Sie sind hier: HomeTelekommunikation

Ransomware: Standardarsenal vieler Cyberkrimineller

Ransomware ist weiterhin eine akute Bedrohung. So hat sie den Angreifern ohne großen Aufwand satte Profite beschert und hebelt auch weiterhin viele Lösungen für Endpunktschutz aus. Insofern ist es nicht überraschend, dass Ransomware mittlerweile zum Standardarsenal vieler Cyberkrimineller gehört.

Ransomware, Fotolia Bildquelle: © Fotolia, normalfx

Ransomware kommt nach Angaben des Verizon Data Breach Investigations Report 2018 (DBIR) bei 39 Prozent aller Malware-Angriffe zum Einsatz.

Dabei ist die anhaltende Popularität vor allem auf den Erfolg der Methode zurückzuführen. Cyberkriminellen ist jedes Mittel recht, um schnelle Beute zu machen, und der Einsatz von Ransomware hat sich für sie als äußerst profitabel erwiesen. Warum also sollten sie ihren Modus Operandi plötzlich ändern? Zumal es mittlerweile einen regelrechten Markt für Ransomware gibt, auf dem alle für derartige Angriffe nötigen Tools und Programme erhältlich sind. Erschwerend kommt hinzu, dass viele Unternehmen und Organisationen die offiziellen Best Practices zum Schutz vor Ransomware nicht einhalten oder ihre Sicherheitsstrategien nicht an aktuelle Bedrohungstrends anpassen. Damit leisten sie einem statischen Konzept von Cybersicherheit Vorschub, in dem neue Angriffsmethoden und Ransomware-Varianten nur mit Verzögerung Beachtung finden. Ein zentrales Merkmal dieser veralteten Strategie ist die fast ausschließliche Konzentration auf den Perimeterschutz bei gleichzeitiger Vernachlässigung der Aktivitäten und Datenströme im Inneren der IT-Umgebung – also des Bereichs, der auch als „Darkspace“ bekannt ist. In diesem Punkt ist dringend ein Umdenken nötig, da die Urheber von Ransomware-Angriffen in den letzten Jahren verstärkt dazu übergegangen sind, kritische Systeme anstelle von Endpunkten anzugreifen. So konstatiert beispielsweise der Verizon-Bericht DBIR 2018: „Cyberkriminelle sind zunehmend weniger an der Verschlüsselung einzelner Endgeräte interessiert. Sie können viel mehr Schaden anrichten und viel mehr Geld erpressen, wenn sie einen Dateiserver oder eine Datenbank verschlüsseln.“

Kommerzieller Schaden
Die Angreifer nutzen also immer häufiger die Tatsache aus, dass geschäftskritische Systeme gewissermaßen das Rückgrat eines Unternehmens bilden. Wenn diese Systeme ausfallen, lähmt das den gesamten Betrieb. In einer solchen prekären Situation sehen sich viele Betroffene mit dem Schreckensszenario von rasch auf Millionenhöhe anwachsenden Einbußen konfrontiert und entscheiden sich daher zur Zahlung des geforderten Lösegelds.

Welch katastrophale Folgen ein erfolgreicher Ransomware-Angriff haben kann, zeigt das Beispiel Maersk. Als die internen Server des Reedereikonzerns 2017 mit der Malware NotPetya infiziert wurden, musste das Unternehmen Verluste von mehreren Hundert Millionen US-Dollar hinnehmen, da die globalen Geschäftsprozesse vollständig zum Erliegen kamen. Darüber hinaus waren neben Maersk viele weitere Großunternehmen von dem Angriff betroffen. Nach Schätzungen des Weißen Hauses beliefen sich die weltweiten Kosten für die Behebung der Folgen des Angriffs auf knapp neun Milliarden Euro.

Das ist umso beunruhigender, da NotPetya bei Weitem nicht die einzige derartige Ransomware-Variante ist. Ein weiteres Beispiel ist SamSam, eine Malware-Familie, die speziell darauf ausgelegt ist, Systeme für den Endpunktschutz zu unterlaufen und gezielt die kritischen Server von Unternehmen und Institutionen zu infizieren. Da SamSam nicht mit einem Command-and-Control-Server kommuniziert, ist die Malware nur schwer aufzuspüren. Und genau aus diesem Grund wird sie seit 2015 im Rahmen von gezielten Angriffen gegen kommunale und nationale Behörden und medizinische Infrastrukturen eingesetzt. 2018 legte SamSam die Stadtverwaltung von Atlanta teilweise lahm, wodurch Kosten in Millionenhöhe entstanden und wichtige kommunale Dienste zeitweise nicht verfügbar waren. Einige Monate später traf es dann den Hafen von San Diego, einen der größten Containerhäfen der Vereinigten Staaten. Im November desselben Jahres gab das FBI bekannt, dass die Angreifer mit SamSam über fünf Millionen Euro erbeutet hatten und dass die verursachte Schadenssumme noch fünfmal höher lag.

Noch weitaus heimtückischer agiert Powerware, eine weitere relativ neue Ransomware. Diese Variante installiert keine neuen Dateien auf infizierten Systemen, sondern nutzt die Microsoft-Powershell, um sich von den Endpunkten auf die Server auszubreiten und diese Vorgänge als legitime Aktivitäten zu tarnen. Dieses Maß an Raffinesse ist wohl die gefährlichste Neuentwicklung im Bereich Ransomware.