2017 war ohne Zweifel das Jahr der Ransomware. Drei Ransomware-Epidemien (WannaCry, ExPetr und die etwas weniger bekannte Bad Rabbit) erregten jede Menge Aufmerksamkeit.
Obwohl die Vorfälle ziemlich plötzlich auftraten und somit viele Nutzer überraschten, prognostizierten unsere Experten den Trend der Crypto-Ransomware bereits im Jahr 2016. Costin Raiu und Juan Andres Guerrero-Saade schrieben in ihrer Securelist-Prognose für 2017, dass eine neue Art von Ransomware erwartet wird, die „den Zugriff auf das System blockieren und Dateien verschlüsseln oder sogar komplett löschen kann. Auf diese Weise wird das Opfer dazu gebracht ein gefordertes Lösegeld zu zahlen, ohne dafür etwas im Gegenzug zu erhalten.“
Malware in der Seitwärtsbewegung
Die Epidemien wurden deshalb so bekannt, da die Malware nicht nur einen Computer, sondern gleich alle Geräte, die mit einem Netzwerk verbunden waren, verschlüsselte. Dieses Ausmaß der Infiltration war dank der Schwachstellen möglich, die durch die Hackergruppe Shadow Brokers aufgedeckt wurden.
Zwar gab es zu dem Zeitpunkt bereits Patches, um derartige Malware-Angriffe zu verhindern, auf vielen Geräten waren diese aber schlichtweg nicht installiert. Bis heute machen sich viele Cyberkriminelle diese Sicherheitslücken noch immer zu Nutze (und das leider mit Erfolg).
Lektion 1: Installieren Sie umgehend verfügbare Updates, insbesondere dann, wenn sie direkt mit der Sicherheit in Zusammenhang stehen.
Nicht-kritische Systeme
Zu den Opfern der Verschlüsseler gehörten viele Systeme, die Ransomware durch fehlenden Schutz vollkommen ausgeliefert waren. Bei einigen dieser Systeme handelte es sich um Informationstafeln und Verkaufsautomaten. Wenn wir ehrlich sind, gibt es auf diesen Systemen nicht besonders viel zu verschlüsseln und wahrscheinlich niemand würde für die Entschlüsselung bezahlen.
Aber in diesen Fällen wählten die Angreifer ihre Opfer nicht gezielt aus, sondern infizierten alles, was ihnen in die Finger kam. Der Schaden war signifikant. Die Neuinstallation von Betriebssystemen auf diesen unkritischen Rechnern war und ist eine kostspielige Zeitverschwendung.
Lektion 2: Schützen Sie alle Elemente Ihrer Informations-Infrastruktur.
Sabotage statt Erpressung
ExPetr mangelte es an einem Mechanismus, ein Opfer spezifisch zu wählen. Das bedeutet, dass die Angreifer (selbst wenn sie gewollt hätten) den Opfern keinen Entschlüsselungscode hätten bereitstellen können. Deshalb gehen wir stark davon aus, dass ihr prinzipielles Ziel darin bestand, so viel Schaden wie möglich zu verursachen; das Lösegeld war hierbei lediglich ein nebensächlicher Bonus.
Dies bestätigt erneut, dass Lösegeldzahlungen keine zuverlässige Methode zur Wiederherstellung von Daten sind.
Lektion 3: Wer seine Daten nicht verlieren möchte, muss diese sichern und Schutzlösungen proaktiv installieren.
Wir hoffen, dass wir mit diesen Lektionen dazu beitragen können, zukünftige Schäden, die von ähnlichen Angriffen ausgehen, zu minimieren. Experten zufolge werden Cyberkriminelle 2018 weiterhin Verschlüsselungs-Malware im Stil von ExPetr als Cyberwaffe zur Informationsvernichtung einsetzen. Weitere Informationen zu den Prognosen unserer Forscher für das Jahr 2018 finden Sie in diesem Blogbeitrag auf Securelist.