Kidnapping 2.0 - Verschlüsselungstrojaner auf dem Vormarsch
Im Wochenrhythmus liest man von neuen Verschlüsselungstrojanern wie Locky oder TeslaCrypt. Diese Art von Schadsoftware, die auch unter der Bezeichnung Kryptotrojaner oder Ransomware bekannt ist, folgt im Prinzip den Regeln eines klassischen Kidnappings. Im digitalen Zeitalter werden aber nicht Personen, sondern Daten entführt. Anstatt die Opfer in ein dunkles Kellerverlies zu sperren, werden die Daten an Ort und Stelle verschlüsselt und damit trotzdem dem Zugriff durch die Erpressungsopfer entzogen. Kommuniziert wird nicht mehr mit aus Zeitungsschnipseln zusammengesetzten Briefen, sondern über das anonyme TOR-Netzwerk. Das Lösegeld wird schließlich nicht in der Plastiktüte von der Brücke geworfen, sondern kann bequem mit der Digitalwährung Bitcoin bezahlt werden.
Seit wann gibt es Verschlüsselungstrojaner?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet über erste größere Vorkommnisse von Verschlüsselungstrojanern im Jahr 2010. Seit September 2015 konnte aber eine erste große Welle an Verschlüsselungstrojanern beobachtet werden, die seit Anfang des Jahres 2016 mit einer nochmaligen Verzehnfachung der entdeckten Trojaner gegenüber Oktober 2015 eine ganz neue Dynamik entwickelt hat. Bisher bewegen sich die Lösegeldforderungen meistens noch im dreistelligen Bereich, da die Schadsoftware noch ungezielt an eine möglichst breite Masse verteilt wird. Es sind aber bereits erste Kampagnen zu beobachten, die sich gezielt an bestimmte Branchen und Berufsgruppen wie Anwälte richten. Hierdurch werden auch die Lösegeldforderungen in Zukunft deutlich steigen, da sie zielgerichteter an die Zahlungsbereitschaft der „Kunden“ angepasst werden können.
Wie kann man sich infizieren?
Die meisten Infektionen mit Erpressungstrojanern finden aktuell noch durch Spam-E-Mail-Kampagnen statt. Dabei wird zum Beispiel eine echte Rechnungsmail einer real existierenden Firma inklusive Signatur und E-Mail-Absenderangaben gefälscht. Im Anhang dieser E-Mails befindet sich dann der Trojaner zum Beispiel versteckt in einem Office-Dokument. Weitere Wege der Verbreitung waren in der Vergangenheit sogenannte Drive-By-Infektionen. Dabei wird durch den Besuch einer kompromittierten Webseite die Schadsoftware geladen und installiert. Dies erfolgt durch Ausnutzen von Sicherheitslücken in Browsern und Browser-Plug-Ins. Webseiten werden aber nicht nur eingesetzt, um Verschlüsselungstrojaner zu verbreiten. Es wurden bereits Sicherheitslücken von Webseiten ausgenutzt, um die Inhalte des Webservers zu verschlüsseln. Zuletzt sind auch Fälle von ungeschützten Fernwartungszugängen bekannt, über die Verschlüsselungstrojaner verbreitet wurden.
Was kann ein Verschlüsselungstrojaner anrichten?
Besagte Kryptotrojaner verschlüsseln Dateien auf befallenen Systemen und machen Sie dadurch für den Nutzer unbrauchbar. Wurde ein PC von einem Trojaner infiziert, können nicht nur die Dateien auf der Festplatte, sondern auch Dateien auf angeschlossene Netzlaufwerken oder Cloud-Speichern verschlüsselt werden. Dadurch ist durch einen einzelnen befallenen Rechner schnell das gesamte Unternehmen zum Stillstand gebracht. Fatal ist ein Befall zudem, wenn zwar eine Backup-Lösung existiert, diese aber dauerhaft mit dem PC verbunden ist und so durch einen Ransomware-Befall ebenfalls unbrauchbar gemacht wird. Neben den eigenen Schäden durch die verlorenen Daten und dem Reputationsschaden bei Bekanntwerden des Vorfalls muss man auch mögliche Folgeschäden für Kunden und Partner bedenken, wenn gemachte Serviceversprechen nicht mehr eingehalten werden können oder wichtige Kundendokumente betroffen sind.
Ein bekanntes Beispiel für die dramatischen Auswirkungen eines Befalls einer Organisation durch einen Verschlüsselungstrojaner war das Lukaskrankenhaus in Neuss im Februar dieses Jahres. Dort konnten durch den Komplettausfall der IT-Systeme in Folge der Infektion wichtige Operationen nicht mehr durchgeführt werden.
Die Hersteller der Schadsoftware entwickeln aktuell ihre Trojaner laufend weiter, sodass ständig neue Verbreitungswege und Erpressungsstrategien entstehen. Die derzeit am meisten verbreiteten Verschlüsselungstrojaner sind: Locky, TeslaCrypt, Cryptolocker, Cryptowall, CryptXXX, Jigsaw, CryptoHitman, Petya, TorrentLocker, Cryptodef, PowerWare und KeRanger.
Wie kann man sich vor einer Ransomware-Infektion schützen?
In den weiteren Artikeln dieser Serie werden wir darauf eingehen
- was man bei einem akuten Befall mit Ransomware tun sollte,
- wie man sich präventiv gegen Verschlüsselungstrojanern schützen kann,
- was ein Trojaner wie Locky genau macht, wenn er einen Rechner infiziert hat und
- wie man mit der Forderung Bitcoins zu überweisen umgehen sollte.
Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware.
Eine Infektion mit einem Verschlüsselungstrojaner ist meistens ein Anzeichen für generelle Defiziten im Datenschutz- und IT-Sicherheitsmanagement einer Organisation. Daher helfen wir Ihnen nicht nur bei einer schnellen Reaktion im Notfall, sondern auch dabei Ihre IT-Prozesse sicher zu gestalten und eine wirksame Krisenprävention zu betreiben.
Am 21.05.2016 in der Kategorie Datensicherheit veröffentlicht.