Movatterモバイル変換

[0]ホーム
URL:

Zum Inhalt springen
WikipediaDie freie Enzyklopädie
Suche

Ransomware

aus Wikipedia, der freien Enzyklopädie

Beispiel eines Erpresserschreibens bei Ransomware:

Your personal files are encrypted!

Your important filesencryption produced on this computer: photos, videos, documents, etc.Here is a complete list of encrypted files, and you can personally verify this.

Encryption was produced using auniquepublic keyRSA-2048 generated for this computer. To decrypt files you need to obtain theprivate key.

Thissingle copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server willdestroy the key after a time specified in this window. After that,nobody and never will be able to restore files…

To obtain the private key for this computer, which will automatically decrypt files, you need to pay300 USD / 300 EUR / similar amount in other currency.

Click Next to select the method of payment.

Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.
Meldung des CryptoLockers

Ransomware (vonenglischransom für „Lösegeld“), auchErpressungstrojaner,Erpressungssoftware,Kryptotrojaner oderVerschlüsselungstrojaner, sindSchadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung und auf das ganze Computersystem verhindern kann. Dabei werden Daten auf dem fremden Computerverschlüsselt oder der Zugriff auf sie verhindert, um für dieEntschlüsselung oder Freigabe ein Lösegeld zu fordern.

Die Bezeichnung setzt sich zusammen ausransom, dem englischen Wort für Lösegeld, undware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software,Malware etc.). Laut einem Bericht vonSonicWall fanden 2021 um die 623 Millionen Angriffe durch Ransomware statt.[1] Eine 2022 erschienene Studie beziffert die Summe der erpressten Lösegeldzahlungen auf 256,8 Millionen US-Dollar im Jahre 2022, während es 2021 noch 756,6 Millionen Dollar waren.[2]

Moderne Ransomware-Gruppen wie „Akira“ setzen zunehmend auf doppelte Erpressung (Double Extortion), bei der neben der Verschlüsselung von Daten auch mit der Veröffentlichung gestohlener sensibler Informationen auf sogenannten Leak-Seiten[3] imTor-Netzwerk gedroht wird.

Geschichte

[Bearbeiten |Quelltext bearbeiten]
Die erste bekannte Ransomware AIDS wurde als Brief verschickt
Bildschirmtext des Trojaners AIDS auf das Jahr 1989

Die Idee geht in den September 1989 zurück, als dasTrojanische PferdAIDS auf Disketten per Post an zahlreiche Forschungseinrichtungen verschickt wurde. Nach einiger Zeit verschlüsselte das Programm die Daten auf der Festplatte. Laut Bildschirmmeldung war die Lizenz abgelaufen. Der Name eines Unternehmens wurde genannt, und eine Postfachadresse in Panama, an die man einen Scheck senden sollte, um einen Lizenzschlüssel zu erwerben und die Daten wieder freizugeben. Das Vorgehen war somit nicht unmittelbar als Erpressung erkennbar. Der Täter, der amerikanische BiologeJoseph L. Popp Jr., konnte überführt werden. Wegen einer psychischen Erkrankung wurden die Ermittlungen gegen ihn eingestellt.

Die erste Malware überhaupt, die Dateien verschlüsseln konnte, war dasBootsektorvirusDisk Killer. Das bösartige Programm war aber nicht auf Erpressung ausgelegt, sondern sollte Datenverluste auf Serveranlagen verursachen. Es erschien ebenfalls im Jahr 1989, laut Signatur wurde es bereits vor dem AIDS-Trojaner geschrieben. Nicht jede Ransomware verschlüsselt Daten, einfachere Programme dieser Art sperren den Rechner mit unterschiedlichen Methoden.

Einer der ersten bekannten Versuche, Ransomware über dasInternet zu verbreiten, wurde von Cyberkriminellen im Jahr 2005 mit demTrojanerTROJ_PGPCODER.A durchgeführt. Für die Entschlüsselung der Daten sollten die Betroffenen mehrere hundertUS-Dollar bezahlen. Seit sichKryptowährungen etabliert haben, ist die Geldüberweisung für die Täter deutlich einfacher und risikoärmer geworden. Daher kam es etwa ab dem Jahr 2010 nahezu weltweit zu einem massiven Anstieg von Straftaten mit Ransomware.

Im polizeilichen Kriminalitätsbericht des LandesSachsen-Anhalt von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hatte 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert.[4]

Etwa seit 2012 kam es zu häufigen Vorfällen mit verschiedenen Varianten desBKA-Trojaners. Er gab vor, den Rechner im Auftrag einer Strafverfolgungsbehörde wegen illegaler Aktivitäten gesperrt zu haben. Zur Entsperrung sollte ein Bußgeld bezahlt werden. Diese Trojaner verschlüsselten meist keine Daten, sondern sperrten nur das System. In den meisten Fällen ließ sich der Schaden leicht beheben. Opfer, die die geforderte Summe bezahlten, erhielten zudem keine Antwort, bzw. keine Anleitung zum Entsperren des Systems.[5]

Inzwischen sind kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannteCrimeware-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann.[6]

Im Oktober 2013 wurde die RansomwareCryptoLocker bekannt, die erstmals eine Bezahlung in Bitcoin forderte.[5]

2016 ist der KryptotrojanerLocky aufgetaucht, welcher zehntausende PCs und unter anderem das Fraunhofer-Institut in Bayreuth infizierte.[7] Das Tesla X3-Cryptovirus befiel im Februar 2016 u. a. Rechner des Rathauses inRheine.[8] Vom 1. Dezember 2015 bis zum 29. Februar 2016 wurden nach Angaben des nordrhein-westfälischenLandeskriminalamts 156 Anzeigen wegen Angriffen durch Ransomware erstattet, die Dunkelziffer wird weit darüber vermutet.[9] Betroffen waren 113 Firmen und Einrichtungen, unter denen sich etliche Kliniken sowie dasMinisterium für Inneres und Kommunales des Landes Nordrhein-Westfalen in Düsseldorf befanden, welches im Dezember 2015 einen Angriff erlitt.[9][10]

Im März 2016 wurde KeRanger gefunden, eine Variante eines Kryptotrojaners fürOS X.[11] Anfang Juni 2016 informierte dasFraunhofer-Institut für Sichere Informationstechnologie darüber, dass auchSmartphones durch Ransomware betroffen sein können, insbesondere falls diese mit Security-Apps versehen sind, dieSicherheitslücken enthalten, wie sie vom Fraunhofer-Institut in sämtlichen der sieben exemplarisch getesteten Anwendungen gefunden und dem jeweiligen Hersteller zur Behebung gemeldet wurden.[12]

Im Mai 2017 befiel der ComputerwurmWannaCry unter anderem mehrere global tätige große Unternehmen in sehr kurzer Zeit; es wurden über 230.000 Computer in 150 Ländern infiziert. Aufgrund dieser Ausmaße bezeichnete dasEuropäische Polizeiamt den Ausbruch als noch nie da gewesenes Ereignis.Neben der hauptsächlichen Verbreitung als E-Mail-Anhang besitzt WannaCry auch Eigenschaften eines Netzwerkwurms, und versucht, weitere Rechner über Sicherheitslücken in Betriebssystemen aktiv und ohne Nutzerzutun zu infizieren. Die auf aktuellem Update-Stand (April 2017 bei Microsoft) befindlichen Systeme seien nicht betroffen gewesen. Bestimmte Datei- und Druckerdienste müssen freigegeben sein, womit WannaCry die Ausbreitung vor allem in unternehmensinternen Datennetzen mit teilweise lange fehlerbehafteten Rechnersystemen gelang. Das Bezahlen der Forderung war auch in diesem Fall sinnlos, da die Ransomware fehlerhaft programmiert war. Eine problemlose Entschlüsselung der Daten war daher nicht möglich.

Seit 2019 werden Mobiltelefone immer häufiger Opfer von Ransomware-Angriffen. Laut einer Studie des Forschungsinstituts Check Point stieg die Anzahl der Cyberangriffe auf Smartphones und Tablets in der ersten Jahreshälfte 2019 im Vergleich zum Vorjahr um fünfzig Prozent an.[13]

Im Juli 2021 nutzten Cyberkriminelle eineSicherheitslücke in einer Software für VSA-Server der Firma Kaseya aus. Die Fernwartungssoftware wurde manipuliert um den TrojanerSodinokibi.N aufzuspielen. Damit wurden die Daten im Netzwerk verschlüsselt. Für die Cyberattacke erklärte sich die russische HackervereinigungREvil verantwortlich.

2022 wurde die Ransom-SoftwareHIVE entdeckt und unschädlich gemacht.[14] 2023 wurde die russische Ransomware-GruppeIndrik Spider enttarnt, welche unter anderem einen Ransomware-Angriff auf dieUniversitätsklinik Düsseldorf durchführte[15], bei der eine Person verstorben ist.[16]2023 führte die Ransomware-GruppePlay eine Welle von Erpressungs-Attacken auf private sowie staatliche Unternehmen in derSchweiz aus.[17]

Ausprägungen

[Bearbeiten |Quelltext bearbeiten]

Mittlerweile sind Ransomware-Kriminelle dazu übergegangen, nicht nur die Systeme ihrer Opfer zu verschlüsseln und Lösegeld für die Entschlüsselung zu verlangen („single extortion“), sondern auch sensible Kunden- und Unternehmensdaten auszuleiten und mit deren Veröffentlichung zu drohen („double extortion“).[18] Extortion heißt auf Deutsch übersetzt Erpressung. In der internationalen englischen Fachsprache wird zwischen einfacher („single“), zweifacher („double“), bis hin zur mehrfachen („multiple“) Erpressung unterschieden. Die zweite Erpressung bei Double Extortion ist durch die explizite oder implizite Geldforderung der Täterschaft für die Unterlassung der Veröffentlichung ausgespähter Daten geprägt.

Ein Beispiel für Double Extortion ist die Serie der CONTI-Ransomware. Unter dem Namen „Conti News“ richtete die Täterschaft einen Blog auf einerDark-Web-Seite imTor-Netzwerk ein.[19] Die Seite war ebenfalls über Clear Web Proxys für jeden im gewöhnlichen Internet erreichbar.[20] Von August 2020 bis Juli 2022 wurden darauf etwa 859 bis 869 Einträge zu Betroffenen, deren Daten durch die CONTI-Ransomware verschlüsselt wurden, veröffentlicht.[21][22] Darunter befanden sich teils größere Unternehmen, die Millionen-Forderungen bezahlten.[23] Auf eine primär CONTI zugerechnete digitale Geldbörse – kurzWallet genannt – für dieKryptowährungBitcoin (BTC), sind im Zeitraum vom 21. April 2017 bis zum 28. Februar 2022 insgesamt 65.498,197 BTC eingegangen.[24] Der Wert von Kryptowährungen unterliegt starken Schwankungen. In einer Schätzung, ohne die Verfolgung individueller Ein- und Abgänge, hätten 65.000 BTC im Februar 2022 einen Wert von rund zwei bis zweieinhalb Milliarden Euro gehabt.[25] Etwa 53 der von Conti veröffentlichten Betroffenen waren Unternehmen aus Deutschland und weitere hatten Deutschlandbeziehungen.[22] Teile ausgespähter Daten bot die Täterschaft auf ihrem Blog zum Download an. Diese Art von Internetpräsenzen, auf denen ausgespähte Daten angeboten werden, nennen Experten Leak Sites.[26] Im Zeitraum eines Jahres, zwischen Juli 2020 und September 2021, schätzen Forschende allein die von CONTI öffentlich angebotene Datenmenge auf über 18,7 Terabyte.[22][27] Diese Zahl istMoore'sch zu interpretieren.[28] Das heißt, sie beschreibt nach dem Verständnis zu der Zeit, in der die Taten stattfanden, eine große Datenmenge. Durch technische Weiterentwicklungen wird sich die subjektive Wahrnehmung davon, wann eine Menge von Daten groß ist, verändern. In Zukunft wird diese Zahl dann als kleiner verstanden. Durch die Veröffentlichungen auf einer Leak Site erhoffen sich die Täterschaften, die Betroffenen zur Zahlung zu nötigen. Veröffentlicht werden dafür oft personenbezogene Daten, zusammen mit geringwertigem Datenmüll. Manche monetarisieren die gestohlenen Daten zusätzlich aufMarktplätzen im Dark Web.[29]

Das Prinzip der Double Extortion lässt sich noch erweitern. Dazu werden durch die Täterschaft in gestohlenen Daten und mitOSINT-Recherchen Dritte ausfindig gemacht, die von den Daten oder dem Zugriff darauf abhängig sind. Die Dritten werden dann aufgrund ihrer Abhängigkeiten erpresst. Ein Beispiel dafür ist der sogenannte Angriff auf die Wertschöpfungskette,englischSupply Chain Attack.[30] Ausprägungen dieser Erpressungsformen sind die Triple und Quadruple Extortion.[31] Je nach Inhalt der ausgespähten Daten ergeben sich für die Täterschaft weitere Handlungsmöglichkeiten. Dieser Umstand führt zu dem Begriff der Multiple Extortion, für alle weiteren Möglichkeiten, die sich für sie ergeben können.[32] Am Beispiel von CONTI wurde nachgewiesen, dass für die Organisation der Taten eine Struktur in derUnderground economy entstanden ist, die vergleichbar mit der eines Software-Unternehmens ist.[33]

Konkrete Beispiele für deutsche Bezeichnungen einzelner Ausprägungen von Ransomware sind dieLösegeld-,Schweigegeld- oderSchutzgelderpressung.[34] Die Lösegelderpressung steht darunter für Single Extortion und die Schweigegelderpressung für Double Extortion. Die Schutzgelderpressung lässt sich wie folgt beschreiben: die Täterschaft verursacht in einem weiteren Angriff einenDenial of Service. Bei Denial of Service handelt es sich um eine andere Form der Computersabotage. Dieser unterbindet die Erreichbarkeit von Systemen Betroffener im Internet. Dies stellt ein zusätzliches Mittel zur Nötigung der bereits wegen der Verschlüsselung unter Druck stehenden Geschädigten dar.

Zu den bekannten Ransomware-Gruppen der letzten Jahre[35] zählen u. a. „LockBit“, „Conti“, „REvil (Sodinokibi)“, „Maze“ sowie neuere Akteure wie „Akira“, „Qilin“ oder „RansomedVC“. Diese Gruppen nutzen oft das Ransomware-as-a-Service-Modell (RaaS), bei dem Malware gegen Beteiligung an Lösegeldern bereitgestellt wird. Insbesondere Akira[36] fiel durch gezielte Angriffe auf Unternehmen und eine eigene Leak-Seite im Darknet auf.

Vorgehen der Schädlinge

[Bearbeiten |Quelltext bearbeiten]

Ransomware kann auf den gleichen Wegen wie einComputervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierteE-Mail-Anhänge, die Ausnutzung vonSicherheitslücken inWebbrowsern oder über Datendienste wieDropbox.

Screenshot der deutschsprachigen Version des Erpresserbriefs vonLocky
Bildschirmfoto von Goldeneye Ransomware im Dezember 2016

So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindlicheZIP-Datei enthalte eine Rechnung oder einen Lieferschein über bestellte Ware.[6] Auch wird manchmal behauptet, dasBundeskriminalamt, dieBundespolizei, dieGEMA oderMicrosoft habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt.[37]

In den letzten Jahren haben sich die Verbreitungsmethoden von Ransomware signifikant weiterentwickelt. Neben klassischen Phishing-Kampagnen nutzen Angreifer zunehmend gezielte Initial Access-Vektoren wie kompromittierte RDP-Zugänge[38], VPN-Zugänge ohne Multi-Faktor-Authentifizierung oder Schwachstellen in öffentlich erreichbaren Anwendungen. Ransomware-Gruppen wieAkira,Qilin[39] oder8Base kombinieren diese Zugriffe mit manuellen Ausbreitungsstrategien im Netzwerk, um möglichst viele Systeme zu verschlüsseln und gleichzeitig sensible Daten für Erpressungszwecke zu exfiltrieren („Double Extortion“). Oft kommen dabei bekannte Tools wie PsExec, Mimikatz oder Rclone sowie automatisierte Skripte zur Deaktivierung von Sicherheitssoftware und Backups zum Einsatz.

Infiltration von Systemen und Exfiltration von Daten

[Bearbeiten |Quelltext bearbeiten]

Vor, während und nachdem eine Ransomware Daten verschlüsselt, können mehrere gefährliche Prozesse ablaufen. Bei manuell betriebener Ransomware versuchen die mit dem angegriffenen System verbundenen Angreifer sich auf dem befallenen System und in angebundenen Netzwerken fortzubewegen (Infiltration). Zur idealisierten Vorstellung, wie die Angreifer vorgehen, hilft es an eine Fernwartungssoftware zu denken – auch wenn die Angriffe technisch sehr viel raffinierter sein können. Die Fortbewegung im eingedrungenen System wird in der englischen Terminologie alsLateral Movement bezeichnet. Selbst nachdem die Daten einzelner Rechner bereits verschlüsselt wurden besteht ohne Gegenmaßnahmen die Gefahr, dass weitere Verschlüsselungen in angeschlossenen Systemen folgen. Finden die Eindringlinge dabei Daten, die interessant und wertvoll aussehen, spähen sie diese aus. Über teils verdeckte und anonymisierte Kanäle übertragen sie die Daten aus einem privaten Netz oder dem Netz einer Organisation ins Internet, auf von ihnen kontrollierte Datenspeicher (Datenexfiltration). Nach der Sichtung und Einschätzung des Werts der gestohlenen Daten, entscheiden sie über deren weitere Verwendung für die Erpressung oder den Verkauf an Dritte.

Blockade des Systems

[Bearbeiten |Quelltext bearbeiten]

Ein befallener Computer kann auf unterschiedliche Weise blockiert werden. Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann. Auch derTaskmanager wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem beispielsweise einePaysafecard oderUkash-Karte gekauft wird.[40] Der Betrag wird dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Als weitere anonyme Bezahlmethode wird die KryptowährungBitcoin eingesetzt.

Verschlüsselung von Dokumenten

[Bearbeiten |Quelltext bearbeiten]

Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Sie verschlüsseln Dateien auf dem Computer; vorzugsweise Dateien, für die anzunehmen ist, dass sie für den Besitzer des Computers sehr wichtig und möglicherweise unwiederbringlich sind. AufWindows-Systemen beginnt Ransomware in der Regel daher im OrdnerEigene Dateien und bevorzugt dort mitOffice-Anwendungen erstellte Dokumente, sowie u. a. auch E-Mails,Datenbanken,Archive und Fotos.[37] Ohne Entschlüssel-Passwort hat der Benutzer keinen Zugriff mehr auf ihre Inhalte.Im Gegensatz zuSpyware werden hier also keine großenDatenmengen verschoben.

Um die von der Ransomware verschlüsselten Daten wieder entschlüsseln zu können, wird der geschädigte Benutzer von dem Eindringling aufgefordert, ein Lösegeld zu bezahlen, damit er eine Software zur Entschlüsselung bzw. das benötigtePasswort erhalte. Mitunter wird er dazu zunächst zu einer gesonderten Kontaktaufnahme mit dem Ransomware-Erzeuger aufgefordert, beispielsweise per E-Mail an eine bestimmte E-Mail-Adresse, über den Aufruf einer bestimmtenWebseite oder über eine Formularmaske. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden.

Der befallene Computer kann durch die Schadsoftware noch weiter manipuliert und überwacht sein; er darf daher nicht für weitere Arbeiten, insbesondere nicht für Tätigkeiten, die ein Passwort benötigen, verwendet werden. Das Lösegeld vom betroffenen Rechner aus per Onlinebanking zu überweisen ist alsgrobe Fahrlässigkeit zu werten.

In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien vonseiten des Angreifers gar nicht vorgesehen, sodass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert.[37]

Schutz- und Gegenmaßnahmen

[Bearbeiten |Quelltext bearbeiten]

DasNationale Zentrum für Cybersicherheit derschweizerischen Bundesverwaltung hat auf ihrer Website Empfehlungen für Privatnutzer sowie für Unternehmen veröffentlicht:[41]

  • RegelmäßigeDatensicherungen auf einem externen Medium, welches nur während des Backupvorgangs mit dem Computer verbunden ist. Bleibt das Sicherungslaufwerk angeschlossen, kann die aktive Ransomware auch die Datensicherung zerstören.
  • Betriebssystem auf dem neuesten Stand halten,Updates zügig installieren.
  • Vorsicht bei E-Mails, die von einem unbekannten Absender stammen. Links können auf Webseiten mit Schadprogrammen führen, angefügte Dateien können ein Schadprogramm enthalten.
  • EinenVirenschutz installieren und regelmäßig updaten.
  • EineFirewall benutzen.

Das deutscheBundesamt für Sicherheit in der Informationstechnik hat eine Situationsanalyse veröffentlicht, in der auch umfangreiche Empfehlungen zu Schutz- und Gegenmaßnahmen aufgeführt sind, sowie die empfohlene Verhaltensweisen im eingetretenen Fall. Die Analyse richtet sich an professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen.[42] Die WebsiteNo More Ransom ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei,Europols europäischem Cybercrime Center und zwei Cyber Security-Unternehmen mit dem Ziel, den Nutzern Ransomware zu erklären, ihnen Gegenmaßnahmen zu empfehlen, um eine Infektion wirksam zu verhindern, sowie Opfern von Ransomware bei der Entschlüsselung zu helfen.[43]

Eine weitere Gegenmaßnahme ist die Verwendung von entsprechendenDateisystemen, welche die ursprünglichen Daten durch Überschreiben nicht unmittelbar oder gar nicht entfernen. Dies kann entweder ein versionierendes Dateisystem wieNILFS unter Linux sein. Eine weitere Möglichkeit ist der Einsatz von Systemdiensten wieVolume Shadow Copy Service (VSSS) unter Windows, welche laufend Momentaufnahmen (englischSnapshots) von Dateien bei Veränderung erstellen und so den Versionsverlauf speichern. Außerdem besteht die Möglichkeit, umfangreiche Dateisysteme wieZFS auf Speichersystemen einzusetzen. ZFS bietet die Möglichkeit, auch bei sehr großen Dateisystemen periodisch und in kurzen Intervallen von einigen Minuten schreibgeschützte Momentaufnahmen des kompletten Dateisystems zu erstellen und diese Momentaufnahmen schreibgeschützt im Dateisystem zu speichern.

Bei entsprechender Konfiguration (z. B. durch Snapshots) sind Dateisysteme wieZFS weitgehend immun gegen Ransomware.[44]

Rechtslage in Deutschland

[Bearbeiten |Quelltext bearbeiten]

Ransomware-Angreifer begehen nach deutschem Recht eine Erpressung durch Verschlüsselung von Daten in Tateinheit mit einer Computersabotage. Juristisch ausgedrückt entspricht die gewerbs- und bandenmäßige Verbreitung von Ransomware einer Erpressung nach§ 253 Abs. 1, 4 zusammen mit§ 303b StGB in Tateinheit gemäߧ 52 StGB.[45][46] Je nach Folgen der Ransomware, etwa Unterversorgungen in medizinischen Einrichtungen aufgrund von Systemausfällen, können je nach Angriff und dessen Auswirkungen weitere Tatbestände einschlägig sein.

Ratschläge für Betroffene

[Bearbeiten |Quelltext bearbeiten]

Sofortmaßnahmen

[Bearbeiten |Quelltext bearbeiten]

Erste Maßnahme beim Feststellen eines Befalls des Computers ist, den Computer sofort hart auszuschalten (nicht „Herunterfahren“, sondern vom Strom trennen!) – auch wenn das Ransomware-Fenster dies „verbietet“, damit möglichst viele noch nicht verschlüsselte Dateien unverschlüsselt bleiben.An einem anderen, nicht betroffenen Computer kann dann das weitere Vorgehen recherchiert werden.

Strafverfolgung in Deutschland

[Bearbeiten |Quelltext bearbeiten]

Obwohl einer Umfrage 2010 zufolge rund ein Viertel der Opfer ein Lösegeld zahlen würde,[47] rät auch dasBundesamt für Sicherheit in der Informationstechnik (BSI), nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittelsKreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.

Es wird geraten, Anzeige zu erstatten.[48] Stand 2022 sind verschiedene Sicherheitsbehörden gemeinsam als Koordinierungs- und Ansprechstellen tätig.[49] Anzeigen und Angaben zu Angriffen unterstützen die Aufklärung und Abschaltung von kriminellen Strukturen, welche die Ransomware-Auslieferung ermöglichen. In Deutschland sind für betreffende Privatpersonen als Ansprechstellen ihre örtlichen polizeilichen Dienststellen in Wohnortnähe zuständig.[50] Für nicht-staatliche oder staatliche Organisationen sind diezentralen Ansprechstellen Cybercrime, genannt „ZAC“, je tatbezogenem Bundesland zuständig. Zu den Organisationen gehören insbesondere Unternehmen der Wirtschaft. Die zentralen Ansprechstellen vermitteln an zuständige Stellen, nehmen Anzeigen auf, beraten zu aktuellen Cybercrime-, insbesondere Ransomware-Phänomenen, geben erste Einschätzungen und koordinieren Erkenntnisse.[51]

Erfahrungen zur Wiederherstellung verschlüsselter Daten

[Bearbeiten |Quelltext bearbeiten]

Bei den im Zeitraum 2011 bis Februar 2012 weit verbreiteten Schadprogrammen wurde zwar der Zugriff auf die Daten verhindert, es fand jedoch keine Verschlüsselung statt. Handelsübliche Antivirusprogramme konnten einige dieser Schädlinge entfernen. Dazu waren kostenlose Programme, beispielsweiseMalwarebytes Anti-Malware oderAvira, ausreichend.Sämtliche Säuberungs-, Entschlüssel- und andere Maßnahmen sind von einem „sauberen System“ aus durchzuführen – niemals „aus dem betroffenen Betriebssystem selbst heraus“.

Teilweise gelingt es Sicherheitsforschern, Ransomware zu knacken und Entschlüsselungswerkzeuge zur Verfügung zu stellen, mit denen die verschlüsselten Daten dann wieder entschlüsselt werden können.[52] So ist es beispielsweise im Februar 2016 gelungen, die Verschlüsselung von TeslaCrypt 2 bis zur Version 2.2.0 zu brechen.[53][54] Im April 2016 wurde zeitweilig die Verschlüsselung des ErpressungstrojanersPetya (Version bis Dezember 2016) geknackt. Die Softwarehack-petya erzeugte einen Schlüssel, mit welchem die Daten wieder entschlüsselt werden konnten.[55]

In einigen Fällen ist eineDatenrettung auch nach erfolgter Verschlüsselung möglich:[56]

  • Manche Ransomware verschlüsselt nur den Beginn der Dateien. Eine Rekonstruktion betroffener Dateien ist in vielen Fällen trotzdem möglich, gerade bei Dateien mit größerer Kapazität (zum Beispiel beiDatenbanken oderArchiv-Dateien).
  • In manchen Fällen kann mitcomputerforensischen Methoden der Schlüssel für die verwendete Verschlüsselung auf dem Datenträger noch gefunden werden und somit die Daten entschlüsselt werden.
  • Die Rekonstruktion von gelöschten Dateien ist in vielen Fällen möglich. Gerade bei der Bearbeitung von Dokumenten werden ofttemporäre Dateien angelegt und danach gelöscht. Gelöschte Dokumente werden bis dato von Ransomware meistens nicht verschlüsselt.
  • Datensicherungen aufNAS werden von Ransomware, obwohl behauptet, in vielen Fällen nicht verschlüsselt, sondern nur gelöschte Bereiche mit Zufallsdaten überschrieben. Eine Datenrettung ist auch hier meistens möglich.

Herkunft der Ransomware-Gruppen

[Bearbeiten |Quelltext bearbeiten]

Die Ransomware-Gruppen operieren häufig aus dem Ausland. Der Chef desbritischenNational Cyber Security Centre sagte im Jahre 2021, dass hinter den meisten Online-Erpressungen gegen britische Firmen Cyberkriminelle aus Russland und seinen Nachbarstaaten stehen.[57]

Eine Studie der amerikanischen FirmaChainalysis[58] für das Jahr 2021 ergab, dass 74 % des gesamten durch Ransomware-Erpressungen erbeuteten Geldes (≈ 400 Mio. US$) mit hoher Wahrscheinlichkeit zu Cyberkriminellen ging, die einen Bezug zu Russland haben. Ein Großteil des durch Erpressungen erbeuteten Geldes ging zudem durch russischeKrypto-Firmen, welche in der HauptstadtMoskau ansässig sind. Um die einzelnen Ransomware-Gruppen zu identifizieren, verwendeten die Analysten eine Liste von charakteristischen Indikatoren, darunter

  • Sprache der Schadprogramme und Dokumente sowie Sprache der Foren, in denen die Cyberkriminellen unterwegs waren
  • Programmier-Code, welcher sich nicht ausführte, falls das infizierte Opfer aus denGUS-Staaten stammt (Teil der ehemaligen Staaten derSowjetunion)
  • Verbindungen zu anderen cyberkriminellen Gruppierungen, deren Herkunft man bereits nachweisen konnte.[59]

Weblinks

[Bearbeiten |Quelltext bearbeiten]
Wiktionary: Ransomware – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

[Bearbeiten |Quelltext bearbeiten]
  1. Ransomware’s savage reign continues as attacks increase 105 %. In: Help Net Security. 18. Februar 2022, abgerufen am 20. April 2022 (amerikanisches Englisch). 
  2. heise online: Studie: Ransomware-Gauner machten 2022 40 Prozent weniger Umsatz. Abgerufen am 21. Januar 2023. 
  3. Akira Ransomware Analyse 2025. Abgerufen am 8. August 2025. 
  4. Pressemitteilung – Polizeiliche Kriminalstatistik 2011. PM Nr.: 015/2012. In: sachsen-anhalt.de. Ministerium für Inneres und Sport des Landes Sachsen-Anhalt, 27. Februar 2012, abgerufen am 18. Januar 2021. 
  5. abc’t Security (2018):Sicherheitsratgeber 2018 für Internet & PC, S. 45
  6. abPC-Welt Pocket:Erpresserviren aus dem Baukasten, 7/2012, S. 22
  7. Mehr als 5.000 Infektionen pro Stunde in Deutschland. Abgerufen am 19. Februar 2016. 
  8. Westfälische Nachrichten:Virus legt Rathaus in Rheine lahm, Westfalen, Rheine, mas, 2. März 2016
  9. abWestfälische Nachrichten:Alarm im Internet: Landeskriminalamt warnt vor massiven Cyber-Attacken, Titelseite, Düsseldorf/Münster, Hilmar Riemenschneider, Elmar Ries, 9. März 2016
  10. Westfälische Nachrichten:Der Krieg der Hacker: Cyber-Erpressungen erleben einen neuen Boom / Auch im Münsterland finden die Kriminellen Opfer, Westfalen, Münsterland, Elmar Ries, 9. März 2016
  11. Neue OS X Ransomware KeRanger infiziert via Transmission BitTorrent Client Installer. Abgerufen am 6. März 2016. 
  12. Westfälische Nachrichten:Sicherheits-Apps für Android-Geräte können Lücken haben, Service,dpa, 4. Juni 2016
  13. Wie ihr Ransomware zuverlässig erkennt. Abgerufen am 31. März 2023 (deutsch). 
  14. HIVE zerschlagen, am 27. Januar 2023
  15. Die Spur führt nach Rußland. In: faz.net. Frankfurter Allgemeine Zeitung, 6. Mai 2023, abgerufen am 17. Juni 2023. 
  16. Lösegeld in Millionenhöhe durch Cybererpressungen: Die Spur führt nach Russland. In: nzz.ch. Neue Zürcher Zeitung, 6. Mai 2023, abgerufen am 17. Juni 2023. 
  17. Das Ausmaß des Hacks gegen einen Dienstleister der Bundesverwaltung ist gewaltiger als angenommen. In: nzz.ch. Neue Zürcher Zeitung, 15. Juni 2023, abgerufen am 17. Juni 2023. 
  18. Cyber-Kriminalität boomt – dank Corona. Deutsche Welle, abgerufen am 31. Mai 2021. 
  19. archive.today webpage capture. unbekannt, archiviert vom Original; abgerufen am 17. Oktober 2022. 
  20. archive.today webpage capture. unbekannt, archiviert vom Original; abgerufen am 17. Oktober 2022. 
  21. I. PISAREV:The Conti Enterprise: ransomware gang that published data belonging to 850 companies. In:Group-IB Media-Center Press Releases. 23. Juni 2022. (englisch)
  22. abcP. KNODEL:Zeitnahe Erfassung von menschlich erzeugten Ereignissen aus digitalen Daten – Ein Angriff auf die Dienerschaft der dunklen Dienste, am Beispiel einer Verschlüsselungserpressung. In:Bachelorarbeit / Forschungsarbeit an der Hochschule für Polizei Baden-Württemberg. 14. Oktober 2022.
  23. Arielle WALDMAN:10 of the biggest ransomware attacks of 2021 -- so far. In:TechTarget Threats & Vulnerabilities. July 2021. (englisch)
  24. A. CULAFI:Conti ransomware source code, documentation leaked. In:NEWS. März 2022. (englisch)
  25. archive.today webpage capture. unbekannt, archiviert vom Original am 12. November 2022; abgerufen am 12. November 2022. 
  26. O. SKULKIN:Incident Response Techniques for Ransomware Attacks : Understand Modern Ransomware Attacks and Build an Incident Response Strategy to Work Through Them. Hrsg.: Packt Publishing Limited. 2022,S. 11. 
  27. INFINITUM IT:https://github.com/infinitumitlabs/Karakurt-Hacking-Team-CTIThreat Spotlight: Conti Ransomware Group Behind the Karakurt Hacking Team., In:Infinitumit.com.tr und im Bericht Github.com infinitumitlabs/Karakurt-Hacking-Team-CTI auf Seite 8. 7. Juli 2022. (englisch)
  28. G. E. Moore:Cramming more components onto integrated circuits. In:Electronics.Band 38,Nr. 8, 1965,S. 114–117 (intel.com [PDF]). 
  29. D. SMILYANETS:‘YES, WE ARE BREAKING THE LAW:’ AN INTERVIEW WITH THE OPERATOR OF A MARKETPLACE FOR STOLEN DATA. In:The Record, Hrsg.: Recorded Future. 17 September 2021. (englisch)
  30. Keeper Security, Inc.:Was ist ein Supply-Chain-Angriff?., In:Keepersecurity.com threats supply chain attack. 2022. (englisch)
  31. A. ROBINSON, C. CORCORAN und J. WALDO:New Risks in Ransomware: Supply Chain Attacks and Cryptocurrency. In:Belfer Center for Science and International Affairs, Harvard Kennedy School. 16. Mai 2022. (englisch)
  32. B. PAYNE und E. MIENIE:Multiple-Extortion Ransomware: The Case for Active Cyber Threat Intelligence. In:European Conference on Cyber Warfare and Security (ECCWS). Juni 2021. (englisch)
  33. INTEL 471 Inc.: [Move fast and commit crimes: Conti’s development teams mirror corporate tech.] In:Intel 471. 5 April 2022. (englisch)
  34. Bundesamt für Sicherheit in der Informationstechnik (BSI):Die Lage der IT-Sicherheit in Deutschland 2021. Oktober 2021,S. 9 (bmi.bund.de [PDF]). 
  35. Aktive Crime-Gruppen in Deutschland. Archiviert vom Original am 15. Januar 2025; abgerufen am 8. August 2025 (deutsch). 
  36. Akira Ransomware Analyse 2025. Abgerufen am 8. August 2025. 
  37. abcPC-Welt Pocket:Die Erpresserviren kommen, Arne Arnold, Moritz Jäger, 7/2012, S. 24
  38. Raymond Umerley: What is Akira Ransomware? Akira Attacks in a Nutshell. In: Veeam Software Official Blog. 31. März 2025, abgerufen am 8. August 2025 (englisch). 
  39. Qilin Ransomware Analyse 2025 | IOCs, Hashes & Incident Response. Abgerufen am 8. August 2025. 
  40. Heise:Bot erpresst Facebook-Nutzer, 19. Januar 2011
  41. Verschlüsselungstrojaner. In:admin.ch, abgerufen am 1. Dezember 2020.
  42. bsi.bund.de:Ransomware – Bedrohungslage, Prävention & Reaktion, 2016, abgerufen am 29. August 2018 (PDF).
  43. Website No More Ransom
  44. Oracle ZFS Storage Appliance. Oracle Corporation, 1. November 2021, abgerufen am 9. Februar 2025 (englisch). 
  45. S. D. Hüttemann: [Fortgeschrittenenklausur – Strafrecht: Ransomwareangriffe – Geld oder Daten.] In:Juristische Schulung, C.H. Beck Verlag, München, Bayern, Deutschland, 2021, S. 428 und 429 zum Tatbestand der Erpressung
  46. S. D. Hüttemann: [Fortgeschrittenenklausur – Strafrecht: Ransomwareangriffe – Geld oder Daten.] In:Juristische Schulung, C.H. Beck Verlag, München, Bayern, Deutschland, 2021, S. 431 und 432 zum Tatbestand der Computersabotage
  47. Gulli.com,Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen (Memento vom 26. Januar 2013 im Webarchivarchive.today), 17. Juli 2010
  48. Westfälische Nachrichten:Hilfe nach Erpressung mit Schadsoftware, dpa, 30. Mai 2016
  49. BKA:Was ist Cybercrime?. In:Pressemitteilung des Bundeskriminalamts, Hrsg.: Bundeskriminalamt, Deutschland, 2022.
  50. Polizei Rheinland-Pfalz:Angebote für Unternehmen & Behörden., Hrsg.: Hochschule der Polizei Rheinland-Pfalz, Deutschland, Abruf: 19. Oktober 2022.
  51. LKA BW:Handlungsempfehlungen gegen Ransomware. In:Online-Ratgeber gegen Verschlüsselungsangriffe, Hrsg.: Landeskriminalamt Baden-Württemberg, 25. Mai 2022.
  52. Heinl et al.: AntiPatterns regarding the application of cryptographic primitives by the example of ransomware. In: Proceedings of the 15th International Conference on Availability, Reliability and Security (ARES '20). August 2020, abgerufen am 27. August 2020. 
  53. Dennis Schirrmacher: Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach. In: Heise Security. Heise Medien GmbH & Co. KG, 5. Februar 2016, abgerufen am 9. Februar 2016. 
  54. Dennis Schirrmacher, Jürgen Schmidt: TeslaCrypt 2.0 entschlüsselt. In: Heise Security. Heise Medien GmbH & Co. KG, 5. Februar 2016, abgerufen am 9. Februar 2016. 
  55. Helmut Martin-Jung: Erpressungs-Trojaner geknackt: Opfer bekommen Daten zurück. In: Sueddeutsche.de. 12. April 2016, abgerufen am 2. Februar 2018. 
  56. Attingo Datenrettung: Datenrettung bei Ransomware ist möglich. Abgerufen am 11. Mai 2021. 
  57. Russia and neighbours are source of most ransomware, says UK cyber chief. In: theguardian.com. The Guardian, 11. Oktober 2021, abgerufen am 18. Juni 2023. 
  58. Russian Cybercriminals Drive Significant Ransomware and Cryptocurrency-based Money Laundering Activity. In: chainalysis.com. Chainanalysis, 14. Februar 2022, abgerufen am 18. Juni 2023. 
  59. Joe Tidy: 74% of ransomware revenue goes to Russia-linked hackers. In: bbc.com. BBC, 14. Februar 2022, abgerufen am 18. Juni 2023. 
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Ransomware&oldid=264216777
Kategorien:
[8]ページ先頭
©2009-2026 Movatter.jp