Schadsoftware Die fiesen Tricks der Verschlüsselungstrojaner

Cyberkriminelle lieben Erpressungstrojaner: Sie sind einfach zu benutzen, bieten manchmal sogar Telefon-Support. Die "c't" zeigt, wie aktuelle Schadsoftware funktioniert - und erklärt, wie man sich wehren kann.

WannaCry war der erste Erpressungstrojaner, der sich in Netzwerken wurmartig verbreitete.
B. TONGO/ EPA/ REX/ Shutterstock

WannaCry war der erste Erpressungstrojaner, der sich in Netzwerken wurmartig verbreitete.

Von "c't"-Redakteur Jürgen Schmidt


Die Erpressung mit verschlüsselten Daten hat sich seit 2016 als einer der profitabelsten Geschäftsbereiche der Malware-Szene etabliert. Kein Wunder: Anders als etwa beim Online-Banking-Betrug sind sowohl die technischen als auch die organisatorischen Anforderungen so niedrig, dass auch minderbegabte Kleinkriminelle auf den Zug aufspringen können: Software, die Dateien verschlüsselt, und ein Bitcoin-Konto sind kein Hexenwerk - und außerdem im Rahmen von Angeboten für "Ransomware as a Service" bereits im Paket enthalten.

Doch 2017 hat sich einiges getan. Die wohl größte Neuerung ist die Form der Verbreitung: Klassiker wie Locky & Co. landen primär über E-Mails bei den potenziellen Opfern; sogenannte Drive-by-Infektionen durch Webseiten mit Schadcode sind der zweite wichtige Weg, auf dem Ransomware die Rechner der Opfer infiziert. WannaCry jedoch nutzte im Mai erstmals eine Windows-Lücke aus dem NSA-Arsenal (EternalBlue), um sich wie ein Wurm selbsttätig im Netz weiter zu verbreiten. Die Infektion erfolgte völlig ohne Zutun der Anwender.

Noch hinterhältiger war NotPetya, der heimlich über den Update-Mechanismus einer legitimen Software auf das System kam. Von dort aus verbreitete er sich ebenfalls über die EternalBlue-Lücke im Windows SMB-Stack weiter. Doch diese beiden Formen der Verbreitung werden wohl die Ausnahme bleiben. Wurm-taugliche Sicherheitslücken in PC sind sehr selten und Malware über reguläre Updates einzuschleusen lässt sich ebenfalls nicht beliebig wiederholen.

Erpressung und Spionage

Allerdings sehen Malware-Analysten mittlerweile vermehrt Angriffe auf Firmen, die primär das Ziel haben, dort Erpressungstrojaner zu platzieren. Das sind dann beispielsweise angebliche Bewerbungen, die sich auf tatsächliche Stellenanzeigen der Firma beziehen und an die Personalabteilung adressiert sind. Nachdem der Rechner des Personalers infiziert wurde, breiten sich die Angreifer von dort aus weiter im Netz aus, suchen und übernehmen Systeme mit wichtigen Daten und verschlüsseln Dateien dann sehr koordiniert überall gleichzeitig.

Ein weiteres, aktiv genutztes Einfallstor sind Remote-Desktop-Dienste (RDP). Die Crysis-Gang sucht in großem Stil erreichbare RDP-Ports und versucht deren Zugangsschutz mit einfachen Passwörtern auszuhebeln. Haben sie damit Erfolg, laden sie die Crysis-Ransomware herunter und infizieren damit das System.

Ransomware-Angriffe auf Firmen ähneln in der Vorgehensweise und den eingesetzten Tools immer häufiger professionellen Spionage-Angriffen. In manchen Fällen sind sich die Forensiker, die die Vorfälle untersucht haben, sogar recht sicher, dass es den Angreifern eigentlich um Spionage ging. Die vorgefundene Ransomware war nur ein kleines "Abschiedsgeschenk", das zwei Fliegen mit einer Klappe schlagen sollte: Zum einen vernichtet man damit Spuren und zum anderen ergibt sich ja vielleicht auch noch eine nette Nebeneinkunft.

Pay per Install

Außerdem bandeln die Ransomware-Autoren offensichtlich mit der etablierten Crimeware-Szene an. So erklärte uns Holger Unterbrink von Ciscos Threat-Research-Abteilung Talos, dass er bereits mehrfach Fälle gesehen habe, in denen die Opfer nach einer Bezahlung zwar den Schlüssel für den Zugang zu ihren Daten erhielten und ihre Daten auch zurück bekamen - sich aber weitere Schadsoftware auf dem System befand. Da hatte dann etwa ein Exploit Kit auf einer Website im Kombi-Pack mit dem Erpressungstrojaner einen Bitcoin-Miner geliefert, der dann natürlich nach der Datenwiederherstellung munter weiter schürfte.

Es ist durchaus üblich, dass Malware auf Befehl ihres Herrn und Meisters auch nachträglich noch andere Schadprogramme installiert. Da lädt dann etwa der Online-Banking-Trojaner nach getaner Arbeit noch Locky oder eine andere Erpressungssoftware nach. "Pay per Install" nennt sich dieses ursprünglich aus der Freeware-Szene stammende Geschäftsmodell, das sich auch in der Malware-Community durchgesetzt hat. Wer eine große Zahl an Installationen vorweisen kann - also entweder beliebte Freeware vertreibt oder große Bot-Netze administriert -, hilft dabei Dritten gegen kleine Provision bei der Verbreitung ihrer Software.

Viele Firma zahlen

Insgesamt hat die Ransomware-Szene sehr bewusst an dem Ruf gearbeitet, dass man nach dem Bezahlen des Lösegelds auch eine realistische Chance hat, wieder an seine Daten zu kommen. Die Jigsaw-Gang bot bei Problemen sogar einen Chat als Hotline-Service an. Das zahlt sich aus.

Auch wenn etwa das BSI (Bundesamt für Sicherheit in der Informationstechnik) nicht müde wird, vor den Risiken zu warnen, ringen sich vor allem Firmen und auch Behörden mittlerweile regelmäßig dazu durch, der Erpressung nachzugeben und die geforderte Summe zu entrichten. Symantec ermittelte, dass in den USA rund 64 Prozent der Betroffenen das Lösegeld entrichten; für Deutschland konnten wir keine konkreten Zahlen finden, aber Insider schätzen, dass auch hier über die Hälfte der Firmen bezahlt.

Datenwiederherstellung oft unmöglich

Diese Zahlungsbereitschaft steht und fällt mit der Zuversicht, dass man eine reelle Chance hat, seine Daten zurückzubekommen. Und wenn man ehrlich ist, ist das in den meisten Fällen auch so. Allerdings zeigt dieses Bild erste Risse. So gibt es immer mehr Erpresser, deren Software die technischen Voraussetzungen für eine Wiederherstellung gar nicht erfüllt. Malware-Experten sprechen dann von Wipern, weil die Schadsoftware die Daten praktisch löscht.

Der bislang prominenteste Wiper war NotPetya/Petya/Netya - je nach Namensgeber. Der überschrieb Daten des Boot-Sektors unwiederbringlich und machte sich nicht einmal die Mühe, eindeutige IDs für seine Opfer zu erstellen. Selbst wenn sie es wollten, könnten die Kriminellen einem Opfer keinen Schlüssel zu dessen Daten liefern. Nach aktuellem Kenntnisstand hat auch wirklich kein einziges NotPetya-Opfer seine Daten zurückbekommen.

Bei NotPetya handelte es sich vermutlich um eine politisch motivierte Kampagne, bei der Erpressung nur als Kulisse diente. Doch dessen Vorgehen ahmen immer mehr Gauner nach, denen es vor allem um schnelle Bitcoin geht, erklärt Unterbrink gegenüber "c't". Sie sparen sich den ganzen Aufwand mit den Schlüsseln, kassieren ab und tauchen dann wieder unter. Dass sie damit das Image der Branche ruinieren und darunter irgendwann die Zahlungsmoral leiden wird, ist ihnen dabei egal.

Schäden im Milliardenbereich

Es ist schwer, die Schäden durch Ransomware zu beziffern. Klar ist, dass es sich für die Cyber-Kriminellen um ein äußerst lukratives Millionengeschäft handelt. Für die Opfer liegt der Schaden durch die von der Ransomware verursachten Verluste noch um ein Vielfaches höher. Der deutsche Konzern Beiersdorf schätzt die eigenen NotPetya-Verluste durch Verzögerungen bei Versand und Produktion auf etwa 35 Millionen Euro; andere Firmen meldeten ähnliche Zahlen. Allein WannaCry und NotPetya verursachten somit Schäden im Milliardenbereich.

Zusammenfassend kann man feststellen, dass Ransomware zur beliebtesten Schädlingsgattung der Cyberkriminellen avanciert. Der Fokus der Angriffe hat sich ein wenig auf den Firmenbereich verschoben, weil dort angesichts des drohenden materiellen Schadens die Zahlungsbereitschaft größer ist als bei Privatpersonen. Außerdem kann man bei Firmen mit höheren Lösegeldforderungen weit über 1000 Euro operieren. Für Firmen ist Ransomware somit die derzeit größte Bedrohung für ihre Daten. Doch auch für Endanwender gibt es keineswegs Entwarnung: Die Macher von Locky, Cerber & Co. werden auch 2018 wieder auf Sie losgehen.

Was tun?

Wenn es Sie erwischt hat, sollten Sie keinesfalls einfach zahlen. Erstatten Sie Anzeige und versuchen Sie auf jeden Fall zunächst, mehr über die Malware herauszufinden. Dienste wie ID Ransomware helfen dabei, den Typ des Erpressungstrojaners zu identifizieren. Trauen Sie sich das nicht selbst zu, ziehen Sie Spezialisten zu Rate.

Bei einem bekannten Wiper ist der Fall hoffnungslos - das Geld wäre verschwendet. Auch nach einer Bezahlung bekommen Sie Ihre Daten nicht zurück. Bei manchen Erpressungstrojanern wurde die Verschlüsselung geknackt, sodass sich die Daten auch ohne Bezahlung wiederherstellen lassen. Die Macher von Crysis haben bereits mehrfach Master-Keys für ihre Software veröffentlicht. Warum, ist nach wie vor unklar. Vielleicht ging es einfach nur darum, den Kunden ein kostenpflichtiges Update der Mietsoftware aufzuzwingen.

Jedenfalls kann man mit dem Master-Key ebenfalls ohne Lösegeld an die Daten kommen. Erst als allerletzte Option sollten Sie eine Bezahlung ins Auge fassen.



insgesamt 29 Beiträge
Alle Kommentare öffnen
Seite 1
peterwirtz2004 20.01.2018
1. Formatieren ?
Wenn man ohnehin eine (taegliche) Sicherheitskopie hat, kann man dann nicht einfach die Festplatte neu formatieren ?
Mertrager 20.01.2018
2. Und weil das alles so ist und das auch lange bekannt ist
... zwingt die Regierung per Gesetz und Strafandrohung (so werden jedes Jahr Milliarden (allein bei den Strafen bezgl. den Bilanzveröffentlichungen) gemacht, die Steuerzahler zusätzlich an Strafen zahlen müssen. Ja, ich weiß, eine Milliarde hat bei uns neun Nullen. Habe das wiederholt nachgerechnet) immer mehr vertrauliche Daten ins Netz. So zB die Lohnrechnung und jetzt auch Bilanzen und Steuererklärungen. Ist ja klar, wer den Schaden hat. Die Politiker nicht. Die schaffen dann wieder ein neues Amt und neue Posten und kassieren ab. Unverständlich ist mir, dasz so viele Rechtsanwälte bei diesen Vorgängen im Parlament beteiligt sind. Sie werden noch merken, dasz das was sie an Gebühren „generieren“ können an Grenzen stößt (und Rechtsnwälten geht es immer nur um Geld). Der Schaden durch diesen Unfug ist hingegen grenzenlos und kommt dann auch bei den RA an, wenn der Firmenkunde dann tot ist.
skusku 20.01.2018
3.
Da muss man aber drauf achten, dass das System das sich um die Sicherheitskopie kümmert nicht ständig im Netz ist. Sonst ist sie gleich mit infiziert. Das beste wäre, die Backupfestplatte nur anzuschließen wenn man sonst nichts tut und am besten nicht mal mit dem Internet verbunden ist (Siehe WannaCry und NoPetya: Man ist nicht immer selbst verschuldet)
gerd0210 20.01.2018
4.
Zitat von skuskuDa muss man aber drauf achten, dass das System das sich um die Sicherheitskopie kümmert nicht ständig im Netz ist. Sonst ist sie gleich mit infiziert. Das beste wäre, die Backupfestplatte nur anzuschließen wenn man sonst nichts tut und am besten nicht mal mit dem Internet verbunden ist (Siehe WannaCry und NoPetya: Man ist nicht immer selbst verschuldet)
Das nützt alles nichts, wenn sich die Schadsoftware zeitverzögert aktiviert. Selbst wenn Sie für jeden Wochentag einen separaten Datenträger nutzen und die Zeitverzögerung bei 10 Tagen liegt, dann tragen schon alle Speicher die Software.
Deep Thought 20.01.2018
5. Die backup-Hinweise sind verbesserungswürdig
So richtig und wichtig es ist, dringend zu regelmäßigen (!!!) backups hinzuweisen: Bei den Hinweisen zu Datensicherungen und backups sollte zumindest darauf hingewiesen werden, daß permanent angeschlossene Datensicherung vor Ransomware nicht unbedingt sicher schützt. So perfekt diese vor Datenverlust bei plötzlichem Defekt von Festplatten und SSDs oder bei Diebstahl/Hausbrand u.ä. schützen - bei Ransomware wird das ebenfalls alles unzugänglich werden. Ernsthafte Datensicherung wäre es, alle bisherigen wichtigen Daten einmal als startfähige Kopie (also einem Klon des Datenträgers im eigenen Rechner) auf einem stets getrennt aufbewahrten Datenträger bereit zu halten - am besten gleich zwei mal. Solche externe Festplatten kosten heutzutage kaum etwas. Da Ransomware u-ä. nicht immer sofort in Aktion tritt, ist es sinnvoll, abwechselnd die Klone zu aktualisieren, wobei jeweils einer älter ist und damit noch nicht infiziert sein kann. Was dann noch ungesichert bleibt, ist nur noch der Datenumfang der zwischenzeitlich angefallen ist. Den kann man mit einer engmaschig erfolgenden offline-Datensicherung wie time-machine o.ä. ergänzen. den Schaden von Ransomware kann man so zumindest in erträglichen Grenzen halten: Die betroffene gekidnappte Festplatte einfach formatieren, einen der startfähigen Klone auf die Festplatte kopieren - fertig. Mit dem geringen Verlust der aktuellsten, noch nicht gesicherten Daten der letzten Wochen kann man als Privater Nutzer zumeist leben und oft lassen diese sich noch rekonstruieren. Leider ist für viele Leute das Wort Datensicherung bzw backup noch ein völliges Fremdwort. Dabei gibt es heutzutage intuitiv bedienbare und damit fast idiotensichere Backup-Software und auch gut erschwingliche Externe Hardware...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.