Ransomware : Erpressungsgeschäfte mit Standard-Ablauf

Für etliche Großunternehmen war das Jahr 2017 eine ganz besondere Wegmarke in der Cybersicherheit. Die Malware „WannaCry“ war im Mai 2017 für einen besonders schwerwiegenden Cyberangriff verantwortlich. Nach Befall eines Computers verschlüsselte das Schadprogramm bestimmte Dateien und fordert Bitcoins im Wert von etwa 300 US-Dollar als Lösegeld. Nach Ablauf einer Frist drohte das Programm mit Datenverlust. Außerdem versuchte das Programm eigenständig weitere Windows-Rechner zu infizieren und installierte eine Backdoor. Die Software wütete weltweit und infizierte etliche global tätige Unternehmen, darunter der spanische Telekommunikationskonzern Telefónica, Teile des britischen National Health Service (NHS) mit mehreren Krankenhäusern, das US-Logistikunternehmen Fedex, den französische Automobilkonzern Renault und die Deutsche Bahn.

Eine kurze Geschichte der elektronischen Erpressung

Spätestens nach WannaCry steht ein Ransomware-Angriff als Szenario ganz oben bei den Cybersicherheitsstrategien, die wirtschaftlich motivierte Kriminelle für ihre Zwecke nutzen. Den Spitzenplatz als vorherrschende Bedrohung hat die Cybererpressung bis heute gehalten und in den vergangenen Jahren erschreckend stark ausgebaut.

Dabei ist die Idee der digitalen Erpressung durch Verschlüsselung schon fast so alt wie das Internet selbst. Die ersten Überlegungen zu einem Computerprogramm, das Dateien verschlüsselt und dann eine elektronische Lösegeldforderung stellt, stellten die Sicherheitsforscher Sebastiaan von Solms und David Naccache bereits 1992 an.

Doch nicht alle Komponenten für einen Ransomware-Angriff waren von Anfang an vorhanden. Erst nach der Mitte des vergangenen Jahrzehnts kam alles zusammen: Entsprechend starke Public-Key-Verschlüsselungssysteme waren verfügbar, Kryptowährungen stellten das perfekte Bezahlsystem für anonyme Lösegeldforderungen zur Verfügung und ein hochspezialisiertes Milieu aus cyberkriminellen Banden hatte sich entwickelt. Heutzutage ist ein Ransomware-Angriff ein beinahe standardisiertes Verfahren, das in den meisten Fällen nach einem sehr ähnlichen, ständig optimierten Schema abläuft.

Phase Eins: Der Fuß in der Tür des Systems durch E-Mail

Der Angriff erfolgt in mehreren Phasen. Im ersten Zugriff geht es den Angreifenden darum, überhaupt einen Fuß in die Tür zu bekommen. In den allermeisten Fällen stellt dazu heute E-Mail das Einfallstor dar — auch wenn Social-Media-Kanäle oder Messenger-Programme als alternative Angriffsvektoren auf dem Vormarsch sind. Dabei kann E-Mail entweder benutzt werden, um das Opfer per Phishing zur Preisgabe von Informationen zu überreden oder die Schadsoftware wird gleich als Anhang verschickt, etwa getarnt als Word-Datei. Dies ist beispielsweise der Fall bei der aktuellen Follina-Schwachstelle.

Doch auch Schwachstellen von über das Internet erreichbaren Servern können der erste Schritt der Ransomware-Attacke auf das System sein. Seit dem Ende des vergangenen Jahres stellt die Log4j-Sicherheitslücke eine Schwachstelle dar, nach der Ransomware-Banden bereits kurze Zeit nach der Entdeckung systematisch das Netz durchforsteten und an den Türen von Internet-Rechnern rüttelten, ob sich irgendwo vielleicht etwas öffnen ließ. Davor sorgte die Sicherheitslücke in Microsofts Exchange-Server für lange Arbeitsstunden bei Systemadministrator:innen. Das Einfallstor sorgte unter anderem dafür, dass mehrere Bundesbehörden kompromittiert wurden.

In der Praxis beobachten Sicherheitsexpert:innen: Fast immer ist es die E-Mail, die die Tür öffnet. Doch eine gewisse Unsicherheit darüber, was letztendlich der ausschlaggebende Weg ins Innere des Systems war, bleibt bei der forensischen Analyse nach einem Angriff bestehen, ordnet Manuel Atug, Head of Business Development bei Hisolutions, die Ursachenforschung gegenüber Tagesspiegel Background ein. Tatsächlich entstünden die meisten Vorfälle durch E-Mail, jedoch: „Zu 100 Prozent wird der initiale Angriffsvektor aber nie verifiziert, wenn alles verschlüsselt war und man diese Analyse dann eben nur bedingt machen kann“.

Phase Zwei: Der Zugang zum System wird gefestigt

Ob über E-Mail-Anhang, ergaunerte Zugangsdaten oder eine Systemschwachstelle, das Ziel der Angreifenden ist es in dieser Phase, Software auf dem System zu platzieren. Dabei muss es sich nicht direkt um die Schadsoftware handeln, möglich ist auch, dass ein Installationsprogramm abgeworfen wird — ein sogenannter „Dropper“, der dann den eigentlichen Schadcode nachlädt.

In der nächsten Phase geht es um die Festigung des Zugangs. Typischerweise wird jetzt ein eigener Dienst installiert, der sich fernsteuern lässt, ein „Command-and-Control-Server“, über die sich der weitere Angriff von außen wie ein Orchester dirigieren lässt. Bei dem im April entdeckten mysteriösen Schadsoftwarebaukasten Pipedream gab es so einen Command-and-Control-Dienst sogar als Komponente für den Angriff auf industrielle Kontrollsysteme (ICS).

Schlummern bis zum Schaden

In der Phase zur Festigung des Zugangs beginnen die Angreifenden jetzt, das System auszukundschaften und sich innerhalb des internen Netzwerkes weiter zu verbreiten. Wenn möglich, werden durch Angriffe auf Schwachstellen der Systemsoftware mehr Benutzer:innenrechte erworben. Die Software nistet sich etwa im Domänencontroller des Netzwerkes ein. Dort werden die Zugangsrechte zu dem Netzwerk zentral verwaltet. Das Auskundschaften des Backup-Systems steht für den Angriff in dieser Phase ebenfalls im Fokus — für den späteren Angriff mit schwerem Schaden ist es notwendig, dass keine unkompromittierte Möglichkeit mehr besteht, um Sicherheitskopien anzulegen.

Von der Phase des ersten Zugriffs bis zum Abschluss der Festigung des Zugangs können Wochen oder sogar Monate vergehen. Eine zu spät gefundene und behobene Sicherheitslücke kann bedeuten, dass sich bereits Schadsoftware auf dem System befindet, die vor sich hinschlummert, Informationen sammelt und zu einem viel späteren Zeitpunkt zuschlägt.

Phase Drei: Doppelte und dreifache Erpressung

Dann setzt die eigentliche Schadensfunktion ein: klassische Ransomware beginnt jetzt mit der Verschlüsselung der Daten und zerstört die Backups. Dann folgt die Nachricht an das Opfer: Die Daten seien jetzt verloren, aber gegen Zahlung eines Lösegeldes in Form von Kryptowährungen gibt es den Key zur Entschlüsselung. Sicherheitsforscher:innen des israelischen Cybersecurity-Anbieters Check Point Software Technologies haben auf Grundlage von geleakten Daten der Gruppe, die hinter der Ransomware „Conti“ steht, eine Marktanalyse der Ransomware-Ökonomie vorgenommen: Die geforderte Summe richtet sich sehr genau nach den finanziellen Möglichkeiten des Opfers und entspricht durchschnittlich einem Wert zwischen 0,7 und 5 Prozent des Jahresumsatzes der angegriffenen Firma. Keine einfache Abwägung für die betroffene Firma, denn die Kosten für den Ausfall des Systems und das Aufsetzen einer neuen Infrastruktur liegen oft um ein Vielfaches höher.

In der Praxis beobachten Sicherheitsexpert:innen seit längerer Zeit ständige Business-Innovationen im Ransomware-Geschäft, die von der klassischen Verschlüsselung abweicht. Fast immer werden die Daten auch vor der Unzugänglichmachung abgezogen und extfiltriert, um den Druck zu erhöhen: wenn nicht bezahlt wird, werden die Daten geleakt, so die Drohung. Diese doppelte Erpressung kann noch um mehrere Faktoren erhöht werden. Von einem Datenleak betroffene Geschäftspartner:innen und Kund:innen können parallel angeschrieben werden, um ihnen mitzuteilen, dass sie ihrerseits auf das ursprüngliche Opfer Druck ausüben sollten. Denn eine Veröffentlichung der erbeuteten Daten, so die Cyberkriminellen, würde ja auch den Interessen von Firmen in der Lieferkette widersprechen. Um den Druck nochmals zu erhöhen, kann zusätzlich zu der laufenden Erpressung noch eine DDoS-Attacke die IT-Abteilung auf Trab halten.

Ohnehin ist die Reaktion auf einen Ransomware-Angriff eine Herausforderung für die Betroffenen. In jedem Teil der Angriffsphase sind allerdings defensive Maßnahmen möglich. Gegen Schwachstellen hilft ein konsequentes Aufspielen von Sicherheitsupdates. Zu Phishing und dem Umgang mit E-Mail sind Schulungen für die gesamte Belegschaft unabdingbar. Gegen das Einnisten der Schadsoftware kann eine konsequente und fein abgestufte Rechtevergabe im Netzwerk ebenso helfen wie Werkzeuge zur Systembeobachtung auf mögliche Anormalien. Backups außerhalb des Netzwerks und räumlich getrennt von dem sonstigen System gelagert, können im Ernstfall zur Rettung beitragen. Aber der erste Schritt nach einem erkannten Angriff muss die konsequente Trennung aller Netzwerkverbindungen sein, um den Zugriff auf den Command-and-Control-Dienst zu unterbrechen. Dann beginnt eine mühsame Suche nach dem Ausmaß des Schadens, der die Produktion über längere Zeit lahmlegen kann. 

Globale Märkte und kriminelle Dienstleistungen

Das Geschäft mit der Ransomware ist in den vergangenen Jahren immer professioneller geworden. Ein kriminelles globales Business mit beängstigenden Wachstumsraten wie die Ransomware-Ökonomie setzt mittlerweile auch auf eine starke Arbeitsteilung. Selten macht eine Bande alles aus einer Hand. Kriminelle Dienstleister:innen bieten Ransomware-as-a-Service an, Ransomware als Fertiglösung. Das war etwa Teil des Geschäftsmodell der möglicherweise Mitte Januar 2022 von der russischen Polizei zerschlagene Gruppe „REvil“. Mit der Software ausgestattet könnte eine zweite Gruppe die infizierten Rechner im Wartezustand im Darknet als sogenanntes Botnetz zum Kauf anbieten. Die eigentliche Erpressung erfolgt dann durch eine weitere Gruppe.

Zunächst auf Osteuropa beschränkt, verbreitete sich das Geschäft mit der Cybererpressung weltweit, stellte das Sicherheitsunternehmen Symantec 2019 fest: „Von den ersten Anfängen in russischsprachigen Ländern hat sich Ransomware nach Westeuropa verbreitet, dann in die Vereinigten Staaten und Kanada. Es ist wahrscheinlich, dass einige der Banden, die für die ursprüngliche Ransomware Verantwortung tragen, Teil dieser Ausbreitung sind, aber auch herkömmliche etablierte kriminelle Banden. Offensichtlich ist der Betrug für die Kriminellen profitabel und wird wahrscheinlich noch zunehmen.“

Die Zahl der Angriffe im Jahr 2020 war doppelt so hoch wie 2019 und Check Point Research hat für das vergangene Jahr einen Anstieg der Ransomware-Angriffe auf Unternehmen weltweit um 24 Prozent im Vergleich zum Vorjahr beobachtet. Für 2021 erfasste Checkpoint Research einen Durchschnitt von 66 betroffenen Unternehmen pro Woche. Ein Ende des Trends ist bislang nicht abzusehen.