Grundlagen: Ransomware : Ransomware – Bedrohung im Cyber-Raum

Von Maximilian Winkler, Mobile Incident Response Team (MIRT), BSI, Alexander Härtel, Referat Nationales IT-Lagezentrum, Analysen und Prognosen, BSI, und Korbinian Barthuber, Referat Vorfallsbearbeitung und Verbindungsstelle Nationales Cyber-Abwehrzentrum, BSI

Bei einem Ransomware-Angriff handelt es sich um eine Attacke auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung. Die Angreifer:innen nutzen Fehler wie falsche Bedienung, Fehlkonfigurationen, veraltete Softwarestände oder mangelhafte Datensicherungen aus. Die Zahlung des Lösegelds wird meist in elektronischen Währungen (üblicherweise Bitcoin oder Monero) gefordert.

Die Effektivität von Ransomware beruht auf ihrer unmittelbaren Wirkung: Im Unterschied zu klassischer Schadsoftware wie Banking-Trojanern, Botnetzen oder Phishing tritt der Schaden unmittelbar ein und hat konkrete Konsequenzen für die Betroffenen. Hier ersetzt kein Kreditinstitut den Schaden (Banking-Trojaner) und der PC funktioniert nicht nur gegebenenfalls etwas langsamer (Botnetz), sondern oft gar nicht mehr. Bei einem Ransomware-Angriff können zum Beispiel alle gespeicherten Dokumente verloren gehen, wichtige Unternehmensdaten nicht mehr zugreifbar oder kritische Dienstleistungen nicht mehr verfügbar sein.

Gegen die Auswirkungen solcher Angriffe helfen am besten präventive Maßnahmen, speziell sogenannte Offline-Backups, die getrennt von den IT-Systemen und besonders geschützt aufbewahrt werden.

Lösegeld oder Wiederherstellung?

Weil der Leidensdruck für die Betroffenen nach einem Ransomware-Angriff enorm hoch ist, zahlen viele Opfer das geforderte Lösegeld in der Hoffnung, schnell wieder arbeitsfähig zu sein. Abgesehen davon, dass es keine Garantie für eine Freigabe der Daten gibt, kann es je nach Qualität des Entschlüsselungstools der Erpresser aber auch sein, dass die Wiederherstellung eines Systems über vorhandene Backups schneller gehen würde.

Neben der Verschlüsselung von Daten drohen Cyber-Kriminelle neuerdings häufig auch damit, die entwendeten Daten zu veröffentlichen, um die Opfer zusätzlich unter Druck zu setzen. Potenzielle Opfer sind dabei Institutionen aller möglichen Größen, vom Kleinstunternehmen über Behörden und KRITIS-Unternehmen bis hin zu großen internationalen Konzernen.

Nicht jeder Ransomware-Angriff ist vorhersehbar, denn neue Ransomware kann auch neue, nicht ohne Weiteres abwehrbare Angriffswege nutzen. Für den Regelfall gilt aber, dass erfolgreiche Angriffe auf Unternehmen, Behörden und IT-Dienstleister oft durchaus verhindert oder die Eintrittswahrscheinlichkeiten reduziert werden können. Auch die Auswirkungen lassen sich mit Präventivmaßnahmen besser in den Griff bekommen.

Schutz in allen Angriffsphasen

Ein Ransomware-Angriff besteht aus mehreren Schritten – für jede Phase eines solchen Angriffs sind Gegenmaßnahmen möglich, um das Eindringen in Netzwerke oder das Verschlüsseln von Daten zu verhindern und möglichen Schaden zu begrenzen. Einige dieser Maßnahmen stellen wir im Folgenden vor.

Die Verschlüsselung von Daten über Ransomware und Erpressungen für ihre Freischaltung gehören zu den größten Bedrohungen für die Funktionsfähigkeit von IT-Infrastrukturen. Dies zeigt sich insbesondere dann, wenn durch die Verschlüsselung von IT-Systemen das wirtschaftliche Überleben von Unternehmen gefährdet oder der öffentlichen Verwaltung die Ausführung hoheitlicher Aufgaben und kritischer Dienstleistungen nicht mehr möglich ist.

Bei der Verschlüsselung handelt es sich tatsächlich aber nur um den letzten Schritt, den Angreifer ausführen, wenn sie zuvor bereits viel Zeit in einem kompromittierten Netzwerk verbracht haben. Für jede Phase eines Ransomware-Angriffs gibt es Maßnahmen, die erfolgreich Angriffe verhindern oder zumindest ihre Auswirkungen begrenzen können.

Angriffsphase 1 – Einbruch

Die drei häufigsten Einfallsvektoren von Ransomware-Gruppen sind Phishing, das Ausnutzen von Schwachstellen sowie der Zugriff über schlecht abgesicherte externe Zugänge. Für jedes dieser Einfallstore existieren wirksame Maßnahmen.

Gegenmaßnahme Phishing: E-Mails und Sensibilisierung

Das BSI empfiehlt E-Mails, die als „Nur-Text“ oder „reiner Text“ kodiert sind. Im Gegensatz zur Darstellung als „HTML-Mail“ können sie keine Makros oder versteckten Befehle enthalten. Zudem lassen sich hier Webadressen nicht mehr verschleiern: In einer HTML-kodierten Mail könnte zum Beispiel ein Link mit der Bezeichnung „www.bsi.de“ in Wahrheit auf eine Adresse mit Schadsoftware verweisen. Ist eine Nur-Text-Kodierung nicht möglich oder nicht erwünscht, sollte zumindest die Ausführung aktiver Inhalte in HTML-Mails unterdrückt werden, damit schädliche Skripte nicht mehr ausgeführt werden können.

Mitarbeiter:innen sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden. Das gilt besonders für Mitarbeitende aus Unternehmensbereichen, die ein hohes Aufkommen an externer Mailkommunikation (etwa in der Personalabteilung oder im Marketing) zu bewältigen haben.

Gegenmaßnahme Schwachstellen: Patches und Updates

Um Infektionen zu vermeiden, die auf der Ausnutzung bereits behobener Sicherheitslücken beruhen, sollten Updates nach der Bereitstellung durch den Software-Anbieter unverzüglich in die IT-Systeme eingespielt werden – idealerweise über eine zentrale Softwareverteilung. Updates, die Schwachstellen von hoher Kritikalität schließen und/oder sich auf besonders exponierte Software wie Firewalls oder Webserver beziehen, sollten priorisiert behandelt werden.

Gegenmaßnahme Remote-Zugang: Mehrfaktorauthentifizierung

Häufig versuchen Cyber-Kriminelle, Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. Daher sollte auch der Zugriff von außen abgesichert werden – normalerweise über Virtual Private Networks (VPNs) in Kombination mit einer Mehrfaktor-Authentifizierung.

Angriffsphase 2 – Rechteerweiterung

Gegenmaßnahme: Administrator-Accounts absichern

Grundsätzlich sollten mit privilegierten Accounts nur Administratoren-Tätigkeiten durchgeführt werden – das Lesen von E-Mails oder das Surfen im Internet gehören nicht dazu. Administrator:inn:en sollten sich für solche „normalen Tätigkeiten“ auch „normale“ Nutzerkonten anlegen. Das lässt sich übrigens über technische Richtlinien auch erzwingen. Privilegierte Konten sollten immer über eine Mehrfaktor-Authentifizierung geschützt sein. Zudem sollten für die Administration von Clients keine Domänen-Administrationskonten verwendet werden.

Angriffsphase 3 – Ausbreitung

Gegenmaßnahme: Netzwerk segmentieren

Eine saubere Netz-Segmentierung hilft, Schäden zu begrenzen, da das Einschleusen einer Ransomware nur die Systeme in unmittelbarer Nachbarschaft erreichen kann. Auch dafür ist die sichere Verwendung von Administrator-Accounts notwendig (siehe vorhergehende Maßnahme), weil ansonsten ein zentraler Bestandteil des Sicherheitskonzepts untergraben wird.

Angriffsphase 4 und 5 – Verschlüsselung mit/ohne vorherigen Datenabfluss

Gegenmaßnahme: Backups und Datensicherung

Backups sind der beste Schutz vor den Auswirkungen bei einer Verschlüsselung durch Ransomware, denn sie gewährleisten die unmittelbare Verfügbarkeit von Daten auch für diesen Fall. Dafür müssen die Daten aber in einem Offline-Backup gesichert werden, das zudem nach einem Backup von den übrigen Systemen des Netzwerks getrennt wird – erst dann sind sie vor Angriffen und Verschlüsselung geschützt.

Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Wiederherstellung der Daten. Dies sollte regelmäßig getestet werden, um Komplikationen und Herausforderungen bei der Wiederherstellung bereits vor einem Ernstfall zu erkennen.

Maßnahme: Notfallplan

Für das Worst-Case-Szenario eines erfolgreichen Angriffs, bei dem alle Systeme im Netzwerk verschlüsselt wurden, sollte eine Notfallplanung für Notbetrieb und Wiederaufbau existieren. Die Prozesse zur Reaktion und Wiederherstellung geschäftskritischer Systeme sollten in regelmäßigen Abständen geübt werden. Allem voran müssen vorab die geschäftskritischen Systeme identifiziert werden und alternative Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks vorbereitet sein. Wichtige Telefonnummern von Kontaktpersonen sollten offline in Papierform vorgehalten werden.

Arbeitsteilung, Outsourcing und Profit

Ein genauer Blick auf die Praxis von Cyber-Kriminellen, die mit finanziellen Motiven Unternehmen mit Ransomware erpressen, ergibt überraschende Parallelen zur realen Wirtschaft: In der IT, aber auch in traditionellen Wirtschaftszweigen werden verschiedene Dienstleistungen ausgelagert. In der IT ist das zum Beispiel eine Software as a Service (SaaS), aber auch der Betrieb von Infrastruktur oder die Verarbeitung von Daten kann ausgelagert werden.

Solche ausgelagerten Dienstleistungen haben auch Cyber-Kriminelle immer häufiger im Angebot. So spezialisieren sich manche, etwa die Drahtzieher hinter Emotet oder QakBot als Access-Broker gezielt auf das Eindringen in IT-Netze. Andere „Dienstleister“ verkaufen die dort gewonnenen Erkenntnisse und Zugangsdaten weiter. Und wieder andere wie die Gruppen hinter LockBit 3.0 oder Alphv bieten eine Art von „Ransomware as a Service“ (RaaS) an, mit der dann sogenannte Affiliates aktiv werden, ohne selbst dafür Schadsoftware entwickeln zu müssen.

Solche und weitere Dienstleistungen decken mittlerweile nahezu jeden Aspekt eines Cyber-Angriffs ab und folgen den wirtschaftlichen Trends zum Outsourcing von Aufgaben – anders als in der realen Wirtschaft allerdings natürlich ohne gesetzliche Grundlagen und Aufsicht. Stattdessen vermitteln etablierte Untergrundforen wie XSS und Exploit Kontakte zu anderen Cyber-Kriminellen – sie bieten ihnen Platz, damit sie für ihre Dienstleistungen werben können, oder ermöglichen ihnen das Hinterlegen von Garantien in Form von Kryptowährungen. Im Konfliktfall vermitteln Moderatoren und treffen verbindliche Entscheidungen für die Community und sind damit einem Schiedsgericht nicht unähnlich. Die hinterlegten Garantien werden dann mitunter für Entschädigungen herangezogen. Auf dieser Basis können Cyber-Kriminelle selbst bei gegenseitigem Misstrauen zusammenarbeiten.

Alles für den maximalen Profit

Das Ziel der Gewinnmaximierung fördert auch in der Welt des Cyber-Crime Innovation, Effizienz und Expansion. Ein eindrückliches Beispiel dafür ist, dass Cyber-Kriminelle Daten, auf die sie widerrechtlich Zugriff erlangen, nicht nur verschlüsseln, sondern zusätzlich noch auf dedizierten Leak-Seiten veröffentlichen und damit eine sogenannte doppelte Erpressung (Double Extortion) durchführen. Erstmals intensiv beobachtet wurde dieses Verhalten bei den Angreifer:inne:n hinter der Ransomware Maze im November 2019 – mit Ende des Jahres 2021 ist Double Extortion zur Norm bei Ransomware-Angriffen geworden.

Ein anderes Beispiel ist die Modularisierung von Schadsoftware: Damit können Angreifer:innen effizient neue Schwachstellen in Anwendungen oder Systemen ausnutzen, verbesserte Detektionsmöglichkeiten in der Abwehr solcher Angriffe umgehen oder auf individuelle Bedürfnisse ihrer kriminellen Nutzer:innen (Affiliates) reagieren. Emotet und QakBot etwa wurden zunächst als Banking-Trojaner eingesetzt und später um Module zur Aufklärung infizierter Systeme, zum Diebstahl von E-Mail-Inhalten oder zum automatischen Verschicken der Malware an andere Opfer ergänzt. Durch Modularisierung können Teile einer Software ergänzt oder überarbeitet werden, ohne die gesamte Code-Basis ändern zu müssen.

Ransomware as a Service als Möglichmacher

Eine Malware, wie eine Ransomware, zu entwickeln, die mit modernen Abwehrmaßnahmen und Analysewerkzeugen mithält, erfordert einiges an Fachwissen in der Softwareentwicklung. Dieses Fachwissen bringen nicht alle Cyber-Kriminellen mit. An dieser Stelle setzt Ransomware as a Service an: Mit Ransomware als Dienstleistung sinken die Anforderungen an einen Angreifer deutlich, weil durch diesen Service mittlerweile auch technisch unbedarfte Personen Ransomware-Angriffe durchführen können. Diese Expansion auf viele Angreifende bietet zudem den Vorteil, dass es für Betroffene schwerer wird, die Vorgehensweisen einzelner Affiliates zu unterscheiden oder zu detektieren.

Der eigene Ruf als kritische Ressource

Cyber-kriminelle Gruppen konkurrieren durchaus um ihre Affiliates, daher spielt in der Szene auch die Reputation der eigenen Marke eine wichtige Rolle. Diese Art des Wetteiferns führt zu einer zunehmenden Verschärfung der Bedrohungslage. Ein entscheidendes Argument für einen Affiliate ist beispielsweise, wie viel Druck auf einen Betroffenen ausgeübt werden kann. Daher bieten einige RaaS-Anbieter wie Alphv (auch als BlackCat bekannt) Distributed-Denial-of-Service-(DDoS)-Angriffe als zusätzliche Dienstleistung an, die während der Verhandlung eines Lösegelds eingesetzt werden kann. So führt der Konkurrenzkampf zwischen cyberkriminellen Gruppen zu einer Maximierung des Drucks auf Betroffene.

Andere Unterscheidungsmerkmale zwischen Ransomware-as-a-Service-Angeboten sind auch der Anteil am Lösegeld, der beim Affiliate verbleibt oder die fortlaufende Verbesserung der Ransomware selbst. Eine andere Ransomware as a Service, die auf solche „Premium-Services“ setzt, ist beispielsweise LockBit 3.0: Diese stellt unter anderem die Malware StealBit zur Verfügung, die auf den Diebstahl von Daten für die Erpressung spezialisiert ist. Und sogar der „War for Talents“, den sich die legale Ökonomie um die jeweils besten Köpfe liefert, findet auch im cyberkriminellen Raum statt. Deshalb spielt dort auch der gute Ruf in den eigenen Kreisen eine wichtige Rolle. Einige Foren nehmen beispielsweise nur bereits bekannte oder erfolgreiche Cyber-Kriminelle auf – und bleiben so weitestgehend unter sich.

Und sogar der „War for Talents“, den sich die legale Ökonomie um die jeweils besten Köpfe liefert, findet auch im cyberkriminellen Raum statt. Deshalb spielt dort auch der gute Ruf in den eigenen Kreisen eine wichtige Rolle. Einige Foren nehmen beispielsweise nur bereits bekannte oder erfolgreiche Cyber-Kriminelle auf – und bleiben so weitestgehend unter sich.

Eine Frage der Ehre

Vertrauen, so seltsam das klingt, ist auch unter Cyber-Kriminellen eine Währung. Spricht sich zum Beispiel nach einem Ransomware-Angriff herum, dass ein Entschlüsselungs-Tool nach einer Lösegeldzahlung nicht oder nicht „ordnungsgemäß“ funktioniert, führt dies in der Folge wahrscheinlich eher zu ausbleibenden Zahlungseingängen. Als Druckmittel bleibt dann nur noch die Drohung mit der Veröffentlichung der Daten, aber auch das geht nur selten als vertrauensbildende Maßnahme durch. So ist auch für Cyber-Kriminelle wichtig, bei ihren Opfern wenigstens ein Mindestmaß an gutem Benehmen zeigen zu können – hier vor allem in Form gehaltener Versprechen, Daten wieder freizuschalten und nicht zu veröffentlichen.

Das BSI weist darauf hin, dass eine Lösegeldzahlung keine Garantie für die Freigabe gesperrter Daten ist. Zudem tragen Lösegeldzahlungen dazu bei, dass sich kriminelle Ökosysteme und Organisationen professionalisieren und wachsen. Daher bleibt es bei der BSI-Empfehlung, auf Lösegeldzahlungen unbedingt zu verzichten. Wichtiger ist es, wirksame Vorkehrungen gegen Ransomware-Angriffe zu treffen.

Too big to fail?

Unternehmen und Institutionen, die zu groß oder zu wichtig sind, um zu scheitern, werden als „too big to fail“ bezeichnet. Dazu gehörten zum Beispiel in der weltweiten Finanzkrise 2008 zahlreiche Banken, die nur mit staatlichen Hilfen vor der Insolvenz gerettet werden konnten. „Too big to fail“ – gibt es das auch bei Cyber-Kriminellen? Kurz gesagt: Nein, hier ist Größe kein Rettungsgrund, sondern eher eine Ursache für das Ende.

Ist eine Gruppe von Cyber-Kriminellen erfolgreich, steigt ihre öffentliche Bekanntheit und damit auch die Aufmerksamkeit, die sie bei Sicherheitsfachleuten und Strafverfolgungsbehörden genießt. Daher war es bisher nur eine Frage der Zeit, bis solche Gruppen unschädlich gemacht werden konnten oder sich gezwungen sahen unterzutauchen:

• Emotet wurde im Januar 2021 erstmals abgeschaltet.
• RaaS DarkSide löste sich nach dem Cyber-Angriff gegen Colonial Pipeline auf.
• RaaS REvil verschwand nach dem Cyber-Angriff über Kaseya VSA.
• Das Conti-Syndikat zersplitterte im Mai 2022.

Während in der Wirtschaft Unternehmen durchaus den Status „too big to fail“ erreichen, werden cyberkriminelle Gruppen also eher „too big to stay afloat“, also zu groß, um den Kopf über Wasser zu halten. Allerdings werden auch in Zukunft andere ihre Plätze einnehmen – getrieben von der Gier nach schnellen Profiten.

Weiterführende Informationen zu Ransomware liefert das Informationsportal des BSI unter www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html