Ransomware – Prävention und Sensibilisierung sind hier das A und O

Die Ransomware ist eine oft unterschätzte Gefahr, die zu sehr hohen Schäden führen kann.

13.01.2022

In den letzten Jahren hat sich die Bedrohungslage durch Schadsoftware erheblich verschärft. Um an Geld zu kommen, arbeiten Cyber-Kriminelle sehr kreativ und professionell. Vorbei sind die Zeiten in denen amateurhaft gearbeitet wurde und es eher dem Zufall überlassen wurde, ob und wie eine Schadsoftware anschlägt. Auch ist die Zeit der Einzelkriminellen weitgehend vorbei. Aktuell sind im Bereich der Cyber-Kriminalität gut organisierte „Unternehmen“ tätig, die planvoll und professionell vorgehen und sogar über eigenen „Kundenservice“ oder gar eine „Hotline“ verfügen.

Unter anderem wird von den Kriminellen zur Erpressung von Geld Schadsoftware eingesetzt, die als Ransomware bezeichnet wird. Ransomware ist ein Kofferwort, das aus den Begriffen „Ransom“ (Lösegeld) und „Software“ gebildet ist. Die Ransomware schränkt den Zugriff auf Daten und Computer-Systeme ein oder verhindert ihn gänzlich. Eine Freigabe der Ressourcen erfolgt nur gegen eine Lösegeldzahlung, wobei man sich auf diese Freigabe nach Zahlung nicht in allen Fällen verlassen kann. Die Ransomware greift das Schutzziel „Verfügbarkeit“ an.

Da das Ganze inzwischen sehr professionell organisiert wird, wie gesagt, sind bereits Modelle entstanden, bei denen die Schadsoftware als Dioenstleistung angeboten wird. „Ransomware-as-a-Service“ sozusagen. Hierbei wird Zugang zu Dokumentationen, einer Schadsoftware samt Support sowie Phishing-Kits angeboten. Diese Dienste sind sogar für unerfahrene und nicht sehr kompetente Täter leicht zu bedienen.

Weil die Nachteile für die Betroffenen sehr schwerwiegend sind, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Dieser Erfolg führt dazu, dass die Kriminellen Kapazitäten aus dem Sektor „Banking-Trojaner “ abziehen und nun überwiegend Ransomware über die Botnetze verteilen.

Wie ist aktuell die Lage?

Nach Informationen der Statista GmbH wurde im Jahr 2021 (Stand: 01.11.2021) in 244 öffentlich bekannten Fällen eine „Geiselnahme“ der Daten bestätigt. Dabei ist gegenüber dem Vorjahr 2020 eine Steigerung der bestätigten erfolgreichen Angriffe um 25 % zu verzeichnen. Da neben dem finanziellen Schaden auch Reputationsschäden entstehen, dürfte die Dunkelziffer der (erfolgreichen) Attacken, deutlich höher liegen.

Die Sicherheitsexpert*innen des Palo Alto Networks kommen in ihrem Sicherheitsbericht zum Schluss, dass sich die durchschnittliche Lösegeldforderung nach einer Ransomware-Attacke im Jahr 2021 auf 5,3 Millionen US-Dollar belaufen hat. Gegenüber dem Vorjahr liegt eine Steigerung um 518 % vor, denn im Jahr 2020 lag die durchschnittliche Lösegeldforderung bei (noch) 847.000 US-Dollar. Auch das durchschnittliche von den betroffenen Unternehmen tatsächlich gezahlte Lösegeld stieg entsprechend dem Bericht des Palo Alto Networks deutlich und zwar von 312.000 US-Dollar im Jahr 2020 auf rund 570.000 US-Dollar in der ersten Hälfte des Jahres 2021. Hier liegt die Steigerung also bei 82 %.

Angriffsarten und Infektionswege

Für ihre Attacken nutzen die Kriminellen verstärkt folgende Einfallstore:

Spam-E-Mails und Social-Engineering

Bei Spam-E-Mails wird der Empfänger der E-Mail zum Öffnen der beigefügten Anhänge bewegt, die angebliche Rechnungen, Bestell- oder Paketempfangsbestätigungen, Office-Dokumente, eingescannte Faxe oder andere vermeintlich wichtige Dokumente enthalten. Dabei werden zum Teil echte Firmennamen und -adressen verwendet und oft sind die Spam-E-Mails eine perfekte Nachahmung tatsächlicher Firmen E-Mails, die ein Empfänger regelmäßig erhält.

Im Anhang befindet sich allerdings statt der angekündigten Dokumente meist ein sogenannter Downloader, der beim Versuch, den Anhang zu öffnen, die eigentliche Schadsoftware nachlädt. Der Download erfolgt meist von kompromittierten Webservern vor allem kleiner Webpräsenzen, die nur unzureichend gegen Hackerangriffe geschützt sind. Die Schadsoftware wird zum Teil auch direkt verteilt, z. B. als EXE-Datei oder eingebettet in einem Microsoft-Office-Dokument.

Seit September 2019 war der Trojaner Emotet besonders aktiv. Dieser spähte beispielsweise Outlook Kontakte und E-Mails aus. Die Schadsoftware wurde anschließend verteilt, indem die Spam-E-Mails als vermeintliche Antworten auf zuvor ausgespähte tatsächliche E-Mails getarnt wurden. Die Opfer schöpften deshalb häufig keinen Verdacht, dass hier etwas im Argen liegen könnte, da Absender und vorherige E-Mail-Kommunikation mit diesem bekannt und vertrauenswürdig waren. Dabei wurden die Opfer meist zielgerichtet ausgesucht und durch Methoden des Social-Engineering geschickt beeinflusst. Glücklicherweise wurde das Emotet-Netzwerk Anfang 2021 vom Bundeskriminalamt (BKA) ausgehoben und die Server unbrauchbar gemacht.

Als Beispiel einer solchen Methode lässt sich ein aktueller Fall aufführen, bei dem eine Gruppe von Cyberkriminellen einen eher ungewöhnlichen Weg beschritt, um seine Opfer zur Installation von Ransomware zu verleiten. So wurden nach Angaben des Online-Magazins zdnet.com per Post USB-Sticks verschickt, in der Hoffnung, dass die Empfänger sie mit ihren PCs verbinden und die darauf angelegte Schadsoftware in ihre Netzwerke einschleusen. Es ist also insbesondere bei Werbegeschenken (auch und vor allem bekannter) Unternehmen oder auch Geschäftspartner äußerste Vorsicht geboten. Kein Datenträger, der nicht vom eigenen Unternehmen ausgegeben oder zumindest geprüft und freigegeben wurde, sollte an einen Unternehmensrechner angesteckt werden.

Exploit-Kits

Exploit-Kits gehören seit mehreren Jahren ebenfalls zum Repertoire der Kriminellen. Dabei handelt es sich um Daten oder ausführbaren Code, die eine oder mehrere bekannte Sicherheitslücken der auf dem System vorhandenen Programme oder des Betriebssystems ausnutzen können. Neue Schwachstellen in weit verbreiteten Programmen werden binnen kürzester Zeit in Exploit-Kits integriert und auch zur Verteilung von Schadsoftware (z.B. auch Ransomware) verwendet. Ausgenutzt werden auch andere Schwachstellen in nicht aktueller Software, wie insbesondere dem Browser oder dem früher verbreiteten Flash Player.

Verbreitet werden Exploit-Kits meist über kompromittierte Webseiten oder sogar Werbebanner, die die jeweilige Schadsoftware, z. B. Ransomware, nachladen. Solche Angriffsszenarien lassen sich durch ein gutes Patchmanagement relativ einfach verhindern.

Server-Schwachstellen

Server und Netzwerk-Ressourcen, die aus dem Internet zu erreichen sind, können ebenfalls angegriffen und ausgenutzt werden. Zu häufig sind die Ressourcen ohne Passwort zu erreichen, so dass die Angreifer*innen ein ganz leichtes Spiel haben oder aber die Passwörter sind einfach zu erraten. Wenn unaufmerksame oder unprofessionelle Administrator*innen am Werk waren, ist dies leider immer noch recht häufig der Fall, sodass derartige Angriffe immer wieder erfolgreich ablaufen. Zudem erhöht die große Zahl der bisher geleakten Zugangsdaten die Wahrscheinlichkeit, dass Täter*innen im Besitz noch anwendbarer oder passender Zugangsdaten sind.

Bei diesen Angriffen könnte beispielsweise die konsequente Verwendung von zweiten Faktoren zur Authentisierung (mittels Hardwaretoken, One Time Passwords oder biometrischer Merkmale) Abhilfe schaffen.

Nicht ausreichend geschützte Fernzugangssoftware

Zu erwähnen sind ferner die nicht ausreichend geschützten Fernzugänge, die Angreifer*innen mittels Portscans finden können. Hierbei scannen die Angreifer*innen das Internet aktiv nach Fernzugangs-Systemen, wie zum Beispiel Microsoft Remote-Desktop (RDP). Falls zur Absicherung des Systems wiederum ein einfach zu erratendes Passwort genutzt wird, was erfahrungsgemäß immer noch häufig der Fall ist, werden diese Passwörter durch einen Brute-Force Angriff erraten. Das System kann dann dadurch kompromittiert werden, dass nach einem Login eine Malware (z.B. die Trickbot sowie die Ransomware Ryuk) installiert wird.

Beispielsweise wurde so eine unter dem Namen „Shitrix“ bekannt gewordene Citrix-Schwachstelle ausgenutzt, um verschiedene Organisationen, die das System eingesetzt haben, anzugreifen.

Der Gedanke, dass es einen schon nicht treffen würde, da der Server vielleicht nur unter der IP-Adresse aber nicht unter einem sprechenden Namen erreichbar ist, trügt leider. Der IPv4-Adressraum ist so klein (256 hoch 4 Möglichkeiten), dass er sich mit aktueller Hardware und einem schnellen Internetzugang in unter 2 Tagen vollständig abscannen lässt. Nur zur Sicherheit: Dies gilt für alle aus dem Internet erreichbaren Server. Und solche Scans laufen regelmäßig, in den meisten Fällen entweder um Sicherheitslücken zu finden und zu schließen oder um sie auszunutzen.

Schutzmaßnahmen

Um Risiken der Infizierung mit einer Ransomware vorzubeugen, ist es essenziell, die Infektionen in technischer Hinsicht zu verhindern. Hier helfen in erster Linie Softwareupdates. Zudem sollte nicht benötigte Software generell deinstalliert werden und im Web-Browser sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt oder gänzlich abgeschaltet werden sowie nicht zwingend benötigte Browser-Plugins entfernt werden.

Hervorzuheben ist im Rahmen der zu ergreifenden Schutzmaßnahmen die Erstellung eines Backups. Diese Schutzmaßnahme kann im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleisten. Ein wirksames Datensicherungskonzept sollte daher in jedem Unternehmen und jeder Institution vorhanden sein und umgesetzt werden.

Zu beachten ist dabei, dass Angreifer*innen oft gezielt nach Backups suchen und diese ebenso wie die produktiven Systeme verschlüsseln, so dass es sich empfiehlt, die zu sichernden Daten in einem vom Firmennetzwerk getrennten Bereich aufzubewahren. Damit wären sie vor einem Remote-Zugriff der Kriminellen geschützt.  Zu einem Backup gehört dabei stets auch die regelmäßige Prüfung der Rücksicherung der Daten. Denn nichts ist ärgerlicher als eine nicht funktionierende Rücksicherung.

Ferner sind auch die Sensibilisierung der Mitarbeiter*innen, Maßnahmen zur Steigerung der Awareness und Schulungen Möglichkeiten, dem Risiko einer Ransomware-Attacke wirksam zu begegnen. Mögliche Schwerpunkte im Rahmen der Schulung der Mitarbeiter*innen sind insbesondere zwei ganz wesentliche Infektionskanäle für Schadsoftware, nämlich das Öffnen von E-Mail-Anhängen oder das Anklicken von Links, die zu einer kompromittierten Seite führen.

Hinzuweisen ist im Rahmen der Schulung insbesondere auch auf die erfolgreichen Varianten des „Social Engineering“, in dem Angreifer*innen eine persönliche Beziehung vortäuschen, Gewinne versprechen oder aber auch nicht selten mit Drohungen arbeiten“: Wenn Sie jetzt dies oder jenes nicht kurzfristig tun, dann wird Ihr Konto gesperrt / verlieren wir einen großen Auftrag / werden Sie entlassen / etc.“. In sehr vielen Fällen wird zeitlicher Druck aufgebaut, um eine überhastete bzw. nicht durchdachte Reaktion zu provozieren.

Es ist zu berücksichtigen, dass der Schutz gegen Schadsoftware mit einer einzelnen Maßnahme, sei es auch mit der besten Schulung der Mitarbeiter*innen oder mit einem noch so gut funktionierenden Backup, nicht zu erreichen ist. Denn nur ein System von Maßnahmen, die ineinandergreifen, ist in der Lage, einen wirkungsvollen Schutzwall vor den Verbrecher*innen aufzubauen. Es müssen also immer angemessene und wirksame technische und organisatorische Maßnahmen getroffen werden. Einen guten Überblick über Maßnahmen, die die Verantwortlichen ergreifen können (im Sinne von müssen), bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es stellt neben einer kurzen Darstellung der Bedrohungslage konkrete Hilfen für die Prävention und die Reaktion im Schadensfall bereit (Informationen des BSI zur Prävention und Reaktionsmöglichkeiten auf Ransomware sind abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.html) .

Fazit

Die aktuelle Bedrohungslage zeigt, dass die Verantwortlichen unbedingt handeln und für angemessene technische und organisatorische Maßnahmen sorgen müssen. Diese müssen insbesondere Ransomware-Angriffe wirksam verhindern können. Denn es ist in diesem Zusammenhang insbesondere zu beachten, dass sich aktuell auch die Aufsichtsbehörden für den Datenschutz, so z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), der Problematik Ransomware angenommen haben. Das BayLDA führt aktuell per Fragebogen Prüfungen durch, um grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen und Verantwortliche somit noch vor einem Vorfall auf durchzuführende Maßnahmen hinzuweisen. Das BayLDA stellt dabei fest, dass grundsätzlich die Möglichkeit besteht, bei (gravierenden) Verstößen gegen die Sicherheit der Verarbeitung nach Art. 32 DS-GVO Geldbußen zu verhängen.

 Benötigen Sie Unterstützung im Rahmen der Planung und Umsetzung der technischen und organisatorischen Maßnahmen? Rufen Sie uns an, wir helfen Ihnen gerne!