Steigende Gefahr durch Ransomware

Unablehnbare Angebote

25. Februar 2021, 07:00 Uhr   |  Dr. Wilhelm Greiner

Unablehnbare Angebote
© Wolfgang Traub

„Ich mache ihm ein Angebot, das er nicht ablehnen kann.“ Mit diesen Worten kündigt Don Vito Corleone, gespielt von Marlon Brando, im Mafia-Epos „Der Pate“ an, seinem Patensohn, einem zweitklassigen Schlagersänger, zu dessen Wunschrolle in einem geplanten Hollywood-Film zu verhelfen. Der Produzent weigert sich – und erwacht am nächsten Morgen prompt neben dem abgetrennten Kopf seines Rennpferds. Die wenig subtile Message: „Du machst, was wir wollen, sonst ...“ Damit sind die Ransomware-Familien die rechtmäßigen Nachfolger der Clans von Vito Corleone und dessen Marktbegleitern. Und ihre Methoden werden aggressiver.

Was Cosa Nostra, Camorra und ‘Ndrangheta in Italien, das sind die Ransomware-Gruppen Netwalker, Dharma und Evil Corp in Digitalien: ein Ärgernis, das man, hat es einmal Fuß gefasst, ebenso schwer wieder loswird wie die Gicht oder Flacherdler. Alteingesessenen Mafia-Familien nicht unähnlich, reicht auch die Geschichte der Ransomware geraume Zeit zurück – zumindest für Softwareverhältnisse: Schon im Jahr 1989 verschlüsselte eine Schadsoftware namens „AIDS Trojan Disk“ Daten mittels einer infizierten Diskette (für die jüngeren Leser: Das war so eine Art Datenträger; sieht aus wie ein „Speichern“-Icon aus dem 3D-Drucker).

Richtig in Schwung kam das digitale Erpressergeschäft allerdings erst ab dem Jahr 2016. Damals sorgte – auch daran werden sich zumindest die älteren Leser wohl erinnern – der Kryptotrojaner Locky für Aufsehen, da er reihenweise Rechner verschlüsselte, um für die Entschlüsselung Lösegeld zu fordern. Denn inzwischen hatte die dunkle Seite der Macht mit digitalen Währungen, vorrangig Bitcoin, einen Weg gefunden, um das Restrisiko des Erpressertums zu vermeiden: Man konnte nun die aus den unablehnbaren Angeboten resultierenden Finanztransaktionen anstoßen, ohne erst, wie einst Don Vito, moderat freundlich dreinblickende Herren mit Schlagringen und Baseballschlägern losschicken zu müssen. Dieses altmodische Debitoren-Management ist ja auf Dauer auch zu kosten- und personalintensiv.

601 LANline 2021-03 Bild 1 CrowdStrike
© Bild: Crowdstrike

Anzahl der Fälle, in denen Angreifergruppen exfiltrierte Daten auf speziellen Leak-Sites publizierten (November 2019 bis September 2020).

Seither hat sich das Ransomware-Business rasant weiterentwickelt. Manche Gruppen haben sich auf gezieltes Attackieren namhafter Unternehmen, Institutionen und Behörden eingeschossen, während man anderen Organisationen das Brot-und-Butter-Geschäft der Erpressung einfacher Mittelständler, Kleinunternehmen oder auch  Privatpersonen überlässt (siehe beispielsweise Crowdstrikes „Cyber Front Lines Report“ für 2020 oder den Blog-Post „The Ghost of Ransomware Past, Present, and Yet to Come“ des Forcepoint-Forschers Robert Neumann). Diesen Fokus auf große, häufig gut verteidigte, aber dafür umso lukrativere Ziele nennen US-Sicherheitsforscher „Big Game Hunting“ (Großwildjagd) oder – weil alles in der IT-Branche eine drei- oder vierbuchstabige Abkürzung haben muss – kurz „BGH“.

601 LANline 2021-03 Bild 2 Carsten Hoffmann
© Bild: Forcepoint

„Ransomware steht unter einem großen Evolutionsdruck“, sagt Carsten Hoffmann von Forcepoint.

Als erstes Beispiel einer solchen Großwildjagd nennt Crowdstrike die Samas-Ransomware, auch SamSam genannt. „In den Folgejahren haben sich die BGH-Ransomware-Varianten vervielfacht, weiterentwickelt und sind immer raffinierter geworden, und sie konnten sich praktisch ungehindert von bestehenden Endpunkt-Security-Tools verbreiten“, so der Crowdstrike-Report. In Erinnerung geblieben ist zum Beispiel der Angriff auf die Reederei Maersk mittels NotPetya-Ransomware im Jahr 2017, die den Konzern laut eigenem Bekunden bis zu 300 Millionen Dollar gekostet hat . 2020 hat sich dieser Trend mit hoher Intensität fortgesetzt. Zum Opferkreis zählten letztes Jahr neben Unternehmen, Behörden, Schulen und Universitäten auch Krankenhäuser – insbesondere in Pandemiezeiten nochmals widerlicher, als das Erpressergeschäft eh schon ist. So erlebten zum Beispiel die USA letzten Herbst eine regelrechte Angriffswelle auf den Gesundheitssektor  – dabei hatten manche Ransomware-Clans zu Beginn der Pandemie noch großspurig angekündigt, auf gegen Krankenhäuser gerichtete Angriffe zu verzichten. Aber was macht man nicht alles für das liebe Geld.

601 LANline 2021-03 Bild 3 Pascal Brunner
© Bild: Cohesity

„Moderne Lösungen analysieren die Veränderungswerte einzelner Backups“, erklärt Pascal Brunner von Cohesity.

Hierzulande sorgte im September für Schlagzeilen, dass die Uniklinik Düsseldorf eine Patientin aufgrund eines Ransomware-Befalls abweisen musste, woraufhin die Frau auf dem Weg zu einer anderen Klinik im Rettungswagen verstarb. Dies meldeten einige Medien als ersten Todesfall in Deutschland aufgrund von Ransomware – was so aber nicht stimmt: Die Staatsanwaltschaft stellte später klar, dass die Patientin selbst mit sofortiger Versorgung nicht überlebt hätte. (Kleiner Hinweis an Security-Marketiers: Bitte das voreilig eingebaute Marketing-Slide wieder entfernen, danke!) Dennoch führen derlei Angriffe auf Krankenhäuser eines vor Augen: Da heute alles – einschließlich medizinischer Gerätschaft – mit allem vernetzt und somit für Angriffe aus dem Internet anfällig ist, kann ein Ransomware-Angriff in der Tat Menschenleben kosten.

Seite 1 von 3

1. Unablehnbare Angebote
2. Arbeitsteilung und Kartellbildung
3. Gegenmaßnahmen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

CrowdStrike GmbH, Forcepoint Deutschland GmbH, Cohesity, FireEye, TREND MICRO Deutschland GmbH

Cybercrime

Fireeye