Kidnapping 2.0 - Verschl├╝sselungstrojaner auf dem Vormarsch

Dieser Artikel bildet den Start unserer Artikelserie zum Thema Ransomware. Alle Artikel der Serie Ransomeware finden Sie auf unserer Themenseite.

Im Wochenrhythmus liest man von neuen Verschl├╝sselungstrojanern wie Locky oder TeslaCrypt. Diese Art von Schadsoftware, die auch unter der Bezeichnung Kryptotrojaner oder Ransomware bekannt ist, folgt im Prinzip den Regeln eines klassischen Kidnappings. Im digitalen Zeitalter werden aber nicht Personen, sondern Daten entf├╝hrt. Anstatt die Opfer in ein dunkles Kellerverlies zu sperren, werden die Daten an Ort und Stelle verschl├╝sselt und damit trotzdem dem Zugriff durch die Erpressungsopfer entzogen. Kommuniziert wird nicht mehr mit aus Zeitungsschnipseln zusammengesetzten Briefen, sondern ├╝ber das anonyme TOR-Netzwerk. Das L├Âsegeld wird schlie├člich nicht in der Plastikt├╝te von der Br├╝cke geworfen, sondern kann bequem mit der Digitalw├Ąhrung Bitcoin bezahlt werden.

Seit wann gibt es Verschl├╝sselungstrojaner?

Das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) berichtet ├╝ber erste gr├Â├čere Vorkommnisse von Verschl├╝sselungstrojanern im Jahr 2010. Seit September 2015 konnte aber eine erste gro├če Welle an Verschl├╝sselungstrojanern beobachtet werden, die seit Anfang des Jahres 2016 mit einer nochmaligen Verzehnfachung der entdeckten Trojaner gegen├╝ber Oktober 2015 eine ganz neue Dynamik entwickelt hat. Bisher bewegen sich die L├Âsegeldforderungen meistens noch im dreistelligen Bereich, da die Schadsoftware noch ungezielt an eine m├Âglichst breite Masse verteilt wird. Es sind aber bereits erste Kampagnen zu beobachten, die sich gezielt an bestimmte Branchen und Berufsgruppen wie Anw├Ąlte richten. Hierdurch werden auch die L├Âsegeldforderungen in Zukunft deutlich steigen, da sie zielgerichteter an die Zahlungsbereitschaft der ÔÇ×KundenÔÇť angepasst werden k├Ânnen.

Wie kann man sich infizieren?

Die meisten Infektionen mit Erpressungstrojanern finden aktuell noch durch Spam-E-Mail-Kampagnen statt. Dabei wird zum Beispiel eine echte Rechnungsmail einer real existierenden Firma inklusive Signatur und E-Mail-Absenderangaben gef├Ąlscht. Im Anhang dieser E-Mails befindet sich dann der Trojaner zum Beispiel versteckt in einem Office-Dokument. Weitere Wege der Verbreitung waren in der Vergangenheit sogenannte Drive-By-Infektionen. Dabei wird durch den Besuch einer kompromittierten Webseite die Schadsoftware geladen und installiert. Dies erfolgt durch Ausnutzen von Sicherheitsl├╝cken in Browsern und Browser-Plug-Ins. Webseiten werden aber nicht nur eingesetzt, um Verschl├╝sselungstrojaner zu verbreiten. Es wurden bereits Sicherheitsl├╝cken von Webseiten ausgenutzt, um die Inhalte des Webservers zu verschl├╝sseln. Zuletzt sind auch F├Ąlle von ungesch├╝tzten Fernwartungszug├Ąngen bekannt, ├╝ber die Verschl├╝sselungstrojaner verbreitet wurden.

Was kann ein Verschl├╝sselungstrojaner anrichten?

Besagte Kryptotrojaner verschl├╝sseln Dateien auf befallenen Systemen und machen Sie dadurch f├╝r den Nutzer unbrauchbar. Wurde ein PC von einem Trojaner infiziert, k├Ânnen nicht nur die Dateien auf der Festplatte, sondern auch Dateien auf angeschlossene Netzlaufwerken oder Cloud-Speichern verschl├╝sselt werden. Dadurch ist durch einen einzelnen befallenen Rechner schnell das gesamte Unternehmen zum Stillstand gebracht. Fatal ist ein Befall zudem, wenn zwar eine Backup-L├Âsung existiert, diese aber dauerhaft mit dem PC verbunden ist und so durch einen Ransomware-Befall ebenfalls unbrauchbar gemacht wird. Neben den eigenen Sch├Ąden durch die verlorenen Daten und dem Reputationsschaden bei Bekanntwerden des Vorfalls muss man auch m├Âgliche Folgesch├Ąden f├╝r Kunden und Partner bedenken, wenn gemachte Serviceversprechen nicht mehr eingehalten werden k├Ânnen oder wichtige Kundendokumente betroffen sind.

Ein bekanntes Beispiel f├╝r die dramatischen Auswirkungen eines Befalls einer Organisation durch einen Verschl├╝sselungstrojaner war das Lukaskrankenhaus in Neuss im Februar dieses Jahres. Dort konnten durch den Komplettausfall der IT-Systeme in Folge der Infektion wichtige Operationen nicht mehr durchgef├╝hrt werden.

Die Hersteller der Schadsoftware entwickeln aktuell ihre Trojaner laufend weiter, sodass st├Ąndig neue Verbreitungswege und Erpressungsstrategien entstehen. Die derzeit am meisten verbreiteten Verschl├╝sselungstrojaner sind: Locky, TeslaCrypt, Cryptolocker, Cryptowall, CryptXXX, Jigsaw, CryptoHitman, Petya, TorrentLocker, Cryptodef, PowerWare und KeRanger.

Wie kann man sich vor einer Ransomware-Infektion sch├╝tzen?

In den weiteren Artikeln dieser Serie werden wir darauf eingehen

  • was man bei einem akuten Befall mit Ransomware tun sollte,
  • wie man sich pr├Ąventiv gegen Verschl├╝sselungstrojanern sch├╝tzen kann,
  • was ein Trojaner wie Locky genau macht, wenn er einen Rechner infiziert hat und
  • wie man mit der Forderung Bitcoins zu ├╝berweisen umgehen sollte.

Eine ├ťbersicht aller bereits ver├Âffentlichter Artikel finden Sie auf unserer Themenseite Ransomware.

Eine Infektion mit einem Verschl├╝sselungstrojaner ist meistens ein Anzeichen f├╝r generelle Defiziten im Datenschutz- und IT-Sicherheitsmanagement einer Organisation. Daher helfen wir Ihnen nicht nur bei einer schnellen Reaktion im Notfall, sondern auch dabei Ihre IT-Prozesse sicher zu gestalten und eine wirksame Krisenpr├Ąvention zu betreiben.

Eine ├ťbersicht aller bereits ver├Âffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind au├čer diesem Artikel die folgenden Artikel erschienen: