Ransomware - Prof. Dr. Norbert Pohlmann

Was ist eine Ransomware?

Eine Ransomware ist eine böswillige Schadfunktion in Malware, die wichtige Daten auf dem kompromittierten IT-System (Notebooks, PCs, Smartphone, …) verschlüsselt.

Ziel des Angreifers ist es, die Nutzung der Daten oder des ganzen IT-Systems durch die Verschlüsselung zu unterbinden. Dadurch kann der Angreifer vom Besitzer des IT-Systems oder der IT-Systeme für den Schlüssel, mit dem die Daten entschlüsselt werden können oder/und das IT-System wieder freigegeben wird, Lösegeld verlangen.

Das Lösegeld wird in der Regel über digitale Währungen wie Bitcoin oder andere Kryptowährungen bezahlt. Eine Möglichkeit zur Festlegung der Lösegeldforderung ist, dass die Angreifer dafür öffentlich verfügbare Informationen wie etwa der Unternehmensgröße, Umsatz und Gewinn nutzen. Bei Privatleuten wird in der Regel ein fester Betrag, oftmals 500 Euro, festgelegt.

Ransomware wird auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner genannt.

Bewertung von Ransomware

Die Angriffsvektoren, mit denen Ransomware-Angriffe umgesetzt werden, sind momentan sehr aktuell und werden zunehmend von Angreifergruppen erfolgreich umgesetzt. Die Angreifer können mit Ransomware-Angriffen sehr viel Geld mit Erpressung erzielt und die Angegriffenen haben einen sehr hoher Schaden auf unterschiedlichen Ebenen.

Beispiele von Vorfällen von Ransomware

Benzinpipeline in den USA
Der Betreiber Colonial Pipeline mit der größten Benzinpipeline in den USA zahlte Hackern ein Lösegeld von 4,4 Millionen Dollar. Durch die Ransomware war Kraftstoffversorgung in den USA vorübergehend eingeschränkt.

Uniklinikum Düsseldorf
Den Angreifern gelang es, 30 Server des Uniklinikums zu verschlüsseln, dadurch konnte das Klinikum die zentrale Notversorgung nicht mehr sicherstellen, sodass Patienten auf umliegende Krankenhäuser verteilt werden mussten. Eine Notfallpatientin, die in ein anderes, weiter entferntes Krankenhaus gebracht wurde, verstarb kurze Zeit später.

Funke Mediengruppe
Angreifer verschlüsseln IT-Systeme des Verlags im gesamten Bundesgebiet. Die Zeitungen „Westdeutsche Allgemeine Zeitung“, „Hamburger Abendblatt“ und „Berliner Morgenpost“ konnten nur mit einer Notausgabe erscheinen.

Kammergericht Berlin
Mehr als 500 Computer und über hundert Server mussten wegen einer Ransomware-Attacke vom Netz genommen werden und das Kammergericht war über mehrere Monate nur per Telefon, Fax oder Brief erreichbar.

Planung von Gegenmaßnahmen zur Verhinderung von Ransomware

Dazu gehören unter anderem bereits getestete Reaktionskonzepte (Notfallplanungen), in denen sowohl die richtige Vorgehensweise für den Angriffsfall definiert ist als auch, bestimmten Personen die entsprechenden Rechte zuzuweisen, um die notwendigen Maßnahmen zu ergreifen. Besonders relevant ist dabei, alle definierten Reaktionen gemeinsam im Detail zu trainieren, damit im Ernstfall schnell und erfolgreich agiert werden kann. Siehe auch: Cyber-Sicherheitsstrategien
Daneben lässt sich durch ein vollständiges, und auf Wiederherstellung geprüftes, Backup der IT-Systeme in vielen Fällen ein Schaden verhindern oder zumindest minimieren.
Es werden zwei unterschiedliche Erpressungsmethoden bei Ransomware unterschieden, die einzeln oder zusammen (Double Extation) Anwendung finden werden.

Lösegelderpressung
Cyber-Erpresser verschlüsseln IT-Systeme und fordern Lösegeld für die Schlüssel, damit durch eine Entschlüsselung, dass IT-System wieder nutzbar ist.

Schweigegelderpressung
Dies ist eine erweiterte Angriffsstrategie dahingehend, dass vor der Verschlüsselung von Daten diese zunächst unrechtmäßig entwendet wurden. Unternehmen, die über funktionierende Backups verfügten und sich von daher theoretisch nicht auf Lösegeldverhandlungen einlassen müssten, wird dann mit der Veröffentlichung der entwendeten Daten gedroht, um so das Schweigegeld zu erpressen.

Dies bedeutet, im Fall eines Ransomware-Angriffs muss nunmehr grundsätzlich auch davon ausgegangen werden, dass die Daten dauerhaft kompromittiert sind und zwar auch dann, wenn ein Lösegeld oder/und Schweigegeld gezahlt worden ist.
Aus diesem Grund ist der beste Schutz vor Ransomware, alle IT-Systeme mit einer modernen und sicheren Anti-Malware Lösungen auszustatten und alle Mitarbeiter/Nutzer dahingehend zu schulen, dass sie aufgrund ihres Sicherheitsbewusstseins nicht auf gängige Angriffsvektoren reinfallen – also weder auf Anhänge von unbekannten/unaufgefordert zugesandten E-Mails noch auf Links von manipulierten Webseiten klicken. Aber auch das systematische Überwachen des Datentransfers hilft, ungewöhnliche Aktivitäten zu erkennen und so das Stehlen von Daten zu verhindern. Dies ist ein essenzieller Schritt, um das Risiko zu minimieren, Opfer einer Schweigegelderpressung zu werden.

Angriffsstruktur einer Ransomware

Die Erpressungssoftware-Schadfunktion ist im Prinzip ein 1:N-Angiff, bei dem der Botmaster die Daten in kompromittierten IT-Systemen (Bots) verschlüsselt.

Der eine Angreifer ist zum Beispiel ein Botmaster, der ein Botnetz unter zentraler Kontrolle hat und dieses für Angriffe nutzt. Die Opfer sind die kompromittierten IT-Systeme (Bots), die mit Malware identifiziert sind und angegriffen werden sollen.

Advanced Ramsomware-Angriffe

Bei Advanced Ramsomware-Angriffe wird in der Regel ein 1:1-Angriff umgesetzt. Bei einem 1:1-Angriff gibt es einen Angreifer und ein Opfer. Der eine Angreifer ist zum Beispiel professioneller Hacker, der einen gezielten Angriff durchführen möchte, um auf einem bestimmten Notebook Ransomware zu installieren.

Weitere Informationen zum Begriff “Ransomware”

Artikel:
“Exploiting Visual Appearance to Cluster and Detect Rogue Software“

“Risiko von unsicheren Internet-Technologien“

„Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

„IT-Sicherheit im Lauf der Zeit“

„Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

„Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“

„Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen“

„Risikobasierte und adaptive Authentifizierung“

„Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie“

„Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

„Vertrauen – ein elementarer Aspekt der digitalen Zukunft“

„Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

„Ideales Internet-Frühwarnsystem“

„Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

• Sicher im Internet: Tipps und Tricks für das digitale Leben
• Der IT-Sicherheitsleitfaden
• Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Summary

Article Name

Ransomware

Description

Ransomware ist eine böswillige Schadfunktion in Malware, die wichtige Daten auf einem kompromittierten IT-System wie Notebooks verschlüsselt. Ziel ist, die Nutzung des IT-Systems durch die Verschlüsselung zu unterbinden, um für die Entschlüsselung Lösegeld verlagern zu können.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo