Die niederländische Polizei, Europol, Intel Security und Kaspersky Lab bündeln ihre Kräfte und starten eine Initiative mit dem Namen ,No More Ransom‘. Diese Initiative stellt einen neuen Schritt der Zusammenarbeit von Strafverfolgungsbehörden und Privatwirtschaft im gemeinsamen Kampf gegen Ransomware dar. ,No More Ransom‘ ist ein neues Onlineportal, das die Öffentlichkeit zum Thema Ransomware-Gefahren informiert und Opfer bei der Wiederherstellung ihrer Daten unterstützt, ohne dass sie Lösegeld an Cyberkriminelle zahlen müssen.
Ransomware sperrt die Computer der Opfer oder verschlüsselt ihre Daten und verlangt im Anschluss eine Lösegeldsumme, damit die Kontrolle über betroffene Geräte und Daten wieder erlangt werden kann. Ransomware ist für die EU-Strafverfolgungsbehörden eine der derzeit größten
Bedrohungen: Fast Zweidrittel der EU-Mitgliedsstaaten führen aufgrund dieser Art der Malware-Attacke Ermittlungen durch. Die Zielobjekte sind oftmals persönliche Geräte, aber auch Unternehmen und sogar staatliche Netzwerke sind betroffen. Die Anzahl der Opfer wächst bedrohlich: laut Kaspersky Lab stieg die Zahl der von Krypto-Malware attackierten Nutzer zwischen den Jahren 2015 und 2016 um 550 Prozent an, von 131.000 auf 718.000.
NoMoreRansom.org
Die Seite www.nomoreransom.org soll Ransomware-Opfern eine nützliche Onlinequelle sein. Nutzer finden dort Informationen, was Ransomware genau ist, wie die Schädlinge funktionieren und – am wichtigsten –, wie man sich dagegen schützen kann. Das Bewusstsein hierfür ist entscheidend, weil längst nicht für alle Schädlingsversionen Entschlüsselungstools existieren. Bei einer Infizierung ist die Wahrscheinlichkeit groß, dass die Daten für immer verloren sind. Das Erlernen einer bewussten Internetnutzung, bei der eine Reihe einfacher Cybersicherheitstipps berücksichtigt werden, kann eine Infektion von Beginn an vermeiden.
Das Projekt bietet Nutzern Tools, die ihnen bei der Wiederherstellung der Daten nach einer erfolgten Verschlüsselung helfen können. Zum Start beinhaltet die Seite vier Entschlüsselungstools für verschiedene Malware-Arten, beispielsweise ein im Juni 2016 entwickeltes Tool für eine Version von ,Shade‘.
Bei Shade handelt es sich um einen Ransomware-Trojaner der Ende des Jahres 2014 auftauchte. Der Schädling wird über schadhafte Webseiten und infizierte E-Mail-Anhänge verbreitet. Ist er auf einem Nutzersystem gelandet, verschlüsselt Shade Dateien, die auf dem Rechner gespeichert sind, und erstellt eine ,txt.‘-Datei, die eine Lösegeldforderung und eine Anleitung der Cyberkriminellen enthält, was zur Wiedererlangung der persönlichen Daten zu tun ist. Shade nutzt eine starken Verschlüsselungsalgorithmus für jede verschlüsselte Datei, mit zwei zufällig erstellten 256-bit-AES-Schlüsseln: einer ist für die Verschlüsselung des Dateiinhalts und der andere für zur Verschlüsselung der Dateinamen zuständig.
#NoMoreRansom: Neues Tool mit mehr als 160.000 Schlüsseln unterstützt Opfer bei der Wiederherstellung ihrer Daten
Tweet
Seit dem Jahr 2014 haben Kaspersky Lab und Intel Security mehr als 27.000 Shade-Angriffsversuche auf ihre Nutzer verhindert. Die meisten Infektionen tauchten in Russland, der Ukraine, Deutschland, Österreich und Kasachstan auf, aber auch in Frankreich, der Tschechischen Republik, Italien und den USA.
Die von den Cyberkriminellen für Shade genutzten Command-and-Control-Server zur Speicherung der Verschlüsselungsschlüssel wurden im Zuge enger Zusammenarbeit und Informationsaustausch zwischen den beteiligten Parteien beschlagnahmt. Die Schlüssel wurden im Anschluss Intel Security und Kaspersky Lab zur Verfügung gestellt.
Dadurch konnte ein spezielles Tool entwickelt werden, das Opfern auf der ‚No More Ransom‘-Seite zum kostenfreien Download zur Verfügung gestellt wird. Damit können Daten wiederhergestellt werden, ohne das Lösegeld zahlen zu müssen. Das Tool enthält mehr als 160.000 Schlüssel.
Entwicklung und Zukunft einer Bedrohung: Mobile #Ransomware in den Jahren 2014-2016: https://t.co/zGGkIqXka8 pic.twitter.com/e0s1UJ9HF3
— Kaspersky DACH (@Kaspersky_DACH) July 13, 2016
Öffentlich-private Kooperation
Das Projekt wurde als nicht kommerzielle Initiative angelegt, mit dem Ziel, öffentliche und private Institute zusammen zu bringen. Weil Cyberkriminelle ständig neue Versionen von Ransomware entwickeln, ist das Portal offen für neue Partnerkooperationen.
Wilber Paulissen, Direktor der niederländischen Polizei für die Abteilung National Criminal Investigation: „Wir, die niederländische Polizei, können nicht alleine gegen Cyberkriminalität und insbesondere Ransomware kämpfen. Dies ist eine gemeinschaftliche Verantwortung von Polizei, Justiz, Europol und IT-Unternehmen, und erfordert gemeinschaftliche Anstrengungen. Deshalb bin ich sehr glücklich über die Kooperation mit Intel Security und Kaspersky Lab. Zusammen werden wir alles in unserer Macht stehende tun, um Kriminelle bei ihren Geld-Beschaffungsmodellen zu stören und die Daten den rechtmäßigen Besitzern zurückzugeben, ohne dass sie hierfür Geld bezahlen müssen.“
„Das größte Problem hinsichtlich Krypto-Malware ist heutzutage, dass Nutzer, bei denen wertvolle Daten gesperrt wurden, bereitwillig den Cyberkriminellen Geld bezahlen, damit sie die Daten wieder bekommen. Das fördert die Untergrundökonomie. Das Ergebnis: eine wachsende Anzahl neuer ,Player‘ und mehr Attacken. Wir können die Situation nur ändern, wenn wir unsere Anstrengungen im Kampf gegen Ransomware koordinieren.
Die Verfügbarkeit von Entschlüsselungstools ist nur ein erster Schritt in die richtige Richtung. Wir gehen davon aus, dass dieses Projekt ausgeweitet wird und bald mehrere Unternehmen und Strafverfolgungsbehörden aus anderen Ländern und Regionen gemeinsam gegen Ransomware kämpfen werden“, sagt Jornt van der Wiel, Security Researcher beim Global Research and Analysis Team von Kaspersky Lab.
„Diese Initiative zeigt den Wert privat-öffentlicher Kooperationen, um ernsthafte Aktionen im Kampf gegen Cybercrime durchführen zu können“, so Raj Samani, EMEA CTO bei Intel Security. „Diese Zusammenarbeit geht über das Teilen von Expertise, Aufklärung von Nutzern und Zerschlagungen hinaus, weil die Opfer bei der Wiederherstellung ihrer Daten unterstützt werden. Indem wir ihnen wieder Zugang zu ihren Systemen verschaffen, zeigen wir den Nutzern, dass sie etwas tun können und kein Lösegeld an die Kriminellen bezahlen müssen.“
Wil van Gemert, Deputy Director Operations bei Europol: „Seit einigen Jahren hat sich Ransomware zu einer der drängendsten Sorgen für die EU-Strafverfolgungsbehörden entwickelt. Ein Problem, das Bürger und Wirtschaft sowie Computer und mobile Geräte betrifft – mit Kriminellen, die immer komplexere Techniken entwickeln, um die größtmöglichen Auswirkungen auf die Opferdaten zu verursachen. Initiativen wie das ‚No More Ransom‘-Projekt zeigen, dass der richtige Weg über geteilte Expertise und gebündelten Kräfte im erfolgreichen Kampf gegen Cyberkriminalität zu gehen ist. Wir erwarten, vielen Menschen dabei helfen zu können, die Kontrolle über ihre Daten wieder zu erlangen, und gleichzeitig das Bewusstsein zu erhöhen und die Bevölkerung aufzuklären, wie sie die eigenen Geräte frei von Malware halten.“
eBook: Cybervorfälle gehören in Deutschland zu den 3 größten Unternehmensrisiken: https://t.co/g2zGg57o0w pic.twitter.com/XNMEDfInUb
— Kaspersky DACH (@Kaspersky_DACH) July 11, 2016
Immer anzeigen
Das Anzeigen von Ransomware-Delikten ist sehr wichtig, um den Behörden dabei zu helfen, ein komplettes Bild und entsprechende Verhinderungsmaßnahmen der Bedrohung zu bekommen. Die ‚No More Ransom‘-Webseite bietet den Opfern die Möglichkeit, kriminelle Delikte zu anzuzeigen, indem sie direkt von der Übersichtsseite von Europol zu den nationalen Behörden weiter geleitet werden.
Opfer von Ransomware sollten das geforderte Lösegeld niemals zahlen. Denn eine Zahlung unterstützt das Geschäftsmodell der Cyberkriminellen. Zudem gibt es keine Gewährleistung dafür, dass Opfer nach der Zahlung wieder Zugang zu den verschlüsselten Daten erhalten.