The Rise of Ransomware

von | Feb 4, 2021 | Artikel | 0 Kommentare

2020 war ein gutes Jahr für Schadsoftware. Schon seit 2016 nehmen Ransomware-Attacken immer mehr zu. 2020 war bislang das teuerste Jahr: einmal durch immer höheren Lösegeldforderungen, aber auch durch länger andauernde Ausfälle der IT oder Teile davon.

2020 - das Jahr des Aufstiegs von Ransomware: Attacken werden mehr und teurer

Was ist Ransomware?

Der Begriff Ransomware kommt aus dem Englischen und beschreibt eine Software, die dazu dient, ein Lösegeld zu erpressen. Als Ransomware wird dabei das Schadprogramm bezeichnet, welches die Computer sperrt oder verschlüsselt. Ransomware ist also eine Form von Malware neben Viren, Würmern etc., die in Computer eindringen und den Zweck haben, Störungen zu verursachen. Der Aufstieg von Ransomware ist vermutlich den Kryptowährungen zu verdanken, die es erst ermöglichen bzw. stark vereinfachen ein Lösegeld zu erpressen und anonym zu kassieren.

Ransomware verschlüsselt die Dateien auf einem Computer oder in einem Netzwerk. Oft verhält sich Ransomware wie ein Wurm – wie es beispielsweise bei WannaCry der Fall war – und verbreitet sich auf möglichst viele Rechner, sobald der Zugang zum Netzwerk erst einmal gelungen ist. Oft agiert die Software selbstständig, es gibt aber auch Fälle von gezielten Cyberangriffen, wo sich die gut organisierten Angreifer manuell durch das Netzwerk hangeln.

Erfolgreiche Ransomware-Angriffe nutzen in der Regel wichtige, zeitkritische Systeme aus. Opfer wie öffentliche Dienste oder medizinische Einrichtungen sind darauf angewiesen, wieder schnell auf ihre Datenbestände zuzugreifen. Somit sind die verantwortlichen Regierungen und Betreiber dieser Einrichtungen – sofern sie auf deren Forderungen eingegangen sind – für den Aufstieg mit verantwortlich, da sie die Angreifer mit Lösegeldzahlungen quasi noch „belohnen“.

Gefährdet sind letztendlich alle Systeme, die mit der Öffentlichkeit interagieren. Die IT von Unternehmen, Bildungseinrichtungen und öffentlichen Diensten sind damit am anfälligsten. Dabei variieren die Verbreitungsmethoden für Ransomware von der physischen Welt bis hin zur Kommunikation über soziale Websites und E-Mail. Fast immer kommt es auf die Menschen an – bei allen Methoden muss nur eine Person einen Fehler machen, damit sich Ransomware verbreiten kann.

Wenn eine Ransomware erst mal auf dem PC oder im Netz ist, verschlüsselt der Schadcode die Dateien und postet eine Notiz, in der verlangt wird, dass ein Lösegeld bezahlt wird. Wenn man das tut, werden die Hacker (zumindest theoretisch) den ersehnten Entschlüsselungscode schicken um die Dateien wieder herzustellen.

Ransomware ist Software und wie jedes Stück Software kann auch eine Ransomware Fehler enthalten. Dann könnte die Verschlüsselung schief gehen, zum Beispiel weil der Hacker ein Anfänger war, die Ransomware in einer ersten Version noch Kinderkrankheiten überwinden musste oder ähnliches. Hier liegen dann gute Chancen, dass ein Experte die Infektion rückgängig machen kann. Bei solchen „Glücksfällen“ handelt es sich aber eher um Ausnahmen.

Das „Lösegeld“ wird in der Regel in einer Kryptowährung wie Bitcoin gefordert. In vielen Fällen ist der Betrag des Lösegelds auch bescheiden – vor allem dann, wenn die Taktik darauf abzielt, dass die Zahlung der schnellste und billigste Weg zur Wiederaufnahme der Nutzung ist. Mit niedrigen Lösegeldern werden so von den Erpressern die Hürden zur Zahlung gesenkt. Profitabel wird ein Angriff dann über die Skaleneffekte durch die automatisierte Natur des Ransomware-Angriffs. In so einem Fall handelt es sich dann eher um Gelegenheitsangriffe, die normalerweise nicht auf bestimmte Personen oder Systeme abzielen. Dies bedeutet aber gleichzeitig, dass Infektionen in jedem Sektor oder jeder Organisation auftreten können.

Angriffe wurden während Corona mehr!

Corona bescherte den Cyberkriminellen in den letzten Jahren eine Sonderkonjunktur. Die digitalen Verbrechen sind weltweit um 25 Prozent angestiegen. Insbesondere im März und April 2020 ging die Zahl der Angriffe steil nach oben, berichtet Eugene Kaspersky im Spiegelinterview. Im Mai wurde es dann ruhiger. Kaspersky vermutete, dass es daran lag, dass die Täter so viele Opfer gehackt haben, dass sie erst mal eine Weile brauchten, um mit den Daten Kasse zu machen.

Von vielen Angriffen wurde jüngst in der Presse berichtet. Ob von Angriffen auf Krankenhäusern, wo Operationen ausfallen und Notfallpatienten auf andere Krankenhäuser umgeleitet werden mussten, Angriffe auf die IT von Kreuzfahrtschiffen, die zum Ausfall ganzer Reisen führte, Angriffe auf Produktionsanlagen und hier insbesondere die Steuerung der Anlagen oder Behörden in den USA, in denen Regierungsangestellte wieder auf Schreibmaschinen umsteigen mussten, um ihre täglichen Aufgaben zu erledigen.

Nicht immer geht es um Lösegeld, oft geht es auch um die Beschaffung von Informationen. Angriffe auf die Impfstoffhersteller sind in Coronazeiten ein aktuelles Beispiel. Die Staaten wollen wissen, wo sie im Wettrennen stehen und vielleicht hilfreiche Informationen erlangen, die sie für ihre eigenen Arbeiten verwenden. In den Medien sind gerne die chinesischen und russischen Länder die Buhmänner, doch auch die westlichen Länder mischen mit und schenken sich nichts. Privatleute bleiben ebenfalls nicht verschont, wie ein Fall aus Finnland zeigt. Hier stahl ein Hacker im Herbst 2020 medizinische Aufzeichnungen einer Psychotherapiepraxis und drohte den Patienten, Informationen zu ihrer geistigen Gesundheit zu veröffentlichen, wenn sie nicht Lösegeld bezahlen.

Ransomware-Angriffe werden teurer!

Unternehmen, die Opfer eines Ransomware-Angriffs werden, sind gezwungen, heute mehr Lösegeld zu bezahlen als noch vor ein paar Monaten. Die Securityexperten von Coveware haben im Ransomware Marketplace Report festgestellt, dass sich die durchschnittliche Summe der bezahlten Lösegelder vom dritten Quartal 2019 von 41.198 $ auf 84.116 $ im vierten Quartal 2019 verdoppelt hat. Diese Entwicklung setzte sich 2020 fort. Im dritten Quartal 2020 lag die durchschnittliche Zahlung bereits bei 234.000 $. Dabei handelt es sich jeweils um Durchschnittswerte, die Bandbreite der Zahlungen werden mit 1500 $ bis 780.000 $ angegeben. Die Höhe des Lösegeldes richtet sich dabei auch nach der Größe des Unternehmens, denn die Erpresser gehen davon aus, dass sich größere Firmen auch höhere Lösegelder leisten können.

Angestiegen ist auch die Downtime bei Ransomware-Attacken. Standen die Systeme in dritten Quartal 2019 noch rund 12 Tage still, waren es im vierten Quartal bereits 16 Tage. Das hat vor allem damit zu tun, dass insbesondere größere Organisationen ins Visier genommen wurden. Da kann es dann auch mal mehrere Wochen dauern, bis deren IT-Infrastrukturen wieder „sauber“ sind. Auch diese Ausfallzeiten kosten Geld. Gartner beziffert die Ausfallkosten mit 5600 $ pro Minute in größeren Strukturen (Durchschnittswert). Es kann also teuer werden und das Teuerste ist nicht unbedingt das Lösegeld!

Ein paar Zahlen…

  • In 98 Prozent der Fälle, in denen sich Unternehmen zur Zahlung entschließen, bekommen diese auch ein Entschlüsselungstool geliefert.
  • In 97 Prozent der Fälle, in denen sich Unternehmen zur Zahlung entschließen, gelingt die Entschlüsselung. Das ist davon abhängig, wie „sorgfältig“ die Erpresser bei der Verschlüsselung vorgehen und welche Tools sie dazu verwenden.
  • Im vierten Quartal 2019 wurde Sodinokibi in 29,4 Prozent der Angriffe verwendet. Ryuk wurde mit 21.5 Prozent am zweithäufigsten eingesetzt. (Quelle)
  • Die meisten Angriffe erfolgen:
    • mit 57,4 Prozent über das RDP-Protokoll. IP-Adressen und entsprechende Credentials lassen sich für rund 30 $ im Netz kaufen.
    • Email-Phishing folgt mit 26,3 Prozent
    • Software-Sicherheitslecks folgen mit 12,9 Prozent an dritter Stelle. (Quelle)
  • Firmen im Visier der Angreifer haben durchschnittlich 610 Mitarbeiter. (Quelle)
  • „Beliebte“ Branchen für die Angreifer sind der Public Sector, Gesundheit, Prof. Services und Software Services. (Quelle)

Sicherlich lassen sich die Zahlen relativieren. Es handelt sich vor allem um Daten aus den USA, die Statistiken können auf unvollständigen Daten basieren und die tatsächlichen Kosten für die jeweilige Situation in Unternehmen in Deutschland können erheblich davon abweichen – nach unten, aber auch nach oben. Gleichwohl dürfte klar sein, dass Ransomware-Vorfälle extrem teuer werden können.

Was neben den Kosten bleibt, ist die Ungewissheit ob die Erpresser nicht doch interne Firmendokumente oder Kundendaten mitgenommen hat, was sie damit angestellt haben oder ob sie nicht vielleicht irgendwo noch ein gut verstecktes Schadprogramm abgelegt haben, welches ggf. ein Jahr lang oder länger ruht und dann einen neuen Überfall ermöglicht.

Warum gibt es gerade jetzt verstärkt Angriffe durch Ransomware?

Die spannende Frage ist, warum Ransomware gerade jetzt verstärkt auftritt und warum nicht etwa schon vor Dekaden, als Computer noch verwundbarer waren. In den Antworten auf die Fragen, könnten Lösungsmöglichkeiten für die Abwehr liegen bzw. die Aufmerksamkeit auf die wichtigen Aspekte lenken.

Homeoffice als Einstiegspunkt

Der erste Corona-bedingte Lockdown im März 2020 brachte in Deutschland eine große Welle an Angriffen auf IT-Netze mit sich. Das verstärkte Aufkommen von Homeoffice hat vermutlich einen großen Beitrag dazu geleistet, wie die Experten von Sophos im Sophos 2021 Threat Report u.a. feststellen. Cyberkriminelle nutzen die Ängste von Unternehmern und Usern gezielt aus und hatten es oft einfach. Quasi von heute auf morgen mussten Mitarbeiter ins Homeoffice wechseln und dort an die IT-Infrastruktur der Unternehmen angebunden werden. Kein leichter Job für die IT-Admins: zum einen war die Menge der neuen mobilen Arbeitsplätze zu bewältigen und gleichzeitig ein ausreichender Schutz der Mitarbeiter im Homeoffice zu gewährleisten.

Homeoffice bedeutet viele neue Angriffsmöglichkeiten für Bedrohungen wie Ransomware. Eine zunehmend dezentralisierte Belegschaft und neue Arbeitsmethoden erfordern neue Technologien, den Einsatz nicht-traditioneller Plattformen und weitere Entwicklungen. Diese bieten allesamt gefährliche Einfallstore für Cyberkriminalität.

„Stellen Sie den Geldkoffer neben die Parkbank. Keine Polizei!“

Bitcoin, bzw. Kryptowährungen allgemein, haben „traditionelle Payment-Verfahren“, wie in der Überschrift angedeutet, abgelöst. Kryptowährungen ermöglichen globale Zahlungen, mit denen sich Lösegelder über alle Grenzen hinweg, leicht, schnell und vor allem anonym verschieben lassen. Anonyme Zahlungsmöglichkeiten über Kryptowährungen gehören heute zum Geschäftsmodell und erleichtern Angreifern die Möglichkeit als Onlinekrimineller Geld zu verdienen. Bitcoin ist dabei die Währung der Wahl: 99 Prozent der Ransomware-Lösegelder werden per Bitcoin geleistet. Andere Zahlungswege sind mühsamer.

Malware ist Business

Letztendlich betreiben auch Cyberkriminelle ein Business und sind an einer sinnvollen Nutzung ihrer begrenzten Ressourcen interessiert. Dies tun sie einmal durch gezielte Angriffe auf Unternehmensstrukturen, denen ihre Daten allein schon aus wirtschaftlicher Perspektive wichtig sind. Da kann sich auch ein mühsamerer Angriff wirtschaftlich lohnen. Einzelne Branchen, zum Beispiel Public Sector und Gesundheitsbereich, stehen gezielt im Visier der Angreifer, was sich durch Zahlen belegen lässt.

Nimmt man alle Rechner ins Visier, die man über das Internet erreichen kann, dann kann eine entsprechende Software diese Arbeit automatisieren. Allerdings landet man dabei auch oft auf möglicherweise schlechter geschützten Privatrechnern. Diese Privatrechner waren bisher eher wertlos, denn für die private Fotosammlung eines PC-Besitzers interessieren sich naturgemäß nur wenige. Das Innovative am Businessmodell von Ransomware ist die Erkenntnis, dass auch die private Fotosammlung einen Wert hat. Die Fotos sind für den zufällig fündig gewordenen Kriminellen, der sonst Kreditkartendaten sammelt oder es auf Unternehmenssysteme abgesehen hat, völlig wertlos. Für den Inhaber der Fotos jedoch haben sie einen großen Wert, der sich nun direkt und vor allem automatisiert monetarisieren lässt. So lohnen sich auch Zufallshacks von privaten Rechnern.

Aus Unternehmensperspektive spielt dieser Aspekt durchaus auch eine Rolle. Denn der gehackte Privatrechner kann gut als oft einfaches  Einfallstor in das Firmennetz dienen.

Mit diesen Erkenntnissen wurde Ransomware ein interessantes Geschäftsmodell so dass Ressourcen von anderen Angriffsarten abgezogen und in diese Art von Cyberangriff gesteckt werden.

Abhängigkeit der Unternehmen von der IT

Der vierte Punkt ist die Abhängigkeit der Unternehmen von der IT. In Unternehmen geschieht heute nur noch wenig ohne die IT-Systeme und über deren Vernetzung und Anbindung ans Internet. Der Ausfall eines Systems führt dazu, dass ganze Unternehmensteile nicht mehr arbeitsfähig sind. Das macht Unternehmen zahlungswillig, denn der Ausfall ist in der Regel viel kostspieliger als die Zahlung des Lösegeldes, zudem droht ein Reputationsschaden.

Zeit etwas zu tun!

Die Ausführungen zeigen, dass das Risiko durch Ransomware angegriffen zu werden, aktuell stark angestiegen ist. Damit sind erhebliche Risiken für die Opfer verbunden, ob ein Verlust wirtschaftlicher Art, der Verlust von Daten (auch Kundendaten), der Reputationsschaden oder die Ungewissheit, ob die Schadsoftware tatsächlich aus dem Unternehmensnetzwerk entfernt werden konnte oder ob sie noch in einer Ecke lauert. Mit den in den aufgeführten Studien genannten Zahlen lassen sich mögliche unmittelbare Kosten eines Angriffs in etwa abschätzen und damit das finanzielle Risiko bemessen. Demgegenüber stehen die Kosten von Gegen- und Abwehrmaßnahmen.

Ransomware hat durch Corona bzw. durch das Homeoffice gerade eine Sonderkonjunktur. Und die Angriffe werden gezielter geführt und dazu lohnenswerte Ziele ausgewählt. Damit bleibt Ransomware für Unternehmen auf jeden Fall ein sehr reales Risiko.

Wir bieten zum Thema Ransomeware ein kostenfrei downloadbares „Cheat-Sheet“ an. Das Cheat-Sheet gibt eine erste Orientierung für Maßnahmen VOR einem erfolgreichen Angriff als auch für den Fall DASS ein Angriff erfolgreich war.