Ransomware – die versteckte Gefahr der Verschlüsselungs­trojaner

Inhaltsverszeichnis

Was ist Ransomware und was heißt eigentlich „ransom“?

Bei Ransomware handelt es sich um schädliche Software, die zum Ziel hat, Computer und Netzwerke zu befallen und Daten zu verstecken oder zu verschlüsseln. Die Nutzung der Daten und teilweise auch der gesamten Geräte soll dadurch unmöglich gemacht werden. In den meisten Fällen wird gleichzeitig ein Lösegeld gefordert, bei dessen Zahlung die Daten mit Hilfe eines kryptographischen Schlüssels wieder entschlüsselt werden können. Es handelt sich somit um Schadsoftware, die zur Erpressung verwendet wird.

Der Begriff „Ransomware“ leitet sich direkt vom englischen Wort „ransom“, was soviel wie „Lösegeld“ bedeutet, und dem Begriff „-ware“ - wie in „Software“ - ab. Als weitere Bezeichnungen sind die Begriffe „Verschlüsselungstrojaner“ und „Erpressungstrojaner“ gebräuchlich, die sich aus der Funktionsweise von Ransomware ergeben. Damit wird auch klar, dass es sich bei Ransomware um sogenannte „Trojaner“ handelt – eine Gruppe von Schadsoftware (Malware), die sich unbemerkt bzw. getarnt in Systeme einschleust und dort auf verschiedenste Arten Schaden anrichtet.

Ransomware ist kein neues Phänomen – vielmehr kann die Schadsoftware auf eine lange Historie zurückblicken. Der erste dokumentierte Ransomware-Angriff fand 1989 während der Welt-AIDS-Konferenz der Weltgesundheitsorganisation WHO statt. Ein Angreifer hatte damals mehrere Tausend Disketten an die Teilnehmer der Konferenz verschickt. Auf den aus heutiger Sicht antiquierten Datenträgern befand sich ein kleines Programm, das die Endgeräte nach einer bestimmten Anzahl an System-Neustarts (um die ursprüngliche Herkunft zu verschleiern) verschlüsselte und eine Lösegeldforderung anzeigte.

Heutzutage wird Ransomware selbstverständlich nicht mehr per Diskette verbreitet. Durch die Möglichkeiten des Internets und der neuen Medien gelangt erpresserische Schadsoftware auf verschiedensten Wegen auf die Geräte der Nutzer. Leider ist mit der Zahl der möglichen Infektionswege auch die Verbreitung von Ransomware erheblich gestiegen. Dazu haben zuletzt vor allem drei Trends beigetragen:

  • Die weltweite Corona-Pandemie hat in den Jahren 2020 und 2021 dazu geführt, dass mehr und mehr Tätigkeiten und Prozesse digitalisiert wurden. Mitarbeiter arbeiten zunehmend digital und im Home-Office – einem tendenziell weniger gut vor IT-Attacken geschützten Umfeld. Die Eintrittsmöglichkeiten für Ransomware-Angriffe sind somit zahlreicher geworden.
  • Die Entwicklung und Akzeptanz von Kryptowährungen während der vergangenen 10 Jahre ermöglicht es Erpressern, Zahlungen anonym zu empfangen und die Verbrechen so sehr schwer nachverfolgbar zu machen.
  • Die Entwickler und kriminellen Organisationen der Ransomware-„Branche“ besitzen einen hohen und weiter zunehmenden Grad der Professionalisierung. Mittlerweile gibt es Ransomware, die als White-Label-Lösung im Abo-Modell an Kriminelle verkauft oder verliehen wird („RaaS“ – Ransomware as a Service) wird und dadurch selbst IT-technisch unerfahrenen Ganoven die Anwendung von Ransomware und die Erpressung von Lösegeldern ermöglicht.

Die Bedrohung durch Ransomware ist somit aktueller denn je. Laut der amerikanischen Sicherheitsbehörde FBI ist die Anzahl der Ransomware-Attacken allein in den Jahren 2020 und 2021 um 20% bzw. 62% im Vergleich zum jeweiligen Vorjahr gestiegen; Die Lösegeldforderungen verdreifachten sich im gleichen Zeitraum. Der weltweite Schaden für Unternehmen und Privatanwender wird für das Jahr 2021 auf etwa 20 Milliarden US-Dollar geschätzt.

Wie gelangt Ransomware auf Geräte und in Netzwerksysteme?

Ransomware kann Systeme und Netzwerke auf verschiedensten Wegen und über verschiedenste Medien befallen. Ähnlich wie bei Phishing-Angriffen kommen häufig Ansätze des Social Engineering zum Einsatz: Das sind Techniken zur zwischenmenschlichen Manipulation mit dem Ziel, die betroffene Person zu einer bestimmten Handlung zu bewegen.

Unabhängig vom Einfallsmedium benötigt Ransomware eine präsente Datei im Opfer-System, um sich selbst ausführen zu können. Ransomware-Attacken beginnen deshalb also stets mit dem Download oder der Übertragung einer schädlichen Datei.

Ransomware-Attacken über E-Mails

Eines der häufigsten Einfallstore für Ransomware ist die klassische E-Mail – in Form einer speziellen Phishing-E-Mail. Dabei gibt es zwei Wege, ein System per E-Mail mit Ransomware zu infizieren:

  • Über einen Dateianhang: Hier versteckt sich die Schadsoftware in einem Anhang der E-Mail. Dieser Anhang kann vermeintlich vertrauensvolle Dateiformate haben (wie bspw. „.pdf“, „.xlsx“, „.docx“) oder auch ein komprimierter Ordner („.zip“) sein. Das Opfer lädt diesen Anhang herunter, anschließend wird beim Öffnen der Datei die Schadsoftware ausgeführt – und das System gesperrt oder verschlüsselt.
  • Über einen Link: Statt mit einem Anhang versuchen die Angreifer das Opfer mit Hilfe eines manipulativen Textes zum Klicken eines Links in der E-Mail zu bewegen. Wird der Link geklickt, wird entweder direkt der Download der Schadsoftware eingeleitet oder eine Website aufgerufen, die den Download der Ransomware initiiert. Nach dem Download befällt das schädliche Programm das Opfer-System.

Ransomware-Attacken über Website-Downloads

Schädliche Ransomware-Dateien lauern nicht nur in E-Mail-Anhängen, sondern auch auf kompromittierten oder gefälschten Websites. Gelangt ein Opfer auf solche Websites (entweder durch direktes Besuchen der Website oder nach dem Klick eines Links in einer Phishing-Nachricht), wird entweder direkt oder nach Klick eines Buttons ein Download initiiert, der die Schadsoftware auf das Gerät des Opfers befördert.

Ransomware-Attacken über Chats

Links zu Websites oder Dateianhänge sind nicht nur per Mail übertragbar – die Verteilung kann auch über klassische Chatprogramme erfolgen. Dabei wird der entsprechenden Nachricht ein Link oder ein verseuchter Anhang beigefügt. Ransomware kann auch über Chatprogramme auf Mobiltelefonen übertragen werden: So können schädliche Apps und Dateien außerhalb der offiziellen App-Stores auf die Smartphones gelangen.

Ransomware-Attacken über Datenträger

Die Verbreitung von Ransomware über verseuchte Datenträger ist eine der ältesten Methoden – aber noch lange nicht ausgestorben. Auch heute noch geht eine reale Gefahr von infizierten Festplatten, SD-Karten und vor allem USB-Sticks aus. Viele Unternehmen verbieten deshalb den Anschluss von Datenträgern an die Endgeräte innerhalb des Firmennetzwerkes – oder geben spezielle, freigegebene und geprüft Datenträgerhardware für die Mitarbeiter aus. Allerdings nimmt die Nutzung von Datenträgern im Zuge von ortsunabhängigen Datensicherungsmöglichkeiten wie Clouds oder Netzlaufwerken immer weiter ab. Das Risiko eines Ransomware-Befalls über einen Datenträger wird somit vergleichsweise kleiner.

Wie funktioniert Ransomware?

Wichtigste Voraussitzung für das Wirken von Ransomware ist die Infizierung des Systems über die oben beschriebenen Wege – deshalb sind auch Schutz- und Vorsichtsmaßnahmen, die frühzeitig an dieser Stelle ansetzen, am effektivsten.

Ist eine mit Ransomware verseuchte Datei erst einmal auf ein Gerät oder in ein Netzwerk gelangt, ist es für das Opfer meist schon zu spät. Die Schadsoftware kann ab diesem Zeitpunkt ausgeführt werden und Schäden anrichten. Dabei gibt es verschiedene Möglichkeiten der Aktivierung:

  • Die Ransomware beginnt sofort nach Befall des Systems mit ihrer „Arbeit“.
  • Zwischen Befall mit und Ausführung der Ransomware kommt es zu einer Verzögerung – entweder eine feste Zeitspanne oder das Durchführen bestimmter Aktionen, wie bspw. eine bestimmte Anzahl an System-Neustarts.
  • Teilweise gibt es Ransomware, die nach Befall erst einmal inaktiv ist und gezielt vom Angreifer aus der Ferne aktiviert und gesteuert wird – dieser kann dabei den Zeitpunkt und die Ziel-Dateien selbst bestimmen.

Hinsichtlich der generellen Funktionsweise lässt sich Ransomware in zwei Gruppen einteilen:

Screenlocker-Ransomware

Screenlocker, also „Bildschirmsperrer“, sind die vergleichsweise harmlosere Gruppe der Ransomware. Sie lassen auf dem Gerät oder im System gespeicherte Dateien zwar unangetastet, versperren aber den Weg dorthin – bspw. mit einem Fenster, das sich nicht schließen lässt. Das Opfer hat somit keinen direkten Zugriff mehr auf seine Dateien – diese sind aber zumindest physisch unbeschädigt und noch vorhanden. In den blockierenden Fenstern erscheinen nichtsdestotrotz Lösegeldforderungen, zu deren Zahlung die unbedarften Opfer erpresst werden.

Diese Art von Ransomware kann oft mit einigen Tricks und technischer Hilfe umgangen werden – ohne Lösegeldzahlung oder Hilfe der Täter. Deswegen stellen Screenlocker die immer seltener eingesetzte Variante der Ransomware dar – eben auch, weil sie für den Endnutzer weniger gefährlich sind und dadurch auf lange Sicht weniger Lösegeld für die Täter erpressen können.

Cryptolocker-Ransomware – Verschlüsselungstrojaner

Die zweite, ungleich gefährlichere und auch verbreitetere Form der Ransomware sind die sog. Cryptolocker („Verschlüsselungs-Sperrer“). Sobald sie auf dem betroffenen System aktiv werden, beginnen sie damit, entweder einige ausgewählte oder sogar alle Dateien, auf die der Nutzer zugreifen kann, zu verschlüsseln. Danach kann folglich weder das Opfer noch eine andere Person (außer der Täter mit dem entsprechenden kryptografischen Schlüssel) die Dateien öffnen oder verwenden – sie sind meist unwiederbringlich verloren. Moderne Ransomware verwendet dabei aktuellste Verschlüsselungstechnologien, die mit dem heutigen Stand der Technik ohne Besitz des entsprechenden Schlüssels nicht umgangen werden können. Diesen Umstand nutzen die Täter und erpressen die Opfer mit der Drohung, die Dateien nie wieder verwenden zu können. Häufig wird ein Lösegeld in Form von Kryptowährungen wie Bitcoin oder Ethereum gefordert – diese sichern den Tätern Anonymität und schwere Nachverfolgbarkeit.

So schützen Sie sich vor Ransomware

Ransomware-Angriffe sind heimtückisch und können verhängnisvolle Folgen haben. Glücklicherweise gibt es einige Strategien und Maßnahmen, um sich vor Ihnen zu schützen – oder zumindest den angerichteten Schaden zu begrenzen.

Halten Sie Ihr Betriebssystem aktuell

Die meisten Betriebssysteme haben mittlerweile gut funktionierende Viren- und Malware-Scanner von Haus aus integriert. Die Wahrscheinlichkeit, eine schädliche Datei direkt während des Downloads zu erkennen und von der Ausführung abzuhalten, erhöht sich, je aktueller Ihr Betriebssystem ist. Ransomware-Trojaner nutzen häufig bekannte Schwachstellen in Betriebssystemen, die durch den Herausgeber des Betriebssystems durch Aktualisierungen geschlossen werden. Mit der Aktivierung regelmäßiger Updates und dem Erwerb der neuesten Version eines Betriebssystems können Sie einen Teil der Ransomware bereits relativ sicher abwehren. Erwähnenswert ist, das Geräte die linux-basierte Betriebssysteme oder macOS nutzen seltener zum Ziel von Ransomware-Angriffen werden. Grund hierfür ist die deutlich geringere Nutzerzahl dieser Betriebssysteme im Vergleich zu Windows. Angreifer erachten es oft nicht für lukrativ genug hierfür eigene Schadsoftware zu entwickeln.

Erwähnenswert ist, dass Geräte, die linux-basierte Betriebssysteme oder macOS nutzen, seltener zum Ziel von Ransomware-Angriffen werden. Grund hierfür ist die deutlich geringere Nutzerzahl dieser Betriebssysteme im Vergleich zu Windows. Angreifer erachten es oft nicht für lukrativ genug hierfür eigene Schadsoftware zu entwickeln.

Verwenden Sie Antivirensoftware

Zusätzlich zu einem stets aktuellen Betriebssystem ist die Verwendung einer Antivirensoftware empfehlenswert. Selbstverständlich sollte auch diese immer aktuell gehalten werden.

Verwenden Sie ein Nutzerkonto mit eingeschränkten Rechten

Eine weitere einfach durchzuführende präventive Schutzmaßnahme ist die Verwendung Ihres PCs mit einem Nutzerkonto mit eingeschränkten Änderungs- und Zugriffsrechten. Für die meisten Arbeiten, die Sie an Ihrem PC durchführen, benötigen Sie keine vollumfänglichen Administratorrechte – oft genügt ein User-Account ohne erweiterte Rechte, welcher bspw. auf bestimmte Ordner, Laufwerke und Festplatteninhalte keinen Zugriff hat und auch keine Software (de-)installieren darf. Diese Zugriffseinschränkungen, die vom Betriebssystem vorgegeben werden, kann auch Ransomware oft nicht überwinden: Der mögliche Maximalschaden wird dadurch deutlich begrenzt.

Halten Sie Ihren Webbrowser und E-Mail-Client aktuell

Was für Ihr Betriebssystem gilt, gilt auch für die Software, mit der Sie mit potentiellen Infektionswegen von Ransomware in Kontakt kommen: Ihr Webbrowser und Ihr E-Mail-Programm sollten stets dem aktuellsten Softwarestand entsprechen. Auch diese Anwendungen haben integrierte Schutz- und Warnmechanismen, die Sie beim Download schädlicher Software entweder warnen oder diesen sogar komplett verhindern. Zudem kann Ihr Webbrowser Sie bspw. durch Zertifikatsprüfungen vor betrügerischen Websites warnen.

Erstellen Sie in regelmäßigen Abständen System- und Datei-Backups

Diese Schutzmaßnahme ist sicherlich eine der aufwändigeren, kann sich aber lohnen. Erstellen Sie in regelmäßigen Abständen Sicherheits-Backups Ihres gesamten Systems bspw. auf einer externen Festplatte, auf einem NAS (Network Attached Storage) oder in einer Cloud-Anwendung. Wichtig ist dabei jedoch: Die Geräte bzw. Systeme, auf denen das Backup gespeichert wurde, dürfen nicht permanent mit dem System, welches durch das Backup geschützt werden soll, verbunden sein. Die Schadsoftware könnte sonst neben Ihrem Hauptsystem auch Ihre Backups befallen. Wird Ihr Hauptsystem durch einen Verschlüsselungstrojaner lahmgelegt, haben Sie mit einem externen Backup die Möglichkeit, den alten Stand und alle Dateien nach einer kompletten Formatierung und Neueinrichtung Ihres Systems wiederherzustellen.

Vermeiden Sie Phishing durch eine abgesicherte E-Mail-Kommunikation

Phishing bleibt eine der Hauptursachen für die Verbreitung von Ransomware und den damit verbundenen Schäden für Unternehmen. Dem können Sie durch Maßnahmen für die sichere E-Mail-Kommunikation entgegenwirken. Bei der E-Mail-Übertragung ohne jegliche Schutzmaßnahmen, wie Verschlüsselung oder Identitätsprüfung des Empfängerservers, ist es für Angreifer relativ einfach echte E-Mails mitzulesen und so (ggf. sogar automatisiert) gute Phishing-E-Mails zu erstellen. Durch die konsequent sichere Übertragung von E-Mails verringern sich derartige Einfallstore für Betrüger. Hier zeigt sich vor allem die Stärke des Kollektivs. Je mehr Organisationen ihre E-Mail-Kommunikation bewusst absichern, desto weniger Chancen bieten sich für Angreifer. Hier können Sie also selbst einen aktiven Beitrag zur Stärkung der gesellschaftlichen IT-Sicherheit leisten und erhöhen damit gleichzeitig ihren eigenen Schutz.

Bleiben Sie skeptisch

Die letzte Schutzmaßnahme klingt vielleicht etwas vage, ist aber die wahrscheinlich wichtigste: Legen Sie bei der täglichen Nutzung Ihres PCs, Ihrer E-Mails, von Datenträgern und Websites eine gesunde Portion Skepsis an den Tag!

  • Überprüfen Sie E-Mails mit Anhängen und weiterleitenden Links im Mailtext immer auf den Absender. Haben Sie diese Mail erwartet? Kennen Sie den Absender? Ist die Nachricht frei von Inhalts- und Rechtschreibfehlern? Lesen Sie dazu gerne auch unseren Ratgeber, wie Sie Phishing-E-Mails erkennen können.
  • Schenken Sie den Warnungen Ihres Webbrowsers, E-Mail-Programms oder Betriebssystems Beachtung. Ungültige Zertifikate und fehlende Sicherheitsmechanismen können ein Zeichen für Betrugsversuche mit Ransomware oder anderen schädlichen Programmen sein.
  • Verwenden Sie keine Datenträger (USB-Sticks, SD-Karten, Festplatten, CDs/DVDs/Blu-Rays) an Ihren Geräten, deren Herkunft Sie nicht kennen.

Das können Sie bei einem Ransomware-Angriff tun

Auch wenn sich das Risiko, Opfer einer Ransomware-Attacke zu werden, durch die erwähnten Schutzmaßnahmen erheblich reduziert, kann eine Infektion mit Schadsoftware nie gänzlich ausgeschlossen werden. Sollten Sie einen Verschlüsselungstrojaner auf Ihrem System haben, so können Sie über verschiedene Wege versuchen, Ihre Daten zu retten.

  • Trennen Sie Ihr befallenes Gerät sofort von allen Netzwerken, Datenträgern und anderen Geräten. So können Sie unter Umständen verhindern, dass sich die Schadsoftware auf weitere Geräte ausbreitet.
  • Entfernen Sie keine Komponenten aus Ihrem Gerät: Unter Umständen können Sie so Dateien und mögliche Entschlüsselungsmöglichkeiten für immer verlieren.
  • Informieren Sie sich, ob es für den auf Ihrem System installierten Screenlocker oder Verschlüsselungstrojaner eventuell öffentlich bekannte Schlüssel oder Bereinigungssoftware gibt. Je verbreiteter und einfacher die Schadsoftware, von der Sie betroffen sind, desto wahrscheinlicher ist es, dass es bekannte Behebungsmöglichkeiten gibt.
  • Informieren Sie ggf. die Sicherheitsbehörden, insbesondere das BSI (Bundesamt für Sicherheit in der Informationstechnik). Diese haben neben zahlreichen Erste-Hilfe-Maßnahmen ggf. auch konkrete Informationen zu ggf. vorhandenen Möglichkeiten zur Datenrettung.
  • Das BSI empfiehlt, kein Lösegeld zu zahlen. Zum einen muss Ihnen bewusst sein, dass Ihr Erpresser ein Krimineller ist und Sie keinerlei Garantien haben, dass Ihr System nach der Lösegeldzahlung wirklich entschlüsselt wird. Zum anderen ist Ihr System auch nach Zahlung des Lösegelds und Anwendung des eventuell erhaltenen Schlüssels unter Umständen noch anfällig für erneute Angriffe durch den Betrüger. Zudem unterstützen Sie mit der Zahlung des Lösegelds die kriminellen Machenschaften der Erpresser – und halten damit die Ransomware-Industrie am Laufen.
  • Sofern Sie ein Backup Ihres Systems angelegt haben: Setzen Sie Ihr System komplett auf Werkseinstellungen zurück, formatieren Sie dazu auch Ihre Festplatten, und spielen anschließend das Backup auf.
  • Sie können sich außerdem an einen Cyber-Sicherheitsexperten wenden, der Sie beraten und Ihnen (ggf. gegen Honorar) bei der Rettung Ihres Systems helfen kann.

Helfen alle anderen Lösungsmöglichkeiten nicht weiter, bleibt Ihnen sehr wahrscheinlich nur der generelle Werksreset und die Formatierung Ihres Systems, um die Schadsoftware loszuwerden. Ihnen muss bewusst sein, dass dabei zugleich alle vorhandenen, verschlüsselten Daten unwiederbringlich verloren gehen.

Die größten, bekanntesten und kuriosesten Ransomware-Fälle

Im Laufe der vergangenen Jahre kam es zu spektakulären und aufsehenerregenden Verbrechen mit Hilfe von Ransomware – die bedeutendsten führen wir hier für Sie auf.

WannaCry

Die im Mai 2017 verbreitete Ransomware WannaCry (auch WCRY, WannaCrypt oder WCrypt) stellt einen der größten und schwerwiegendsten Angriffe eines Kryptotrojaners in der Geschichte des Internets dar.

Die Schadsoftware verbreitete sich dabei von bereits befallenen Computern über eine Sicherheitslücke in Windows-Betriebssystemen, die es dem Programm erlaubte, Administratorrechte auf dem System zu erlangen und gleichzeitig sämtliche anderen Geräte innerhalb des Netzwerks zu infizieren – diese Art von Schadsoftware wird deshalb auch als „Wurm“ bezeichnet. Einmal installiert, verschlüsselte die Ransomware nahezu alle Dateien der Systeme (WannaCry konnte mehr als 100 verschiedene Dateitypen verschlüsseln) – und ersetzte die Dateien durch Dateien mit der Endung „.WNCRY“.

Gleichzeitig wurde mit hohem Zeitdruck (die Dateien des Opfers würden bei ausbleibender Zahlung in 7 Tagen gelöscht) eine Lösegeldzahlung in Höhe von 300 – 600 US-Dollar in Bitcoin gefordert. Es stellte sich jedoch heraus, dass die Täter diese Zahlungen gar nicht den Opfern zuordnen konnten oder wollten – was darauf hindeutet, dass die Lösegeldzahlungen vergebens waren.

Besonders pikant an dem Vorfall ist die Tatsache, dass die von WannaCry ausgenutzte Sicherheitslücke in den damaligen Windows-Betriebssystemen bereits viele Jahre bekannt war. Sie wurde unter dem Namen „EternalBlue“ vom amerikanischen Geheimdienst NSA zur Überwachung von Computern verwendet. Erst als bemerkt wurde, dass das Wissen über die Sicherheitslücke gestohlen wurde, informierte die NSA Microsoft über das potentielle Sicherheitsrisiko. Microsoft veröffentlichte daraufhin bereits im März 2017, also zwei Monate vor der Infektionswelle durch WannaCry, ein Sicherheitsupdate, welches die Eintrittspforte schloss.

Da offenbar viele Systeme das Sicherheitsupdate nicht rechtzeitig durchführten, konnte sich WannaCry in bis dahin ungekannter Geschwindigkeit und riesigem Ausmaß ausbreiten. Weltweit waren ca. 230.000 Systeme und Netzwerke in über 150 Ländern betroffen. Auch große Unternehmen wie Telefonica (Spanien), Renault (Frankreich), die Deutsche Bahn und Nissan (Japan) waren betroffen.

Der Angriff mit dem Verschlüsselungstrojaner WannaCry wird nordkoreanischen Hackern der Lazarus-Gruppe zugeschrieben – gänzlich beweisen ließ sich dies jedoch bis heute nicht.

Emotet

Emotet ist Schadsoftware, die auf Makros basiert – also Software-Befehlsketten, die bspw. in Office-Dokumenten ausgeführt werden. Erstmals entdeckt wurde Schadsoftware aus der Emotet-Familie bereits 2014, seitdem wird sie von Kriminellen stetig weiterentwickelt und in immer wieder neuen Versionen verbreitet.

Das vorherrschende Verbreitungsmedium für Emotet ist die klassische E-Mail. Durch täuschend echte Phishing-E-Mails (neue Versionen von Emotet besitzen die Fähigkeit, Kontaktdaten bereits betroffener Opfer zu analysieren und E-Mails mit schädlichen Anhängen in deren Namen zu versenden) werden ahnungslose Betroffene zum Download vermeintlicher Office-Dateianhänge verleitet. Diese Anhänge enthalten die schädlichen Makros, deren Ausführung bei Öffnung der Dateien das System infiziert.

Emotet selbst ist dabei teilweise nur Mittel zum Zweck – ein Türöffner, dessen Dienste sich Kriminelle aus der ganzen Welt kaufen können: Sobald die Schadsoftware ein System erfolgreich befallen hat, lädt es automatisch weitere Schadsoftware nach. Dazu zählen bspw. Ausspähsoftware (Trickbot, Qakbot), die Passwörter und Bankdaten abfangen, aber auch klassische Verschlüsselungstrojaner (Ryuk). Emotet ermöglicht somit doppelten Schaden: Das Abfangen bspw. der Banking-Daten und dadurch den direkten Gelddiebstahl und anschließend die Verschlüsselung des Systems in Verbindung mit einer Lösegeldforderung.

Durch seine Vielseitigkeit und die leichte Verbreitung über Social-Engineering-Techniken beim E-Mail-Phishing wurde Emotet lange Zeit als die „gefährlichste Schadsoftware der Welt“ eingestuft. Die Opferzahlen sind weltweit mindestens sechsstellig – unter ihnen befinden sich auch große Unternehmen und Behörden in Deutschland, wie bspw. die Heise Gruppe, das Berliner Kammergericht oder die Universität Gießen. Dabei ist davon auszugehen, dass die Dunkelziffer noch einmal deutlich höher ist – viele Opfer verschweigen eine Infektion aus Furcht vor Reputationsverlust. Bei den Lösegeldforderungen wird zum Teil von 8-stelligen Summen berichtet.

Anfang 2021 gelang es Europol, die ausgedehnte Emotet-Infrastruktur bei einem koordinierten Einsatz zu zerschlagen. Die Verdächtigen wurden vor allem in der Ukraine festgenommen. Nachdem die Online-Community dadurch kurzzeitig aufatmen konnte, gibt es mittlerweile bereits Anzeichen, dass sich neue Emotet-Angreifer formieren – und ihre Methoden weiter verfeinern, um Strafbehörden und Virenscannern zu entkommen.

Petya und NotPetya

Petya ist eine erstmals 2016 aufgetauchte Ransomware, die sich wie viele andere Ransomwares auch hauptsächlich über E-Mails verbreitete. Im Text der Mails fand sich eine Art Bewerbungsanschreiben und ein Link zu einer vermeintlichen Dropbox-Datei, die das Opfer aufrufen sollte. Hinter dem Link stand jedoch die als PDF-Datei getarnte Schadsoftware.

Zu Beginn hat Petya eine neue Wirkweise etabliert: Statt einzelne Dateien zu verschlüsseln, hat Petya die Masterdateitabelle (MFT) des Computers verschlüsselt. Diese MFT können Sie sich wie eine Landkarte vorstellen, die Ihr Computer benötigt, um Dateien zu finden und auf sie zuzugreifen. Ist die MFT verschlüsselt, kann der Computer keine Datei mehr finden – nicht einmal die Dateien des Betriebssystems: Der Computer fährt dann nicht einmal mehr hoch, sondern zeigt lediglich die Hiobsbotschaft der Schadsoftware, die Ihnen mitteilt, dass Ihr System verschlüsselt wurde und Sie ein Lösegeld zahlen sollen.

In späteren Versionen wurde Petya zunehmend aggressiver: Gelang die Verschlüsselung der MFT nicht, wurde ein zweiter Softwarebestandteil aktiviert, der wie „normale“ Ransomware zusätzlich alle Dateien verschlüsselte. In der finalen Ausbaustufe von Petya (kurioserweise mit dem Namen „NotPetya“) wurden beide Verschlüsselungen, also die des MFTs und aller Dateien, parallel durchgeführt.

Während es für die ursprünglichen Versionen von Petya öffentliche Entschlüsselungsmethoden gab, sorgten die jüngeren Versionen für erheblich höhere Schäden. Aufgrund eines Programmierfehlers war ersichtlich, dass nicht einmal die Betrüger selbst die von Petya verschlüsselten Dateien entschlüsseln konnten – was vermuten lässt, dass die Absicht von Anfang an war, größtmögliche Schäden bei den Opfern anzurichten. Eine Lösegeldzahlung hat bei Petya in keinem Fall zum Erfolg geführt.

Als Folge werden die Schäden einer 2017 ausgerollten Petya-Welle weltweit insbesondere bei Unternehmen auf rund 10 Milliarden US-Dollar geschätzt – allein die FedEx-Tochter TNT Express hat einen Petya-bedingten Verlust in Höhe von 300 Millionen US-Dollar gemeldet.

GandCrab

Die Ransomware GandCrab konnte Geschichte schreiben – als erste sogenannte „Ransomware-as-a-Service“ (RaaS). Das bedeutet, dass sich Kriminelle die „Rohversion“ der Software besorgen und verwenden konnten – wobei ein bestimmter Anteil der erpressten Gelder an die Ursprungsentwickler von GandCrab gingen.

Angreifer, die GandCrab verwenden, griffen dabei häufig ein ähnliches Muster wie bei Petya auf: In E-Mails wurden Bewerbungsschreiben vorgetäuscht, die infektiöse PDF- oder ZIP-Dateien enthielten. Hat das Opfer diese Dateien einmal heruntergeladen und installiert – wofür zum Teil auch Sicherheitslücken genutzt wurden - verschlüsselte GandCrab alle Dateien des betroffenen Systems und forderte ein Lösegeld.

GandCrab war überaus erfolgreich – in den Jahren 2018 und 2019 machten allein Ableger dieser Ransomware 40% des Gesamtmarktes der Verschlüsselungstrojaner aus. Zudem wurde die Software fleißig weiterentwickelt: Nach der ersten Version Ende Januar 2018 wurden viele verschiedene Releases – bis zur Version 5.2 im Februar 2019 – entdeckt und festgestellt.

Im Juni 2019 hatte das Treiben von GandCrab dann ein jähes Ende: Laut einem Post der Entwickler in einem Hackerforum wolle man sich nach 2 Milliarden US-Dollar erpresstem Lösegeld zur Ruhe setzen. Auch wenn die Höhe dieser Summe von Experten angezweifelt wird, ist unstrittig, dass GandCrab enorme finanzielle Schäden angerichtet hat – vor allem weil durch die Individualisierbarkeit der Schadsoftware viele verschiedene Methoden und Ansätze des Social Engineering bespielt werden konnten.

Es gibt jedoch noch einen weiteren möglichen Grund für das abrupte Ende von GandCrab: Das Unternehmen BitDefender hat für viele Versionen der Schadsoftware passende, kostenlose Entschlüsselungstools bereitgestellt, um die Daten der Opfer zu retten.

WastedLocker

Die noch sehr junge Ransomware WastedLocker – entwickelt von der russischen Hackergruppe „Evil Corp“ - wurde erstmals im Mai 2020 entdeckt. Sie ist ein Beispiel für eine hochspezialisierte Erpressungssoftware, die vornehmlich Unternehmen und Behörden zum Ziel hat. Dazu ist der Erpressungstrojaner mit einigen technischen Features ausgestattet, die ihn sehr gefährlich und höchst effizient machen.

Die Infektion geschieht vorzugsweise über vermeintliche „Browser-Updates“ von Websites, die zwar echt sind, von den Hackern aber unterwandert wurden. Führt das Opfer solch ein vermeintliches Update aus, wird ein JavaScript-Framework installiert, über das die Hacker nach und nach Kontrolle über das System erlangen und Schadsoftware einschleusen können. Um dabei unter dem Radar von Antiviren-Software zu bleiben, verändern die Angreifer bestimmte Eigenschaften der Software permanent – denn sollten Sicherheitssysteme zu früh Alarm schlagen, haben die Hacker keine Möglichkeit mehr, sich weiter im System auszubreiten. Sind die Angreifer einmal im System, versuchen sie schnellstmöglich in wertvolle und systemkritische Bereiche vorzudringen. Dies sind vor allem Datenbanken und Serverbestandteile, die für den Geschäftsbetrieb unerlässlich sind bzw. sensible Daten enthalten. Anschließend verschlüsselt WastedLocker die Dateien in diesen Bereichen mit hochmodernen Verschlüsselungsalgorithmen. Besonders perfide ist dabei eine Funktion, die die Priorisierung der verschiedenen Dateien für die Verschlüsselung ermöglicht – die Angreifer hinter WastedLocker können so sicherstellen, dass die für das Opfer wertvollsten Dateien zuerst verschlüsselt werden. Auch wenn das Opfer die Ransomware vor der Vollendung der kompletten Verschlüsselung des Systems entdeckt und entfernt, ist dadurch gewährleistet, dass trotzdem eine hohe Summe erpresst werden kann.

Neben der starken Spezialisierung, der sehr gezielten Anwendung auf Unternehmen und Behörden und der hohen Professionalität des Software-Codes von WastedLocker unterscheidet sich die Schadsoftware von anderen Verschlüsselungstrojanern vor allem durch ihre Lösegeldforderungen: Diese starten bei etwa 500.000 US-Dollar und erstrecken sich bis über 10 Millionen US-Dollar.

Für die wohl aufsehenerregendste Infektion mit WastedLocker und die vermutlich größte Lösegeldzahlung hat der amerikanische Navigations- und Sportgerätehersteller Garmin gesorgt. Nachdem WastedLocker große Teile des Cloud-Dienstes Garmin Connect (der von Garmin-Geräten zwingend für die Speicherung und Synchronisierung von Aktivitätsdaten benötigt wird) ausgeschaltet hat, sah sich Garmin mit einer Lösegeldforderung von 10 Millionen US-Dollar in Bitcoin seitens der Evil Corp konfrontiert. Ob und in welcher Höhe eine Zahlung erfolgte, ist unklar – jedoch hat Garmin bestätigt, den passenden kryptographischen Schlüssel zur Wiederherstellung der Daten und Systeme von den Angreifern erhalten zu haben.

Fazit

Ransomware ist nach wie vor extrem gefährlich und verursacht jährlich hohe wirtschaftliche Schäden. Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland zählte das Bundesamt für Sicherheit in der Informationstechnik (BSI) so viele Arten von Schadsoftware wie noch nie. Auch die Anzahl der Angriffe nahm in den vergangenen Jahren kontinuierlich zu.

Viele der erwähnten Maßnahmen können helfen, die Schäden durch Ransomware-Vorfälle deutlich zu vermindern. Der wichtigste Ansatzpunkt für Unternehmen, Behörden oder kirchliche Einrichtungen, zur wirksamen Schadensvermeidung liegt dennoch in der Prävention. Durch hohe Awareness für die Risiken bei Mitarbeitern und moderne IT-Infrastrukturen lassen sich viele Ransomware-Angriffe bereits im Vorfeld vermeiden.