Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.11.2016 - 

CryptoWall, CryptoLocker & Co

Ransomware: Bestseller mit Potenzial zum Evergreen

Chester Wisniewski
Hacker's finest: Der Siegeszug der Ransomware ist fast schon unheimlich. Ähnlich wie bei Keyloggern, klassischen Trojanern und Spam werden wir uns aber auch an diese Bedrohung gewöhnen und unser Nutzer-Verhalten anpassen müssen. Von allein werden Cyberkriminelle die Ransomware kaum aufgeben – der Return-on-Investment ist einfach zu gut und eine Strafverfolgung findet nicht konsequent statt.
Ransomware: Die "Cash-Cow" der Cybergauner und Hacker.
Ransomware: Die "Cash-Cow" der Cybergauner und Hacker.
Foto: nito - www.shutterstock.com

Es ist für jeden Geschäftsmann erfreulich, wenn eines seiner Produkte sich als „Cash-Cow“ erweist und getätigte Investitionen schnell und problemlos in die eigene Tasche zurückfließen. Ransomware ist eine solche „Cash-Cow“ und ihre Besitzer – Cybergauner und Hacker – erweisen sich als gerissene Geschäftsleute.

Der Siegeszug einer fiesen Idee

Die beliebteste Ransomware-Variante ist CryptoWall. Sie wird in 50 bis 75 Prozent aller Angriffsfälle verwendet. Die erste Welle – seinerzeit Version 2.0 – traf Computer-Nutzer gegen Ende des Jahres 2014. Mittlerweile ist Version 4.0 im Umlauf und es ist seither niemandem gelungen, die Bedrohung ernsthaft einzugrenzen.

Die Pionierarbeit leistete CryptoLocker, die erste Ransomware, die wirklich verlässlich verschlüsselte und schlimme Schäden verursachte. Zwischen dem 17. September und dem 31. Oktober 2014 räumte CryptoLocker in nur sechs Wochen den monetären Gegenwert von 33 Millionen Dollar ab. Die kriminelle Szene war begeistert.

Im Juni 2014 wurde die CryptoLocker-Gruppe in einer groß angelegten FBI-Aktion enttarnt und festgesetzt. Doch wie jedes Erfolgsprodukt fand auch dieses seine Nachahmer, und so entstanden andere Hacker-Gruppen, die die Idee kopierten. Dazu gehörten etwa CryptoWall, CryptoFence, TeslaCrypt, Locky und Maktub.

Doch CryptoLocker hatte es bereits weltweit in die Presse und sogar in die 20-Uhr-Nachrichten geschafft. Der Name stand für gefährliche, ernstzunehmende Ransomware, und so kam es, dass zwei der neuen Gruppen den Namen kurzerhand annahmen.

Die gängigsten Ransomware-Gruppen

Die Gruppen unterscheiden sich in Namen und Arbeitsweise, nicht aber in dem Schaden, den sie verursachen. Locky etwa verbreitet sich, wenn ein E-Mail-Attachment geöffnet wird. Meist wird in diesem Anhang verlangt, ein Makro zu aktivieren. Und damit ist die Infektion erfolgt. Verschlüsselt die Ransomware dann das gesamte Laufwerk, wird das System lahmgelegt. Der Computer ist nicht mehr funktionsfähig, daher allerdings auch für die Täter-Opfer-Kommunikation nicht mehr nutzbar. Für die Bedürfnisse der Kriminellen ist dies nicht optimal.

Die CryptoWall-Hacker umgingen diese Schwäche. Diese Ransomware verschlüsselt nur Dateien mit bestimmten Endungen, etwa Word-Dokumente, Bilder und Filme, insgesamt zirka 40 bis 50 Dateitypen. Auch Locky arbeitet so. CryptoWall 4 verschlüsselt alles außer den Dateien, die der Computer zum Arbeiten benötigt.

Maktub, eine neuere Ransomware-Variante, zielt besonders auf Krankenhäuser ab. Hier funktioniert die Einschüchterung noch besser als bei anderen Unternehmensformen, denn es ist womöglich lebensentscheidend, dass Ärzte sofortigen Zugriff auf Patientenakten haben. Aufgrund dieser Tatsache und der zudem höchst sensiblen Informationen ist hier für Kriminelle das meiste Geld zu machen. Entsprechend hoch sind die Summen, die die Erpresser fordern.

Zum Cyberkriminellen ist es nur ein Log-in

Eine einzelne Person kann eine Ransomware innerhalb etwa einer Woche schreiben. Wahrscheinlicher ist es jedoch, dass sich drei oder vier Personen zusammentun. Die bisherigen Malware-Kits entstehen dadurch, dass die Malware, die Beratung und zusätzliche Tools für einen einmaligen, festen Preis zwischen 1.000 und 10.000 US-Dollar gekauft werden. Im Lieferumfang enthalten ist ein Anpassungstool, so dass kleinere Konfigurationen, Aussehen und Branding verändert werden können.

Cyberkriminalität ist mittlerweile waschechter Dienstleistungszweig. Für jemanden, der auf diesem Wege Schaden anrichten möchte, sind Dinge wie Programmierkenntnisse heutzutage nicht mehr vonnöten. Es gilt nur noch, das Kit zu erwerben und jemanden zu finden, der es unter die Leute bzw. auf die Rechner seiner Opfer bringt. Alles, was man tun muss, ist, sich in ein einschlägiges Untergrund-Forum einzuloggen, ein passendes Set von einem Kriminellen zu erwerben und einen weiteren damit zu beauftragen, die Software auf möglichst vielen PCs zu installieren. Die Bezahlung erfolgt dann pro infiziertem Rechner.

Spammer haben eine Schlüsselrolle

Üblicherweise beauftragen die Kriminellen Spammer mit der Verbreitung ihrer Schadware. Nutzer-Computer werden mit einer Spam-Software infiziert, und die werden vom Verursacher dann an andere Kriminelle für deren Machenschaften vermietet. Es ist ein sehr ausgereiftes und gut funktionierendes Business, dem nur mit vereinten Kräften beizukommen ist.

Die Achillesferse des Verbrechens: die Bitcoins

Bei Erpressungen entscheidet in vielen Fällen die Geldübergabe über den Erfolg der Aktion. Das ist bei Ransomware nicht anders. Die Bezahlung erfolgt in aller Regel über Bitcoins. Nun ist diese Währung aber nicht annähernd so anonym wie man denkt. Falsch eingesetzt öffnet sie den Strafverfolgern Tür und Tor.

Um Bitcoins zu verwenden und dabei anonym zu bleiben, muss für jedes Opfer ein sogenanntes Bitcoin-Wallet, eine Geldbörse, erstellt werden. Dies erledigt die Malware bereits selbstständig. In der Regel laufen einige tausend Zahlungen in ein größeres Wallet, hier beginnt dann der Geldwäsche-Prozess.

Leider kann man das Geld nicht einfach aus einem der Bitcoin-Geldautomaten ziehen, dann müssten die Strafverfolgungsbehörden ja nur einen Polizisten abstellen, der das Treiben beobachtet. Vielmehr werden die Gelder dem Bitcoin-Tumbling zugeführt – eine Art Waschservice. Hier werden verschiedene Bitcoins miteinander vermischt, um nicht mehr einzeln zurückverfolgbar zu sein.

Alternativ können auch Gaming-Accounts eingesetzt werden. Die Bitcoins landen in einem Casino in Antigua, man spielt eine Runde Black Jack und führt das Geld zurück in Bitcoins oder eine andere Währungseinheit.

Natürlich sind alle diese Transaktionen über Log-Funktionen nachvollziehbar. Mit Hilfe von Big Data Analytics können die Geldbewegungen bis in die Nähe der Kriminellen zurückverfolgt werden. Dem Siegeszug der Ransomware tut dies indes keinen Abbruch. Als gute Geschäftsleute kennen Kriminelle die Risiken – und finden Wege, sie zu umgehen.

Lesetipp: Diese neuen Gefahren sollte Cyber-Security bekämpfen

Strafverfolgung hat keine Priorität. Im Gegenteil...

Cyberkriminelle kommen aus allen Ländern, aus Städten und Dörfern. Viele der wichtigsten Akteure sind bekannt und werden sogar verdächtigt, von ausländischen Regierungen geschützt zu werden. Bestätigen können wir dies freilich nicht. Auffallend ist jedoch, dass viele dieser bekannten Köpfe sich nicht einmal bemühen, ihre Identitäten zu verschleiern. Sie sprechen ganz selbstverständlich mit uns und fühlen sich scheinbar auch vor ihren lokalen Strafverfolgungsbehörden sicher.

Bei großen Malware-Angriffswellen gründen deshalb Sicherheitsunternehmen und Strafverfolgungsbehörden Arbeitsgruppen und tauschen ihre Informationen aus. Eine intensivere Zusammenarbeit zwischen den Nationen würde helfen, die Zahl der Malware-Autoren auszudünnen.

Die Wahrheit aber ist, dass viele Regierungen einfach andere Sorgen haben - Internet-Kriminalität zu bekämpfen hat keine Priorität. (PC-Welt)

Newsletter 'Produkte & Technologien' bestellen!
 

CAD-Robert

Ein sehr guter Artikel von Herrn Wisniewski. Gut deshalb, weil viele das "Problem der Probleme" schlicht und einfach nicht mal im Ansatz kennen: Wir haben einen Punkt erreicht, wo die Empfindlichkeit der Netzwerke bald systemkritische Ausmaße erreicht.

Unsere Netzadministratoren haben inzwischen die Wahl zu verzweifeln oder krankhaft Paranoid zu werden.

Hilfe "vom Staat" können wir nicht erwarten: unser eigener Staat steht als Auftraggeber und Aufsicht von "Horch & Guck" (DDR-Slang für STASI). Weil es "dem Staat" nutzt, läßt er diese gewähren. Und so machen es eben auch umgekehrt andere Staaten gegen uns.

Verwegen ist dann nur, unsere Hacker als die "Guten" zu bezeichnen und die fremden Hacker als die "Bösen". Frei nach Henry Kissinger: "Klar ist er ein Schurke, aber es ist UNSER Schurke!" In diesem Umfeld ist das organisierte Verbrechen langsam aber sicher groß geworden.

Ronald Wiltscheck

Lieber Ollelinse,
vielen Dank für Ihre konstruktive Kritik.
Vielleicht möchten Sie selbst bei uns als Autor tätig werden.
Wie das geht? Ganz einfach, schauen Sie bitte einfach bei
http://www.channelpartner.de/p...
vorbei.
Herzliche Grüße
Ihr Ronald Wiltscheck

Ollelinse

Der Beitrag klärt zwar auf - und das ist gut, liest sich jedoch wie eine Ermunterung oder Einladung in das Ransomware-Geschäft einzusteigen.
Manchmal ist weniger mehr ....
Die Bilderstrecke zur Abwehr von Ransomware ist dagegen (und das ist ebenfalls erschreckend) kurzgefasst. Kein Wort darüber, dass Virenschutzprogramme und/oder Endpoint-Protection die auf der Basis von Signaturen und Blacklist arbeiten für sich allein gestellt machtlos sind. Grund: Schadsoftware, die online nachgeladen wird kann sich im Sekundentakt verändern wodurch eine Erkennung unmöglich wird. Dabei gibt es inzwischen auch Sicherheitssoftware, die nur verifizierten Code auf dem Rechner zur Ausführung bringt.

comments powered by Disqus