Der Aufstieg der Ransomware – die auffälligsten Beispiele

Ransomware – es ist der Stoff, aus dem Albträume sind: Sie öffnen Ihren Laptop und stellen fest, dass all Ihre Dokumente und Bilder verschlüsselt wurden oder dass andere Programme als die Ransomware Ihren Computer am Hochfahren hindern. Auf dem Bildschirm wird eine Nachricht in gebrochenem Englisch angezeigt, die Sie dazu auffordert, ein Lösegeld zu zahlen, um Ihre Dateien oder Ihren Computer wieder zu entsperren. In den letzten zwei Jahren hat Ransomware deutlich zugenommen, da immer mehr Benutzer bei wichtigen Dokumenten, Fotos und anderen Informationen statt auf physische Aufbewahrung lieber auf digitale Speichermethoden setzen. Im Folgenden finden Sie eine Übersicht darüber, wie sich der Ransom-Code entwickelt hat, wie Ransomware Benutzer im vergangenen Jahr betroffen hat und welche künftigen Entwicklungen wir erwarten können.

Die Grundlagen

Bei Ransomware handelt es sich um eine Art von Malware, die Computer infizieren und Opfer zum Bezahlen eines Lösegelds bewegen soll, damit die Dateien wieder entschlüsselt werden. Hacker infizieren Ihren Computer, indem sie Sie dazu auffordern, schädliche E-Mail-Anhänge herunterzuladen oder eine Webseite mit schädlichem Code zu besuchen, der dann Ihre wichtigen Dateien verschlüsselt oder Ihnen den Zugriff auf Ihren Computer verwehrt. Derzeit sind zwei Arten dieser Malware besonders beliebt:

• Locker-Ransomware. Diese Malware-Art blockiert grundlegende Computerfunktionen. So wird Ihnen beispielsweise der Zugriff auf den Desktop verwehrt, während Maus und Tastatur nur teilweise aktiv sind. Sie können also weiterhin mit dem Fenster der Lösegeldforderung interagieren, um die Zahlung durchzuführen. Davon abgesehen ist der Computer in einem solchen Fall aber nutzlos. Aber es gibt gute Nachrichten: Locker-Malware hat es für gewöhnlich nicht auf kritische Dateien abgesehen, sondern will Sie lediglich aussperren. Eine vollständige Zerstörung Ihrer Daten ist hierbei also unwahrscheinlicher.
• Crypto-Ransomware. Das Ziel von Crypto-Ransomware ist es, Ihre wichtigen Daten, wie z. B. Dokumente, Bilder und Videos, zu verschlüsseln, aber die grundlegenden Computerfunktionen nicht zu beeinträchtigen. So wird Panik verbreitet, da Benutzer ihre Dateien zwar sehen, aber nicht darauf zugreifen können. Crypto-Entwickler fügen oft einen Countdown zu ihrer Lösegeldforderung hinzu: Wenn Sie das Lösegeld nicht innerhalb der Frist bezahlen, werden all Ihre Dateien gelöscht. Und bedenkt man die Zahl der Benutzer, die sich der Notwendigkeit von Backups in der Cloud oder auf externen physischen Speichergeräten nicht bewusst sind, kann Crypto-Ransomware verheerende Auswirkungen haben. Dementsprechend zahlen viele Opfer das Lösegeld, um einfach nur ihre Dateien zurückzuerhalten.

Die erste moderne Ransomware trat 2005 mit Trojan.Gpcoder auf den Plan. Laut Kaspersky Lab wurden 2015 mehr als 58 Prozent der Unternehmens-PCs durch Malware angegriffen, und die Anzahl der Cryptolocker-Angriffe verdoppelte sich. Locker-Ransomware machte ca. 20 Prozent der gesamten Ransomware aus. Laut Softpedia verdoppelte sich die Anzahl der Ransomware-Angriffe auf Unternehmen im Jahr 2015, obwohl Strafverfolgungsbehörden ständig versuchen, Ransomware-Entwicklern das Handwerk zu legen und ihre Server abzuschalten. Beliebte Ransomware 2015.

2015 traten einige neue Ransomware-Arten auf den Plan:

• Linux-Server-Bedrohungen. Laut CSO erkannten verschiedene Websicherheitsfirmen Linux-Malware, die Webadministratoren aus Linux-Servern ausschließen und sie am Zugriff auf erforderliche Funktionen für den Webseiten-Support hindern sollte. Zwar wurde das Problem behoben, nachdem eine Möglichkeit gefunden wurde, den Entschlüsselungsschlüssel zu ermitteln, jedoch wurden später neue Varianten der Malware veröffentlicht, die nicht mehr auf das Entschlüsselungstool reagierten. Hacker forderten eine Bitcoin, um die verschlüsselten Dateien wieder freizugeben.
• Cryptowall 4.0. Eine neue Version des beliebten Windows-basierten CryptoLocker wird derzeit über das Nuclear Exploit-Kit verbreitet (Quelle: Threatpost). Die größte Änderung in Version 4.0 ist, dass jetzt neben den Daten auch die Dateinamen verschlüsselt werden, um die Prozesse weiter zu verschleiern und es Opfern weiter zu erschweren, ihre Daten ohne Lösegeldzahlung zurückzuerhalten.
• TeslaCrypt. Auch dieser Cryptowall-Konkurrent veröffentlichte 2015 eine neue Version. Sicherheitsunternehmen verzeichneten massive Spam-Kampagnen, bei denen diese Malware über infizierte E-Mail-Anhänge verbreitet wurde, bei denen es sich angeblich um überfällige Rechnungen handelte.
• Locker. Die Locker-Ransomware erfreute sich im Sommer 2015 großer Beliebtheit. Sie war bis zum 25. Mai versteckt. Dann aktivierte sie sich, sperrte Dateien und verlangte 0,1 Bitcoin – nach 72 Stunden stieg der Wert auf eine Bitcoin. Überraschenderweise veröffentlichte der Entwickler der Malware, Poka BrightMinds, eine Entschuldigung auf Pastebin und entschlüsselte alle infizierten Computer. Bereits bezahlte Bitcoins wurden jedoch nicht zurückgezahlt.
• Android-Malware. Mobile Ransomware hat bisher nicht das Ausmaß ihrer PC-Pendants erreicht. 2015 fand jedoch eine deutliche Zunahme von Ransom-Code auf Android-Geräten statt. Eine Variante der Android-Malware verwehrte Benutzern den Zugang zu ihren Geräten und gab als Grund hierfür an, sie hätten illegal pornografisches Material angesehen. Das Lösegeld? 500 US-Dollar in Form eines MoneyPak-Gutscheins.

Opfer fragen sich oft, ob sie das Lösegeld nicht lieber zahlen sollten, um die Rückgabe ihrer Daten zu gewährleisten – und manche Verantwortliche stimmen dem zu. Beim Cyber Security Summit 2015 riet Assistant Special Agent Joseph Bonavolonta vom FBI mit Malware infizierten Unternehmen, die Lösegelder zu bezahlen. Laut Kaspersky Lab ist das jedoch eine schlechte Idee. Denn erstens gibt es keine Garantie, dass Cyberkriminelle ihr Wort halten und die Daten wieder entschlüsseln. Zweitens gilt: Je mehr Geld sie verdienen, desto wahrscheinlicher wird es, dass sie es erneut versuchen. Und drittens arbeiten Sicherheitsunternehmen und Strafverfolgungsbehörden hart daran, gültige Entschlüsselungsschlüssel zu finden und zu veröffentlichen. Deshalb sollten Sie zunächst einmal das Internet nach möglichen Lösungen durchsuchen, bevor Sie Geld bezahlen.

Die Zukunft der digitalen Erpressung

TDieses Jahr wird sicher nicht das letzte für Ransomware gewesen sein. Aber was hält die Zukunft der digitalen Erpressung bereit? Laut MakeUseOf gibt es einige wahrscheinliche Szenarien. Ransomware für Fahrzeuge ist eine Option, da Forscher selbst bereits demonstriert haben, dass sich fahrende Automobile übernehmen und vollständig steuern lassen. Auch Smart-Home-Technologie, wie z. B. Sicherheitskameras, Türschlösser und Thermostate, stellen eine mögliche Entwicklung dar, da diese Geräte WLAN benötigen und gegenüber Brute-Force-Methoden wenig Schutz bieten. Darüber hinaus besteht das Risiko von Ransomware im Gesundheitsbereich. Diese könnte auf Geräte wie Herzschrittmacher, Implantate oder Gesundheitsmonitore abzielen. Die Verbreitung des Internet of Things (IoT) schafft zahlreiche neue Verbindungsmöglichkeiten, die derzeit nicht ausreichend durch Sicherheitsstandards geschützt sind.

Ransomware wird uns nicht so schnell wieder verlassen. Form und Ziele ändern sich zwar, aber die Methode ist bewährt und funktioniert. Wenn Sie infiziert sind, geraten Sie nicht in Panik: Suchen Sie online nach Hilfe, zahlen Sie nicht und erwägen Sie künftig den Einsatz eines Echtzeitschutzes, um Ransomware zu erkennen und zu isolieren, bevor sie Sie aussperren kann.

Weitere Artikel und Links zu Ransomware

• Ransomware-Entschlüsselung
• Top 7 der Cyberbedrohungen der Zukunft
• Top 10 der berüchtigtsten Hacker
• Malware und Computerviren – Fakten und FAQs
• Ransomware und Cybererpressung
• Der Anstieg mobiler Malware
• Ransomware-Definition und -Risiken
• Die Onion-Ransomware
• Mobile Koler-Ransomware der „Polizei“