Die Wurzeln von Kryptographie und Lösegeld liegen tief in der Geschichte der Menschheit. Jedoch hat die Welt erst in den vergangenen Jahrzehnten gesehen, was geschieht, wenn sie jemand kombiniert. Es begann 1989, als Dr. Joseph L. Popp die Pandemie auslöste, die wir heute als Ransomware kennen.
Ursprung
Popp, der als Urvater des computerbasierten Erpressungssystems bekannt ist, verbreitete seine schädliche Nutzlast auf der AIDS-Konferenz der Weltgesundheitsorganisation. Die Diskette mit dem Namen „AIDS-Informationen – Einführungsdisketten“ kam eigentlich mit der separat gedruckten Warnung, dass die Software den Computer schädigen würde.
#Ransomware: Eine kurze Einleitung, die aktuelle Situation, Prognosen und wie das Problem gelöst werden kann.
Tweet
Aber wer liest eigentlich Informationsbeilagen? Einige der 20.000 Disketten, die Popp erstellt hatte, wurden eingeführt und lösten eine Blockierung der Computer der Opfer aus; die angezeigte Lösegeldforderung (170 €, die über Schneckenpost an ein Postfach in Panama geschickt werden sollten) wird regelmäßigen Lesern dieses Blogs bekannt vorkommen. Popp wartete dann darauf, dass seine Opfer der Lösegeldforderungen nachgehen würden.
Heutige Ransomware
An dem ursprünglichen Ransomware-Konzept hat sich wenig geändert. Vielleicht ist der größte Unterschied, dass statt eines Postfaches anonyme Netzwerke, wie TOR und I2P, in Verbindung mit Bitcoin verwendet werden, um der Strafverfolgung entkommen zu können. Was ist das für ein System, das die Zeit überdauern konnte?
Direkte Monetisierung hilft. Mit einer durchschnittlichen Lösegeldsumme von 270 € wirken Millionen-Euro-Kampagnen gegen Ransomware weit hergeholt, aber selbst kleine Summen addieren sich mit der Zeit – und diese Erpressungssysteme haben ihre Wirksamkeit und ihre gleichbleibende Kraft bewiesen.
Der Durchschnittsuser wird sich wahrscheinlich der schwierigen Frage stellen müssen, ob er Lösegeld zahlen oder seine Dateien verlieren möchte. Leider entschließen sich viele zu einer Lösegeldzahlung, obwohl wir strengstens davon abraten; wir raten zu einem anderen Weg, falls möglich, wie das Suchen eines Entschlüsselers auf der Seite No More Ransom!.
Die Anzahl der Ransomware, die täglich neu entdeckt wird, kann entmutigend wirken, aber die Quantität ist tatsächlich ein geringeres Problem als die Qualität. Eine vergleichsweise kleine Anzahl von Malware-Familien ist gut genug verschlüsselt und hat so viel Zugkraft, dass man sich Sorgen machen müsste; aber die wenigen Familien, die für ihren großen Auftritt bereit sind, richten ernsthaften Schaden an (damit meine ich euch, Locky und Cerber). Und das ist mehr als genug, um Sicherheitsforscher auf Trab zu halten.
Auch wenn ein einziger Täter eine Ransomware-Kampagne starten kann, spezialisieren sich Cyberkriminelle und profitieren von Teamwork. Sie kümmern sich um technischen Support, helfen ihren Opfern beim Kauf von Bitcoins, um das Lösegeld zu zahlen, während sie ihren schädlichen Code verbessern und versuchen, Sicherheitsforscher und Exekutivbehörden zu täuschen. Erpressung ist harte Arbeit!
Als Geschäftsmodell ist Ransomware in den vergangenen Jahren aufgeblüht, teilweise wegen neuen Angeboten von schlüsselfertigen Ransomware-as-a-Service-Lösungen. Obwohl für die Erstellung der meisten Ransomware-Arten nur eingeschränkte technische Kenntnisse erforderlich sind, ist die eigne Herstellung einer gut gemachten Ransomware eine anspruchsvollere Aufgabe. Der Trick besteht in einer guten Verschlüsselung (wenn sie schlecht gemacht ist, kann viel zu schnell ein Entschlüsselungstool entwickelt werden – und darum kümmern wir uns).
Der einfachste Weg für Amateure ist ein aufgeteiltes Geschäftsmodell: Sie kümmern sich um die Verteilung und zahlen einen Teil der Beute an die ursprünglichen Entwickler. Diese Art von Deal ist leider sehr erfolgreich.
Ransomware-Arten
Die Entwicklung verschiedener Ransomware-Arten – von einfachen Gebräuen, die auf Tools Dritter basieren (wie WinRAR, GPG), bis hin zu Malware, die Quelltext vom Microsoft Developer Network implementiert — zeigt die Bereitschaft der Cyberkriminellen, den Einsatz zu erhöhen.
Außerdem ist es heutzutage nicht ungewöhnlich, hochwertige Ransomware zu finden, die Shadow Copy-Backups löschen, extern angeschlossene oder Netzlaufwerke verschlüsseln und selbst in Ihre Cloud-synchronisierten Dateien eindringen kann. Die Messlatte wurde höher gelegt, und obwohl es viele Amateure gibt, halten uns eine Hand voll Hauptakteure auf Trab.
Trends
Einige neuere Ransomware-Varianten, die in Brasil entdeckt wurden, zeigen, dass Ransomware weiterhin wächst, aber mehr durch Markenumstellung als durch Innovation. Warum sich mit der Erstellung eines eigenen Ransomware-Codes herumplagen? Selbst Kinder ohne besondere Kenntnisse können Ransomware-Kits kaufen, die alles enthalten, was man für einen Kampagnenstart braucht, und ein Thema auswählen. Wenn das Branding interessant genug ist, erhält es mediale Aufmerksamkeit, wodurch sie nicht nur an Geld, sondern auch an Ruhm gelangen.
Wir haben mehr als genug Ransomware mit schlechter Qualität gesehen, die Schlagzeilen machten, da sie ein Logo einer beliebten TV-Show, ein Bild eines Filmcharakters oder selbst Witze über Politiker verwendete. Jedoch ist die Schattenseite dieses Vorgehens, dass die Verantwortlichen einfach gefasst werden können. Jedoch entscheiden sich viele Kriminelle gegen einen Namen und lassen ihre Opfer mit einer Kontakt-E-Mail und einer Bitcoin-Adresse zur Zahlung allein.
Soweit die Zahlungsmethoden auch reichen, bevorzugen die bekanntesten Ransomware-Familien für eine Lösegeldforderung und –Zahlung noch immer Bitcoin. Und trotzdem ist es nicht unüblich, gelegentlich auf Lösegeldforderungen über weit verbreitete Gutscheinmethoden, wie PaySafeCard, zu stoßen. Regionale und hausgemachte Operationen setzen für gewöhnlich auf lokale Zahlungsoptionen. Jedoch bedeutet das, auf einige der Undurchsichtigkeiten verzichten zu müssen.
Hart arbeiten und nach vorne blicken
Wir wechseln langsam von einem Paradigma der Ransomware-Restaurierung zu einem der Ransomware-Intelligenz, aber vor uns liegt noch ein langer Weg. Nur durch Analyse fundierter Beweise und konkreter Statistiken zum Problem können wir unsere Optionen angemessen abschätzen. Leider meldet nicht jeder, der von Ransomware betroffen ist, sofort den Vorfall, und selbst die, die es tun, melden es verschiedenen Institutionen und machen es somit schwierig, alle Daten sammeln zu können.
Das gemeinsame Vorgehen von Strafverfolgungsbehörden und IT-Sicherheitsunternehmen, um kriminelle Cyberunternehmen mit Verbindungen zu Ransomware zu sprengen, hat sich als wirksam erwiesen. So entstand z. B. die Initiative No More Ransom aus dem Wunsch, Opfern von Ransomware dabei zu helfen, ihre verschlüsselten Daten zurückzuerhalten, ohne die Kriminellen bezahlen zu müssen.
Mit mehr Parteien, die das Projekt unterstützen, sind unsere Chancen größer, einen dringend benötigten Rahmen anzubieten, um mit dieser Art von Vorfall von Tag zu Tag besser umgehen zu können. Jede Partei hat nur eine Teilansicht auf das Ransomware-Ökosystem und somit ist eine Zusammenarbeit der einzige Weg zum Erfolg.
Für User (d.h. potentielle Opfer) ist Wissen Macht. Wir haben einen Guide zur Vermeidung von Ransomware erstellt, den wir jedem ans Herz legen wollen, der online geht – in anderen Worten, jedem.