Wer dieses Bild sieht hat verloren: Momentan ist die neuere Cryptolocker-Version auf normalem Weg nicht zu entschlüssen (Bild: blog.comodo.com)Ransomware ist eine besonders fiese Spezies der Malware-Akteure. Es ist eine Erpressersoftware, bei der die Daten des befallenen Systems verschlüsselt werden. Nach einem Neustart kommt lediglich der hinterhältige Hinweis, dass man ein paar Hundert Euro in Bitcoins zu bezahlen habe, dann erhalte man einen Schüssel für einen Entschlüsselungsvorgang. Bislang waren vor allem Privatpersonen Opfer derartiger Attacken.

Das ändert sich anscheinend der nach Erkenntnissen von Kroll Ontrack, Experte für Datenrettung und E-Discovery, gerade. Mittlerweile geraten auch immer mehr Unternehmen ins Visier der Hacker und Cyber-Kriminellen. Nach den Erfahrungen von Kroll Ontrack laufen die Attacken dabei in Wellen ab. Diese ebben immer dann ab, wenn die Anti-Viren-Software-Hersteller ihre Programme aktualisieren. Doch sind die Cyber-Kriminellen ihren Gegnern meist mindestens einen Schritt voraus: Oft herrscht nur wenige Tage Ruhe, dann steht die neueste Ransomware bereit.

Ransomware ist mittlerweile, vor allem im Privatbereich, allgegenwärtig. Dabei infizieren sich die Anwender meist entweder über manipulierte Software oder Links bzw. Datenanhänge in Spam-Mails. Gerade der Weg über die E-Mail stellt dabei ein äußerst komfortables Einfalltor für Hacker dar. So können ohne großen Aufwand Schutzmaßnahmen wie Firewalls und ähnliches ganz einfach umgangen werden. Dies ist daher auch die häufigste Art und Weise, wie Unternehmen Opfer solcher Angriffe werden.

Anzeige

Methoden der Ransomware-Hacker werden fieser und perfider

Die Methoden, nach denen die Hacker dabei vorgehen, haben sich in den letzten Jahren stark verändert. Wurden früher die Nutzerdaten einfach in einem Zip-File verschlüsselt, setzen die Verbrecher mittlerweile auf Technologien wie beispielsweise »CryptoLocker« oder »Curve-Tor-Bitcoin«-Locker (CTB). Gerade letzteres ist besonders perfide, da dabei die Daten der Betroffenen innerhalb des Tor-Netzwerks – im Volksmund auch Darknet genannt – versteckt werden.

Cryptolocker verschlüsselte vor einigen Monaten die Rechner einer US-Polizeistation; dort zahlte man zähneknirschend, da die Entschlüsselung nicht zeitnah gelang. In den Top-10 mobiler Android-Schadsoftware macht die Hälfte bereits Ransomware aus, ermittelte kürzlich der Antiviren-Spezialist Kaspersky Lab.

Die Angriffe werden in den meisten Fällen von Ländern ausgeführt, die keine dedizierte Gesetzgebung gegen Cyber-Attacken haben. Die Kriminellen sitzen also eher in Afrika als beispielsweise in Europa oder Nordamerika.

Unternehmen geraten vermutlich deshalb vermehrt ins Visier der Hacker, da hier deutlich mehr Ausbeute zu holen ist als bei Privatpersonen. Die Ransomware greift dabei gezielt virtuelle Laufwerke an, löscht diese komplett und repliziert die Dateien auf die Server der Cyber-Kriminellen. Die geschädigten Unternehmen erfahren meist erst dann von der virtuellen Geiselnahme, wenn es zu spät ist. Dann finden sie statt ihrer virtuellen Laufwerke ein Schreiben der Hacker, in dem diese die Sicherheitsmaßnahmen kritisieren und Lösegeld für die Daten fordern. Diese Forderung geht meist mit der Drohung einher, die vertraulichen Unternehmensdaten auf dem offenen Markt zu verkaufen, sollte dem nicht nachgekommen werden.

Dies war auch der Fall bei einem kürzlich von Kroll Ontrack bearbeiteten Auftrag. Hier wurde eine Bezahlung in Bitcoins gefordert, ansonsten drohten die Kriminellen damit, die Daten innerhalb von zwei Wochen an den Meistbietenden zu versteigern. Glücklicherweise waren die Experten von Kroll Ontrack in der Lage, die Daten des Kunden vollständig wiederzubeschaffen, so dass das Unternehmen den Forderungen der Verbrecher nicht nachkommen musste.

»Auch wenn sich die Methoden der Cyber-Kriminellen für ihre Ransomware-Angriffe stetig weiterentwickeln, haben unsere Spezialisten doch ihre eigenen Methoden, Daten wiederzubeschaffen und wiederherzustellen«, erläutert Peter Böhret, Managing Director bei der deutschen Kroll-Ontrack-Niederlassung. »So sparen sich Unternehmen das Lösegeld und kommen trotzdem wieder an ihre Daten. Dabei sehen wir klar den Trend weg von breiten Attacken gegen Einzelpersonen und Kleinunternehmen und stattdessen hin zu gezielten Angriffen auf größere Firmen.«

Drei einfach Tipps für Unternehmen zum Schutz vor Ransomware-Attacken

Daher empfiehlt Kroll Ontrack Unternehmen, sich mit den folgenden Maßnahmen gegen Ransomware zu schützen:
► Immer die aktuellste Anti-Viren-Software installiert haben – und diese auch zu aktualisieren.
► Regelmäßig Backups machen, und diese auf Geräten außerhalb des Firmennetzwerks absichern.
► Backups der virtuellen Laufwerke auf Geräten an einem anderen Ort lagern.

»Die älteren Ransomware-Programme sind bereits seit längerem vollständig analysiert und es existieren auch Gegenmittel«, sagt Böhret. »Doch entwickelt sich die Malware immer weiter und die Zahl der Angriffe steigt. Der Schlüssel für Unternehmen liegt also darin, die Daten stets regelmäßig zu sichern und vertrauenswürdige Partner zu haben, wenn eine Datenrettung nötig sein sollte.«