucht, und ein Thema ausw\u00e4hlen. Wenn das Branding interessant genug ist, erh\u00e4lt es mediale Aufmerksamkeit, wodurch sie nicht nur an Geld, sondern auch an Ruhm gelangen.
\n<\/a><\/p>\n

\"no-no-ransom-ig-recuperado-de-1\"<\/p>\n

Wir haben mehr als genug Ransomware mit schlechter Qualit\u00e4t gesehen, die Schlagzeilen machten, da sie ein Logo einer beliebten TV-Show, ein Bild eines Filmcharakters oder selbst Witze \u00fcber Politiker verwendete. Jedoch ist die Schattenseite dieses Vorgehens, dass die Verantwortlichen einfach gefasst werden k\u00f6nnen. Jedoch entscheiden sich viele Kriminelle gegen einen Namen und lassen ihre Opfer mit einer Kontakt-E-Mail und einer Bitcoin-Adresse zur Zahlung allein.<\/p>\n

Soweit die Zahlungsmethoden auch reichen, bevorzugen die bekanntesten Ransomware-Familien f\u00fcr eine L\u00f6segeldforderung und \u2013Zahlung noch immer Bitcoin. Und trotzdem ist es nicht un\u00fcblich, gelegentlich auf L\u00f6segeldforderungen \u00fcber weit verbreitete Gutscheinmethoden, wie PaySafeCard, zu sto\u00dfen. Regionale und hausgemachte Operationen setzen f\u00fcr gew\u00f6hnlich auf lokale Zahlungsoptionen. Jedoch bedeutet das, auf einige der Undurchsichtigkeiten verzichten zu m\u00fcssen.<\/p>\n

Hart arbeiten und nach vorne blicken<\/h3>\n

Wir wechseln langsam von einem Paradigma der Ransomware-Restaurierung zu einem der Ransomware-Intelligenz, aber vor uns liegt noch ein langer Weg. Nur durch Analyse fundierter Beweise und konkreter Statistiken zum Problem k\u00f6nnen wir unsere Optionen angemessen absch\u00e4tzen. Leider meldet nicht jeder, der von Ransomware betroffen ist, sofort den Vorfall, und selbst die, die es tun, melden es verschiedenen Institutionen und machen es somit schwierig, alle Daten sammeln zu k\u00f6nnen.<\/p>\n

Das gemeinsame Vorgehen von Strafverfolgungsbeh\u00f6rden und IT-Sicherheitsunternehmen, um kriminelle Cyberunternehmen mit Verbindungen zu Ransomware zu sprengen, hat sich als wirksam erwiesen<\/a>. So entstand z. B. die Initiative No More Ransom<\/a> aus dem Wunsch, Opfern von Ransomware dabei zu helfen, ihre verschl\u00fcsselten Daten zur\u00fcckzuerhalten, ohne die Kriminellen bezahlen zu m\u00fcssen.<\/p>\n

\n
\n

13 more countries join the #NoMoreRansom<\/a> fight https:\/\/t.co\/dQr6RiTLKO<\/a> pic.twitter.com\/aZE2GDIosr<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) October 17, 2016<\/a><\/p><\/blockquote>\n