Dieser Beitrag wurde von Oliver Hirschi für secnovum verfasst.
Kriminelle nutzen unterschiedliche Strategien, um Geld von unwissenden Opfern zu erbeuten. Ein beliebtes Vorgehen ist das Verschlüsseln von Dateien des Benutzers, der erst nach Zahlung eines «Lösegelds» wieder Zugriff darauf erhält – vielleicht…! Eine dieser Strategien ist die Verbreitung von Ransomware.
Bei «Ransomware» handelt es sich um eine bestimmte Familie von Schadsoftware (Malware). Diese verbreitet sich üblicherweise über schädliche E-Mail-Anhänge oder infizierte Webseiten. Einmal installiert, verschlüsselt «Ransomware» Dateien auf dem Computer des Opfers sowie auf allfällig verbundenen Netzlaufwerken und Speichermedien (beispielsweise USB-Sticks). Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar.
So schützen Sie sich vor Ransomware:
1. Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten.
Stellen Sie sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch «Ransomware» möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt.
2. Halten Sie installierte Software und Plug-ins immer aktuell.
Stellen Sie sicher, dass sämtliche installierte Software, Apps sowie auch Web-Browser Plug-ins stets auf dem aktuellsten Stand sind. Verwenden Sie, wenn immer möglich, die automatische Update-Funktion der jeweiligen Software.
3. Seien Sie vorsichtig bei verdächtigen E-Mails,
bei E-Mails, welche Sie unerwartet erhalten oder welche von einem unbekannten Absender stammen. Befolgen Sie keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
4. Verwenden Sie ein modernes Virenschutzprogramm mit Ransomware-Schutz,
das mit automatischen Updates immer auf dem neusten Stand gehalten wird. Ansonsten besteht die Gefahr, dass neu entwickelte Schadsoftware nicht erkannt wird.
5. Segmentieren Sie Ihr Netzwerk
wie im Secnovum-Artikel zu Netzwerkzonierung beschrieben. Dadurch können Sie das Risiko einer Ausbreitung, z.B. von einem Client auf die Server, reduzieren.
Die Funktionsweise von Ransomware
Es ist schnell passiert: Das Öffnen eines schädlichen E-Mail-Anhangs oder einer infizierten Website genügt unter Umständen, damit ein Verschlüsselungstrojaner sich auf dem eigenen System einnisten und unaufhaltsam Daten unbrauchbar machen kann, indem er sie löscht oder verschlüsselt.
Bei Angriffen auf Firmen werden heute oft verschiedene Malware-Arten so miteinander kombiniert, dass sie sich vor einfachen Virenschutzprogrammen verstecken und sich so automatisch im ganzen Netzwerk verbreiten können. Sie sind so konfiguriert, dass zuerst alle über’s Netzwerk zugänglichen Datensicherungen verschlüsselt oder gelöscht und danach die Originaldateien und Schattenkopien verschlüsselt werden – dies, um eine Wiederherstellung ab der Datensicherung zu verhindern.
Wurden die Dateien auf dem Computer durch die «Ransomware» verschlüsselt, zeigt diese dem Opfer einen «Sperrbildschirm» an. Dieser fordert das Opfer auf, eine bestimmte Geldsumme in Form einer Internetwährung (beispielsweise Bitcoins) an die Angreifer zu bezahlen, damit diese die verschlüsselten Dateien wieder freigeben und letztere somit wiederverwendet werden können (Erpressung). Durch die Verwendung einer Internetwährung wird die Nachverfolgung der Urheberschaft erschwert.
Die Einhaltung der von den Angreifern gestellten Forderung und der damit verbundenen Zahlung an die Angreifer gibt jedoch keine Garantie, dass Opfer wieder Zugang zu den verschlüsselten Dateien erhalten. Zudem finanziert eine Zahlung das Geschäftsmodell der Angreifer und erlaubt diesen damit, die Angriffe mit «Ransomware» fortzuführen und weitere Opfer zu infizieren und zu schädigen.
Mögliche Rettung in der Not: Ob für eine Ransomware bereits Entschlüsselungsroutinen bekannt sind, ist auf Webseiten wie NO MORE RANSOM ersichtlich.
Firmen sind optimale Angriffsopfer
Die Cyberkriminellen nehmen bei der Verbreitung von Ransomware vor allem Firmen ins Visier, da diese über sehr viele geschäftskritische Daten verfügen und daher eher bereit sind, zur Abwendung eines existenziellen Datenverlusts hohe Lösegeldsummen zu bezahlen. Eine Infektion mit einem Verschlüsselungstrojaner und damit verbundener Datenverlust kann aber genauso gut Privatanwender treffen.
Die wichtigste Gegenmassnahme zur Vorbeugung eines Datenverlusts durch Ransomware ist daher die regelmässige Erstellung von Sicherheitskopien (Backups) Ihrer Dateien – weitere Informationen dazu, primär für Kleinstunternehmen, finden sich unter «Schritt 1 – Sichern der Daten» auf der Plattform «eBanking – aber sicher!».
