Ransomware weiter auf dem Vormarsch

Verschlüsselungstrojaner sind eine gute Einnahmequelle: Selbst wenn nur ein geringer Prozentsatz der Opfer bereit ist, zwischen 50 Euro und 100 Euro  für die Entschlüsselung der Daten zu bezahlen, lohnt sich der Aufwand. Bei hunderttausenden oder Millionen von verseuchten Systemen zahlt sich dies schnell aus. Langsam aber sicher schwappt die Welle der Ransomware-Angriffe vom „breiten Massenmarkt“ auf speziell abgestimmte Angriffe gegen bestimmte Unternehmen um. Son hat sich herauskristallisiert, dass einige Firmen bereit sind, hohe Summen zu bezahlen, um eine Infektion der Systeme rückgängig (und die verschlüsselten Daten wieder lesbar) zu machen. Allerdings sind derartige „Lösungswege“ zum Umgang mit Ransomware sehr gefährlich. Zum einen erlaubt es den kriminellen Gruppen, die hinter den Angriffen stehen, damit ihr Geschäftsmodell weiterzubetreiben. Zum anderen könnten die Angreifer ja jederzeit wieder „vorbeischauen“. Frei nach dem Motto: „Wer einmal zahlt, zahlt auch ein zweites Mal“.

Die Antiviren-Spezialisten von Kaspersky haben in diesem Zusammenhang acht unterschiedliche Gruppen identifizieren können, die im Ransomware-Markt mitmischen. Teilweise setzen diese auch relativ unauffällige Dienste und Anwendungen ein, um die Daten zu verschlüsseln. Dabei wären etwa „DiskCryptor“ oder „Winrar“ zu nennen. Dies macht es den Sicherheitsexperten in den Unternehmen noch schwerer, derartige Angriffe zu entdecken. Schließlich werden derartige Anwendungen auch von den Mitarbeitern eingesetzt, etwa um vor dem Versand einzelnen Dokumente zu packen, und im gleichen Zuge auch mit einem entsprechenden Passwort zu verschlüsseln. Kaspersky empfiehlt dabei folgende Punkte zu beachten, um sich vor Ransomware zu schützen:

• Daten mit regelmäßigen Backups sichern, so dass sich Dateien im Notfall wiederherstellen lassen.
• Eine Sicherheitslösung einsetzen, die mit verhaltensbasierter Erkennung arbeitet. Malware, inklusive Ransomware, kann dann rechtzeitig durch ihr Verhalten als solche erkannt werden. So lassen sich auch noch unbekannte Samples identifizieren.
• Die Website NoMoreRansom.org hilft Opfern von Ransomware, Daten auch ohne Lösegeldzahlung zurück zu bekommen.
• Jede installierte Software auf Endpoints, aber auch auf Netzknoten und Servern, sollte geprüft werden und immer auf dem neuesten Stand sein.
• Security-Assessments (zum Beispiel Sicherheits-Audits, Penetrationstests oder Gap-Analysen) können Schwachstellen identifizieren und schließen. Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sollten deren Sicherheitsrichtlinien ebenfalls überprüft werden.
• Das Fachwissen externer Sicherheitsanbieter nutzen! Denn diese unterstützten Organisationen bei der Prognose zukünftiger Angriffe. Speziell die Mitarbeiter im operativen Bereich und alle Ingenieure im Unternehmen sollte sensibilisiert werden und über aktuelle Ransomware-Gefahren Bescheid wissen.
• Und nicht zuletzt muss eine wirksame Sicherheitsstrategie Angriffe abwehren können, bevor Malware kritische Firmenressourcen überhaupt erreichen kann.

„Wir müssen darauf gefasst sein, dass gezielte Ransomware-Attacken auf Unternehmen weiter zunehmen und zu nennenswerten Schäden führen werden“, prognostiziert Anton Ivanov (Senior Security Researcher bei Kaspersky Lab). „Dieser Trend ist alarmierend, weil die Akteure ihren Kreuzzug gegen neue und finanzkräftige Opfer gerade erst begonnen haben. Es gibt da draußen noch sehr viel mehr potenzielle Opfer, für die Angriffe mit Ransomware noch verheerendere Folgen haben könnten.“

Weitere Hilfe bei Ransomware-Infektionen finden Interessierte auf der entsprechenden Webseite von Kaspersky.

Florian Huttenloher