Ransomware – Vorsicht vor Erpressersoftware
Ransomware – Vorsicht vor Erpressersoftware Ziel ist, die Daten auf Ihren Geräten zu verschlüsseln und Lösegeld zu erpressen
Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.
Ransomware-Gruppe 'REvil' erpresst hunderte Unternehmen
Beim jüngsten Ransomware-Angriff auf den amerikanischen IT -Dienstleister 'Kaseya' haben Cyber-Kriminelle gleichzeitig hunderte Unternehmen angegriffen. Die Hacker von 'REvil' nutzten eine Schwachstelle aus, um die Kunden von Kaseya mit einem Verschlüsselungstrojaner lahm zu legen. Sie sperrten Zugriffe auf Systeme, um damit hohe Summen Lösegeld zu erpressen. Eine Art Domino-Effekt entstand, da zu den Kunden des IT -Dienstleisters zahlreiche weitere IT -Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kunden-Netzwerk haben. Dies hatte unter anderem große Auswirkungen auf Kassensysteme einer schwedischen Supermarktkette - aber auch deutsche Unternehmen wurden getroffen. Privatanwenderinnen und Privatanwender sind bislang nicht Opfer dieser Erpresser-Attacke. Weitere Dynamiken und Verbreitungen sind allerdings nicht ausgeschlossen.
Der Vorfall zeigt, wie angreifbar eine vernetzte IT -Infrastruktur mit einer Sicherheitslücke sein kann und welche mitunter weltweiten Auswirkungen dies haben kann. Überträgt man das Risiko eines Ransomware-Befalls auf die Systeme von Privatanwenderinnen und Privatanwendern, sind vier wichtige Tipps zu beherzigen: 1. Regelmäßige, möglichst automatische Sicherheitsupdates aller Geräte; 2. Virenschutzprogramme aktivieren; 3. keine E-Mails von unbekannten, unseriösen Absendern öffnen; 4. Regelmäßige, externe Datensicherungen
Weiterführende Tipps zum Basisschutz vernetzter Geräte
Wie wir sehen, ist das Phänomen dieser Form der digitalen Erpressung nicht neu. Die ersten Ransomware-Varianten traten bereits vor der Jahrtausendwende auf. Seit 2006 wurden dann vermehrt Ransomware-Angriffe auf Windows-Systeme beobachtet. Dabei komprimierte das Schadprogramm zum Beispiel sämtliche PC -Daten in ein passwortgeschütztes ZIP-Archiv und forderte Geld für das Passwort.
Vier Jahre später folgte die berüchtigte Ransomware-Familie Reveton: Bei diesem Schadprogramm erschien auf dem Desktop ein Warnhinweis, beispielsweise mit der Behauptung, der Rechner sei im Zuge polizeilicher oder zollrechtlicher Ermittlungen gesperrt und werde erst nach Zahlung eines "Bußgeldes" wieder freigegeben. Um ihre Opfer über die wahre Urheberschaft der Systemsperrung zu täuschen, nutzten die Täter diverse Logos und Namen verschiedener staatlicher Stellen. Umgangssprachlich war deshalb wahlweise von BKA -, BSI - oder GVU-Trojanern die Rede.
Unter dem Namen CryptoLocker trat bereits 2005 erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung: Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken.
Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT -Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.
Bei heutigen Ransomware-Angriffen wird das Lösegeld meist in virtueller Währung wie Bitcoin verlangt – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Das BSI empfiehlt stattdessen, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten. Auch der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, ist eine wirksame Ransomware-Prävention. Denn im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.
WannaCry: Weltweit mehrere hunderttausend Windows -Systeme betroffen
Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer. Auf vielen davon konnte es jedoch dank der schnellen Aktivierung einer bestimmten Funktion durch Analysten keinen Schaden anrichten.
Anders als die häufige Bezeichnung Erpressungstrojaner vermuten lässt, handelte es sich bei WannaCry allerdings um einen Wurm, der sich selbstständig ohne Zutun der Nutzer auf Windows-Rechnern verbreitete. Damit verschwammen die Grenzen zwischen Erpressersoftware (Ransomware) und "klassischem Wurm".
Der Infektionsmechanismus von WannaCry nutzte eine Sicherheitslücke im Windows-Betriebssystem aus, für die Microsoft bereits acht Wochen vor dem Ausbruch der Epidemie einen Software-Patch bereitgestellt hatte. Das heißt: Ein zeitnahes Aufspielen dieses Sicherheitsupdates hätte in vielen Fällen die WannaCry-Infektion und alle dadurch ausgelösten Schäden verhindern können.
Wenn Unternehmen gehackt werden, wird es richtig teuer
Wenn Unternehmen gehackt werden, wird es richtig teuer
Professionelle Hackerteams haben solvente Unternehmen als lohnenswerte Angriffsziele im Visier. Jedes Dax-Unternehmen kann sich sicher sein, dass es unter permanentem Dauerbeschuss steht. Die Frage ist immer nur, ob und wie lange der Wall aus IT-Sicherheitsmaßnahmen den täglichen Angriffen standhält. Sicherheitsexperten gehen davon aus, dass innerhalb von 24 Stunden drei Millionen Angriffe auf deutsche Unternehmen abgesetzt werden.
Automatisierte Angriffe
Für die Täter bedeutet es wenig Aufwand, die automatisierten Angriffswellen zu steuern. Es werden solange Attacken gefahren bis irgendwo eine digitale Tür aufgeht und den kriminellen Subjekten Einlass gewährt. Neue Ziele sind vermehrt Remote-Desktop-Verbindungen, wie sie auch Homeoffice-Mitarbeiter nutzen, wenn sie von zu Hause arbeiten. Die Täter sind Diebe und Erpresser, die mit hoch spezialisierten Werkzeugen Daten stehlen oder Server verschlüsseln. Der angerichtete Schaden ist oft dermaßen hoch, dass Unternehmen zähneknirschend das geforderte Lösegeld zahlen. Anschließend wird dann oft versucht es geheim zu halten.
Nicht immer ist Geld der Schaden
Wenn eine Attacke halbwegs glimpflich abläuft, dann ist nur das Image beschädigt. So geschehen bei der Software AG, Deutschlands zweitgrößtem Softwarehaus. Es wurden „lediglich“ 832 Gigabyte Daten gestohlen. Die Kunden sind allerdings irritiert und erwarten natürlich, dass eine große Softwarefirma die eigene IT-Sicherheit im Griff hat.
Die Attacke auf die Uniklinik Düsseldorf hingegen hatte ein tragisches Ende, welches ein Menschenleben kostete. Dreißig Server wurden im Rechenzentrum verschlüsselt, wodurch sich die Behandlung einer Patientin verzögerte, die daraufhin gestorben ist. Der Bekennerbrief war allerdings an die Universität Düsseldorf gerichtet. Es handelte sich somit um einen Irrtum der Hacker. Sie haben die Server sofort wieder entschlüsselt, als man ihnen mitteilte, dass sie Menschenleben gefährden.
In unserem Blogartikel zur IT-Sicherheit haben wir über die verschiedenen Angriffsformen und über die Sensibilisierung der Gefährdungslage berichtet. Hier stellen wir nun einige prominente Unternehmen vor, die aktuell Opfer eines Hackerangriffs wurden, der kostspielige Schäden verursacht hat.
CD Projekt Red – Diebstahl von Softwarecode
Das polnische Entwicklerstudio CD Projekt Red ist bekannt für seine erfolgreichen Computerspiele wie The Witcher und Cyberpunk 2077. Den Angreifern ist es gelungen, auf die Server zuzugreifen und den Quellcode der beiden Spiele zu stehlen. Auf die Lösegeldforderung wollte das Unternehmen offiziell nicht eingehen. Die Hacker haben deshalb den Sourcecode auf dunklen Kanälen zum Sofortkaufpreis von sieben Millionen Dollar angeboten. Der Deal kam zustande, ein hoher Kaufpreis wurde überwiesen. Die Gerüchte mehren sich, dass das bestohlene Unternehmen selbst auf diesem Wege den eigenen Sourcecode zurückgekauft hat.
Funke Medien Gruppe – Verschlüsselung der Server
Die Funke Medien Gruppe ist ein riesiges Medienunternehmen mit einem Umsatz von mehr als 1,2 Milliarden Euro und 6000 Mitarbeitern. Ein Hackerangriff in „ungeheurer Dimension“ hat die IT-Systeme verschlüsselt und damit lahmgelegt. Die Redaktionen konnten keine Zeitungen mehr produzieren. „WAZ“, „Berliner Morgenpost“, „Hamburger Abendblatt“ wurden als handgefertigte Notausgaben veröffentlicht. Es soll eine hohe Lösegeldforderung in der Währung Bitcoin gestellt worden sein. Staatsanwaltschaft und Unternehmen schweigen sich allerdings über geleistete Zahlungen aus.
AIDA Kreuzfahrten – Verschlüsselung der Server
Die Reederei AIDA Cruises ist ebenfalls ein Opfer eines Hackerangriffs geworden und berichtete von „IT-technischen Einschränkungen“. Das Unternehmen hält sich mit ausführlichen Informationen äußerst bedeckt. Fakt ist allerdings, dass Telefon, E-Mail und Internetbuchungen komplett ausgefallen sind und nicht mehr funktionierten.
Zwei Kreuzfahrten zum Jahresende 2020 zu den Kanaren mussten dann wegen dieser massiven IT-Probleme abgesagt werden. Auch AIDA wurde mit einer hohen Lösegeldforderung zur Entschlüsselung der Systeme in der Währung Bitcoin konfrontiert.
Über geleistete Zahlungen schweigt sich das Unternehmen aus.
Fahrradhersteller Canyon – Verschlüsselung der Server
Beim Koblenzer Fahrradhersteller Canyon wurden bei einem Hackerangriff die IT-Systeme verschlüsselt, was das Unternehmen „zu 100 Prozent handlungsunfähig“ gemacht hat. Ohne Zugriff auf Server und Daten musste die Montage der Fahrräder gestoppt werden. Auch die Kommunikationskanäle kamen komplett zum Erliegen. Produktion, Service und Versand waren in vielen internationalen Standorten noch lange nach der Attacke beeinträchtigt. Eigene und externe IT-Experten konnten die Systeme aus Backups rekonstruieren und wieder virenfrei betreiben.
Garmin Fitness-Portal – Verschlüsselung der Server
Garmin ist ein weltweiter Hersteller von Fitness-Elektronik und betreibt ein Fitness-Portal unter dem Namen Garmin Connect. Dieses Portal wurde mit Ransomware gehackt und der Server dabei verschlüsselt. Der Angriff führte zum Totalausfall. Wenige Tage später standen allerdings alle Dienste wieder zur Verfügung. Amerikanische IT-Experten sehen es als sicher an, dass Garmin ein Lösegeld von 10 Millionen Dollar zahlte, um das Fitness-Portal wieder ans Laufen zu bringen.
Fazit
Es ist keine Frage mehr, ob man als Unternehmen angegriffen wird, sondern nur noch wann.
Die Investitionen in IT-Sicherheit sind im Vergleich zum möglichen Schaden äußerst gering. Wer dennoch die Augen schließt und hofft, dass der Kelch vorüberzieht, handelt heutzutage grob fahrlässig. Smarte Lösungen, die Sicherheit geben und das Budget nicht überstrapazieren, sind unsere Produkte Managed Antivirus und Anti-Ransom. Bereits tausendfach im Einsatz sichern sie IT-Systeme und bewahren vor dem Horror, dass man Dieben und Erpressern hilflos ausgeliefert ist.
Cyberangriff: Hacker erbeuten massenhaft Daten von Großunternehmen im Norden
Schon wieder wird eine nordddeutsche Firma von Hackern angegriffen: Nachdem es in der vergangenen Woche den Hamburger Kupfer-Konzern Aurubis erwischt hatte, berichtet heute ein weiteres Großunternehmen über eine Cyber-Attacke – mit riesigem Daten-Klau.
Bei dem Angriff auf den Hannoveraner Autozulieferer und Reifenhersteller Continental sind den Hackern massenhaft Daten in die Hände gefallen. Im August hatte der Dax-Konzern den Angriff öffentlich gemacht. Am Montag räumte das Unternehmen ein, dass dabei auch Daten abflossen.
Hacker forderten angeblich Geld von Continental
Die Untersuchung mithilfe externer Experten dauere an, hieß es in einer Mitteilung. „In der Zwischenzeit hat diese Untersuchung ergeben, dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten.“
Im August hatte der Konzern mitgeteilt, es seien keine Daten auf eigenen Systemen verschlüsselt worden und auch keine Lösegeldforderungen eingegangen. Offenbar forderten die Hacker nach Informationen des „Handelsblatt“ später Geld. Es soll nach Informationen der Zeitung um eine Datenmenge von 40 Terabyte gehen.
Das könnte Sie auch interessieren: Hacker attackieren Hamburger Großkonzern – Folgen unklar
Hacker nutzen oft zwei Wege, um an Lösegeld nach einem Datenangriff zu gelangen: Vielfach verschlüsseln sie Daten auf den Unternehmensrechnern und machen sie so unbrauchbar, bis gegen ein Lösegeld die Verschlüsselung rückgängig gemacht wird. Außerdem drohen sie oft mit der Veröffentlichung sensibler Daten – wie nun auch bei Conti. (dpa/mp)
