Cyberkriminalität ist seit Anfang der 2010er ein globales Problem für Privatpersonen und zunehmend für Unternehmen auf der ganzen Welt. Die zunehmende Vernetzung und Digitalisierung multiplizierten mögliche Angriffsvektoren und den potenziellen Einfluss einer gelungenen Infrastruktur. Was zeichnen die jüngsten Ransomware-Angriffe aus und welche Lehren lassen sich für die Architektur dieser Angriffe ableiten? Wir erklären aktuelle Ransomware-Angriffe und wie Unternehmen sich schützen sollten.
Inhalt
Ransomware: PC-Cyborg 1989
Die erste dokumentierte Ransomware-Attacke der Welt ist über 30 Jahre her und retrospektiv eine Blaupause für eine ganze Reihe von den Attacken in den folgenden Jahren und Jahrzehnten.
Da das Internet 1989 noch nicht wirklich verbreitet war, gelang die Verteilung über analoge Wege. Der Biologe Joseph Popp verteilte 20.000 Floppy-Discs auf einer Konferenz der Weltgesundheitsorganisation zum Thema AIDS in Stockholm. Die Disketten waren mit dem Hinweis “AIDS Informationen – einführende Disketten” beschriftet und beinhalteten einen Trojaner, der sich auf einem MS-DOS-System bei Einlegen der Diskette selbst installierte.
Nach der Installation zählte der Trojaner im Hintergrund, wie oft der Computer neugestartet wurde, verschlüsselte den Computer bei 90. Neustart und hinterließ – wie bis heute bei aktuellen Ransomware Angriffen üblich – eine Lösegeldforderung. Die Betroffenen sollten damals 189 US-Dollar per Post an eine Adresse in Panama senden.
Cryptolocker: Ransomware gelangt zu globaler Bekanntheit
Zu weltweiter Berühmtheit gelang Ransomware allerdings erst 2013, als Cryptolocker das Prinzip für 250.000 Systeme auf der ganzen Welt über Nacht popularisierte. Die Cyberkriminellen profitieren damals von einer besseren Infrastruktur für den anonymen Geldempfang. Opfer hatten die Wahl, das Lösegeld via Kryptowährungen oder mit einer Einmal-Bezahlkarte. Die Verbreitung der Schadsoftware gelang den Angreifern über eine damals bereits bewährte Methode. Das Zeus-Botnet, aufgebaut vom russischen Hacker Evgeniy Mikhailovich Bogachev, nachdem bis heute vom amerikanischen FBI gefahndet wird.
Das Botnet selbst konnte im Rahmen einer internationalen Polizeiaktion 2014 vom Netz genommen werden. Schätzungen gehen davon aus, dass es den Betreibern gelang, mindestens 3 Millionen US-Dollar von den Opfern zu erpressen. Die Dunkelziffer dürfte allerdings deutlich höher liegen.
Die Nachfolger: TeslaCrypt und CryptoWall
Bereits 2014 machte ein Jahr nach dem CryptoLocker-Vorfall eine neue Ransomware Schlagzeilen. CryptoWall funktionierte im Prinzip wie Cryptolocker und erpresste mindestens 17 Millionen Euro von den hunderttausenden Betroffenen auf der ganzen Welt. CryptoWall markierte zudem einen weiteren Schritt in der Professionalisierung der Cyberkriminalität. Denn nachdem es Experten gelang, die erste Version der CryptoWall-Ransomware zu knacken, sorgten weitere Iterationen der Schadsoftware immer wieder für Kopfzerbrechen bei Spezialisten auf der ganzen Welt.
Während CryptoWall eine eigenständige Schadsoftware war, baute TeslaCrypt auf Cryptolocker auf. Die Software zirkulierte zwischen Ende 2014 bis in dem Mai 2016 und forderte von betroffenen Personen eine Summe zwischen 250 und 1000 US-Dollar, zahlbar an eine Bitcoin-Wallet. Die Geschichte von TeslaCrypt nahm ein überraschendes Ende. Als ein IT-Experte sich 2016 über die professionelle geführte Zahlungswebsite Kontakt zu den Menschen hinter der Schadsoftware aufnahm und nach dem für die Entschlüsselung nötigen Masterkey fragte – woraufhin die Entwickler zur allgemeinen Verwunderung ebendies taten und den Key auf der Website der Organisation veröffentlichten.
Locky (2016): Ransomware Angriffe werden aggressiver
Als TeslaCrypt seine Bedeutung verlor, stand eine neue Ransomware in den Startlöchern. Locky hatte sich vor allem wegen der besonders aggressiven Verbreitung über E-Mails, die angeblich eine wichtige Rechnung oder ein anderes Dokument enthielten, einen Namen gemacht. Die IT-Security-Spezialisten von Check Point stellen im Februar 2016 eine Frequenz von 50 Attacken am Tag fest. Neben Privatpersonen waren viele Unternehmen aus dem US-amerikanischen Gesundheitssektor betroffen.
WannaCry (2017): Ransomware wird zur Industrie
Die WannaCry Ransomware sorgt bis heute für infizierte PCs auf der ganzen Welt. Über 200.000 Rechner wurden Schätzungen zufolge infiziert mit einem Gesamtschaden von ca. 4 Milliarden Euro. Wer hinter der Ransomware steckt, ist bis heute nicht abschließend geklärt. Seit 2021 wird in den USA gegen drei Nordkoreaner ermittelt, die mit dem WannaCry-Virus in Verbindung gebracht werden.
REvil und andere Ransomwaregruppen (2019 – heute): Gezielte Angriffe auf Unternehmen und systemrelevante Infrastruktur
WannyCry war für die Cyberkriminalität eine weitere Zäsur. Das professionelle Vorgehen und die konsequente Weiterentwicklung ihrer Ransomware wurde in den nächsten zum Vorbild für viele kriminelle Organisationen, die in der Nachfolge zunehmend auch Unternehmen und deren Infrastruktur ins Visier nahmen.
- 2019 wurde der Geldwechsel-Anbieter Travelex Opfer einer Ransomware-Gruppe mit Namen Sodinokibi, die bis heute berüchtigt ist und mittlerweile unter dem Namen REvil firmiert. Den Angreifern gelang es, 5 Gigabyte an sensiblen Kundendaten zu erbeuten und verlangten rund 6 Millionen Euro Lösegeld von dem Unternehmen. Nach Verhandlungen einigte sich Travelex mit den Angreifern auf ein Lösegeld von 285 Bitcoin, die damals rund 2 Millionen Euro wert waren.
- 2020 wurde die Universität von Kalifornien Opfer einer Ransomware-Attacke. Besonders brisant: Die Mediziner der Universität arbeiteten an einer Heilung für den damals grassierenden Covid-Virus. Die Angreifer mit dem Namen Netwalker forderten 3 Millionen US-Dollar und einigten sich letztlich auf ein Lösegeld von knapp 1 Million Euro.
- Ende Juli 2020 gab das Unternehmen CWT bekannt, von einem Ransomware-Angriff betroffen zu sein und das Lösegeld gezahlt zu haben. Die Ransomware Ragnar Locker verschlüsselte rund 30.000 Firmen-PCs und machte sie damit vorübergehend unbrauchbar. Das Unternehmen verwaltet Geschäftsreisen für jedes 3. Der S&P 500-Unternehmen und war dementsprechend relevant für weite Teile der Wirtschaft und das Geschäftsmodell ist maßgeblich von der Reputation bei den Kunden abgängig.
Kaysea (2021): REvil Ransomware in der Cloud
In einer Wirtschaft, in der Cloud-Services und digitale Infrastrukturen systematisch in alle Wertschöpfungsketten eingewoben ist, sind die Betreiber dieser Angebote für Cyberkriminelle ein besonders interessantes Ziel. Das zeigt das Beispiel von Kayesa die Mitte 2021 Opfer einer Ransomware-Attacke wurde, von denen rund 1500 Unternehmen auf der ganzen Welt betroffen war. Die Verantwortung für den Angriff übernahm die Organisation REvil, die von den infizierten Unternehmen Lösegelder zwischen mehreren Tausend und einige Millionen US-Dollar.
Neben Effizienzgewinnen und Kosteneinsparungen werden viele Cloud-Services auch wegen der Erwartung größerer Sicherheit von Unternehmen eingesetzt. Die aktuellen Ransomware-Angriffe zeigen allerdings, dass sich die Abhängigkeit von einem Cloud-Service im Zweifel als Problem erweisen kann, gegen das man selbst weitgehend machtlos ist.
Effektiver Schutz vor Ransomware mit DeepInstinct
Die Digitalisierung gibt Ransomware-Gruppen viele Kanäle an die Hand, um ihre Ransomware effektiv an Millionen von Endpunkten zu verteilen. Dadurch ist prinzipiell jeder Endpunkt ein potenzielles Ziel. Moderne Ransomware ist klassischen Antivirus-Lösungen längst entwachsen. Entwickler von Schadsoftware nutzen fortgeschrittene Methoden, um die wahre Identität der Software zu vereiteln und eine Erkennung vor der Ausführung der Software erschweren.
Mit DeepInstinct gibt es eine intelligente Security-Lösung, die genau dort ansetzt:
- Unabhängig von intelligenten Nutzern: Jeder Fehler den ein Nutzer machen kann, wird irgendwann passieren. Deep Instinct erkennt Schadsoftware dynamisch auch nach der Ausführung und schützt jeden Nutzer so vor seinen eigenen Handlungen.
- Intelligent in der Threat-Analyse: Nach der Erkennung verdächtigen Verhaltens wird die betreffende Datei automatisch neutralisiert und mit der Hilfe intelligenter Algorithmen analysiert. Deep Instinct unterstützt so die IT-Spezialisten im Unternehmen bei der Erfassung von Ursachen und dem Erarbeiten wirksamer Gegenmaßnahmen.
- Effektiver Schutz: DeepInstinct ist die erste vollständige Lösung für Endpunkt-Sicherheit, die diese Tatsache wirklich ernstnimmt und mit Hilfe moderne Deep-Learning-Algorithmen 99,98 Prozent der Ransomware in wenigen Millisekunden nach der Ausführung erkennt – bevor die Schadsoftware wirklich Schaden anrichten kann.