loader

Ziel ist, die Daten auf Ihren Geräten zu verschlüsseln und Lösegeld zu erpressen.

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.

Ransomware-Gruppe ‘REvil’ erpresst hunderte Unternehmen

Beim jüngsten Ransomware-Angriff auf den amerikanischen IT-Dienstleister ‘Kaseya’ haben Cyber-Kriminelle gleichzeitig hunderte Unternehmen angegriffen. Die Hacker von ‘REvil’ nutzten eine Schwachstelle aus, um die Kunden von Kaseya mit einem Verschlüsselungstrojaner lahm zu legen. Sie sperrten Zugriffe auf Systeme, um damit hohe Summen Lösegeld zu erpressen. Eine Art Domino-Effekt entstand, da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kunden-Netzwerk haben. Dies hatte unter anderem große Auswirkungen auf Kassensysteme einer schwedischen Supermarktkette – aber auch deutsche Unternehmen wurden getroffen. Privatanwenderinnen und Privatanwender sind bislang nicht Opfer dieser Erpresser-Attacke. Weitere Dynamiken und Verbreitungen sind allerdings nicht ausgeschlossen.

Wie wir sehen, ist das Phänomen dieser Form der digitalen Erpressung nicht neu. Die ersten Ransomware-Varianten traten bereits vor der Jahrtausendwende auf. Seit 2006 wurden dann vermehrt Ransomware-Angriffe auf Windows-Systeme beobachtet. Dabei komprimierte das Schadprogramm zum Beispiel sämtliche PC-Daten in ein passwortgeschütztes ZIP-Archiv und forderte Geld für das Passwort.

Vier Jahre später folgte die berüchtigte Ransomware-Familie Reveton: Bei diesem Schadprogramm erschien auf dem Desktop ein Warnhinweis, beispielsweise mit der Behauptung, der Rechner sei im Zuge polizeilicher oder zollrechtlicher Ermittlungen gesperrt und werde erst nach Zahlung eines “Bußgeldes” wieder freigegeben. Um ihre Opfer über die wahre Urheberschaft der Systemsperrung zu täuschen, nutzten die Täter diverse Logos und Namen verschiedener staatlicher Stellen. Umgangssprachlich war deshalb wahlweise von BKA-, BSI- oder GVU-Trojanern die Rede.

Unter dem Namen CryptoLocker trat bereits 2005 erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung: Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken.

Bei heutigen Ransomware-Angriffen wird das Lösegeld meist in virtueller Währung wie Bitcoin verlangt – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Das BSI empfiehlt stattdessen, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten. Auch der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, ist eine wirksame Ransomware-Prävention. Denn im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.

WannaCry: Weltweit mehrere hunderttausend Windows-Systeme betroffen

Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer. Auf vielen davon konnte es jedoch dank der schnellen Aktivierung einer bestimmten Funktion durch Analysten keinen Schaden anrichten.

Anders als die häufige Bezeichnung Erpressungstrojaner vermuten lässt, handelte es sich bei WannaCry allerdings um einen Wurm, der sich selbstständig ohne Zutun der Nutzer auf Windows-Rechnern verbreitete. Damit verschwammen die Grenzen zwischen Erpressersoftware (Ransomware) und “klassischem Wurm”.

Der Infektionsmechanismus von WannaCry nutzte eine Sicherheitslücke im Windows-Betriebssystem aus, für die Microsoft bereits acht Wochen vor dem Ausbruch der Epidemie einen Software-Patch bereitgestellt hatte. Das heißt: Ein zeitnahes Aufspielen dieses Sicherheitsupdates hätte in vielen Fällen die WannaCry-Infektion und alle dadurch ausgelösten Schäden verhindern können.

Quelle