Alles bleibt anders : Ransomware 2020: ungewohnte Wege, neue Ziele, gezielte Kampagnen
Erpressung durch Malware bleibt offenbar lukrativ, wie steigende Opferzahlen und Lösegeldforderungen nahelegen. Dabei beschränkt sich Ransomware längst nicht mehr auf eine direkte Infektion von Windows-PCs.
Festplatte verschlüsselt, na und? Wozu gibt es Backups?!“ – leider ist es längst nicht mehr so einfach. Ganz abgesehen von praktischen Problemen realer Backupszenarien zielen Angreifer schon seit Jahren auch bewusst auf Serversysteme und Sicherungsdateien. Damit die Drohung, dem Opfer seine Daten vorzuenthalten, nicht ins Leere läuft, verschlüsselt moderne Ransomware Backups bevorzugt gleich mit, löscht oder korrumpiert sie – und davor sind auch Lösungen in der Cloud nicht prinzipiell gefeit.
Darüber hinaus scheinen etliche Angreifer ihre Strategie so zu verlagern, dass Backups schlicht nicht helfen: Seit Ende 2019 häufen sich Berichte über Erpressungen, die zusätzlichen Druck auf Ransomware-Opfer aufbauen, indem sie drohen, sowohl die erfolgreiche Infektion/Infiltrierung als auch erbeutete sensible Daten öffentlich zu machen. Ganz neu ist diese Masche zwar nicht: Schon 2016 soll eine solche Drohung gegenüber der San Francisco Municipal Railway ausgesprochen, allerdings nicht wahr gemacht worden sein [1].
Die Cyberkriminellen hinter der Ransomware Maze tun das seit November 2019 jedoch regelmäßig – im Dezember war dazu eine eigene „Public-Shaming“-Website mit Daten einiger Opfer online gegangen [2]. Bis Februar folgten bereits die Hintermänner von Sodinokibi, Nemty und BitPyLock diesem Modell. Beispiele weiterer prominenter Opfer verschiedener Ransomware-Gruppen waren im April der US-Technologieanbieter Visser Precision und dessen Kunden Boeing, Lockheed Martin und SpaceX (siehe etwa https://glm.io/147839) sowie die Stadtwerke Ludwigsburg (https://glm.io/148484) – im August traf es LG und Xerox (https://glm.io/150044).
Auch wenn es noch keine Erkenntnisse über die kriminelle Profitabilität des zusätzlichen sozialen Drucks gibt, wenn Erpresser drohen, Kunden- oder Mitarbeiterdaten zu veröffentlichen, wenn kein „Schutzgeld“ bezahlt wird, sieht etwa Sophos hierin doch „eine neue Ära für Ransomware“. Generell warnt das Unternehmen, dass man heute nicht mehr davon ausgehen dürfe, dass ein falscher Klick in E-Mail oder Web eine Erpressersoftware startet, die sich dann umgehend einnistet und im Hintergrund beginnt, Daten zu verschlüsseln oder Systeme zu blockieren.
Kriminelle Aktivität
Vielmehr sei der eigentliche Ransomware-Einsatz das Finale, nicht der Beginn einer oft viel umfassenderen Cyberattacke. Mit der Offenbarung flächiger Verschlüsselung und Erpresserbotschaften verlassen Angreifer ihre Deckung. Tatsächlich hätten sie sich zu diesem Zeitpunkt in aller Regel bereits eine ganze Weile im Netzwerk ihrer Opfer aufgehalten: „Sie agieren verborgen unter dem Radar, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. … Für die Opfer einer Attacke bedeutet das: Die Wiederherstellung des Systems beginnt nicht mit dem Wiedereinspielen eines Backups und der Suche danach, was die Angreifer noch angerichtet haben. Der Wiederherstellungsprozess startet oft mit der signifikanten Herausforderung, sämtliche betroffenen Maschinen neu aufzubauen.“ Und mit der schwierigen Aufgabe der Identifikation: Von wo ging die Attacke aus und sind die Kriminellen vielleicht sogar noch immer im System? [3]
Insofern können viele allgemeinere „Indicators of Compromise“ (IoC) auch auf einen bevorstehenden Ransomware-Angriff hindeuten. Neben kleineren Testattacken und allgemeinen Systemeingriffen sehen die Sophos-Threat-Response-Teams hier vor allem den Einsatz von Netzwerk-Scannern (z. B. AngryIP und Advanced Port Scanner), Tools zur Deaktivierung von Security-Software (z. B. Process Hacker, IOBit Uninstaller, GMER oder PC Hunter) sowie das Auftauchen von MimiKatz oder dem Microsoft Process Explorer (aus der Sysinternals-Reihe), ohne dass ein eigener Admin diese (ja nicht per se illegitimen) Werkzeuge offiziell und bewusst einsetzen würde.
Mehr als Windows und Mails
Auch wenn die Masse der Attacken dem verbreitetsten Betriebssystem gilt, begnügt sich Ransomware doch beileibe nicht mit dem klassischen Angriffsweg per E-Mail mit Schadsoftware für Windows-Systeme. Mobile Systeme sind ebenfalls seit Langem ein Ziel: Schon 2016 sei die Android-Ransomware Lockscreen erstmals in die „Malware Top 10“ von AV-TEST (www.av-test.org) aufgenommen worden – im Folgejahr hat sich die Zahl der Android-Ransomware-Erkennungen verdreifacht, berichtet AVG [4]. In jüngster Zeit berichtete etwa ESET im Juni 2020 von CryCryptor, einer Ransomware für das mobile Betriebssystem, die sich als kanadische Covid19-App tarnt.
Und im Juli erschien die mittlerweile vierte Ransomware auf der Bildfläche, die ausschließlich auf MacOS-Anwender zielt – EvilQuest sei demnach auf Torrent-Portalen und Onlineforen im „Bundle“ mit einer beliebten Mac-Software aufgetaucht und bringe außer der Verschlüsselungsroutine auch einen Keylogger sowie eine Reverse-Shell mit.
Linux-Systeme sind ebenfalls nicht von der Bedrohung ausgenommen. Mit Linux.Encoder.1 trat der erste Verschlüsselungs-Trojaner für das freie Betriebssystem schon 2015 auf den Plan – wenn auch mit überschaubaren Opferzahlen. Seit Juli 2019 hat die Ransomware Lilu/Lilocked hingegen Medienberichten zufolge tausende Systeme befallen [5] und im Juni dieses Jahres war von der Java-basierten Malware Tycoon zu lesen, für die ebenfalls eine Linux-Variante existiert [6].
Eine ungewöhnliche Art der Verbreitung fand man bei einer neuen Ransomware im Juli: Try2Cry verbreitet sich demnach selbstständig über USB-Sticks und setzt dazu eine wurmartige Komponente ein. Ist ein Computer einmal infiziert, kopiere sich der Schädling unbemerkt auf angeschlossene USB-Sticks, um sich weiterzuverbreiten. Try2Cry gehört zur Ransomware-Familie Stupid, die als Open-Source-Lösegeld-Software auf Github verfügbar ist.
Schäden und Statistik
Eine Entspannung ist kaum zu erwarten. Im Gegenteil scheinen sich die Fallzahlen und erpressten Löseund Schutzgelder in den vergangenen Jahren deutlich erhöht zu haben. Nach Erkenntnissen von Atlas VPN [7] haben sich die von Kriminellen geforderten Summen von 2018 auf 2019 mehr als verdoppelt (+140 %). Gleichzeitig sei die Zahl der während der vorausgegangenen zwölf Monate von Ransomware-Betroffenen den CyberEdgeReports zufolge von 55 % im Bericht von 2018 und 56 % in 2019 auf nunmehr 62 % gestiegen [8].
Laut Arcserve wurden 2019 die weltweiten Schäden durch erfolgreiche Ransomware-Angriffe auf 11,5 Milliarden Dollar geschätzt, für 2021 erwartet das Unternehmen bereits mehr als 20 Milliarden Dollar. Hornetsecurity nennt ähnliche Zahlen bereits für 2019: Demnach hätten Ransomware-Angriffe Cyberkriminellen 2018 geschätzt 8 Milliarden Euro eingebracht – der generierte Schaden habe sich 2019 jedoch gegenüber dem Vorjahr bereits mehr als verdreifacht [9].
Erschreckenderweise sollen laut Atlas VPN mittlerweile über die Hälfte der Betroffenen bereit gewesen sein, zu bezahlen (57%, 2018: 38%). Allerdings hätten nur zwei Drittel wieder Zugriff auf gestohlene beziehungsweise blockierte Daten erhalten. Im schlimmsten Fall droht, was bei Erpressung wohl immer gilt: Die Annahme der Kriminellen, dass dort, wo die erste Forderung erfüllt wurde, noch mehr zu holen ist.
Literatur
[1] Sergey Golubev, Backups sind kein Allheilmittel, wenn Erpresser gestohlene Daten veröffentlichen, kaspersky daily, Februar 2020, www.kaspersky.de/blog/ransomwaredata-disclosure/22136/
[2] Brian Krebs, Ransomware Gangs Now Outing Victim Businesses That Don’t Pay Up, Krebs on Security, Dezember 2019, https://krebsonsecurity.com/2019/12/ransomware-gangs-now-outing-victim-businesses-thatdont-pay-up/
[3] Peter Mackenzie, Tilly Travers, The realities of ransomware: A victim’s-eye view of an attack, Sophos News, August
2020, https://news.sophos.com/en-us/2020/08/04/therealities-of-ransomware-a-victims-eye-view-of-an-attack/
[4] Caroline Corrigan, Was jeder Android-Nutzer über Ransomware wissen sollte, AVG Grundlagenbeitrag, Februar 2018, www.avg.com/de/signal/android-ransomware-guide
[5] Anmol Sachdeva, Thousands Of Linux Servers Infected By Lilu (Lilocked) Ransomware, Fossbyte Technology News, September 2019, https://fossbytes.com/lilockedransomware-infected-linux-servers/
[6] Danny Palmer, This new ransomware is targeting Windows and Linux PCs with a ‚unique‘ attack, ZDNet, Juni 2020, www.zdnet.com/article/this-new-ransomware-istargeting-windows-and-linux-pcs-with-a-unique-attack/
[7] Alex T., Ransomware attacks spike by 140%, 57% of organizations agree to pay, Atlas VPN Blog, Juni 2020,
https://atlasvpn.com/blog/ransomware-attacks-spike-by140-57-of-organizations-agree-to-pay/
[8] CyberEdge, 2020 Cyberthreat Defense Report, https://cyber-edge.com/cdr/ (Registrierung erforderlich)
[9] Hornetsecurity, Cyberthreat Report 2020, www.hornetsecurity.com/de/cyberthreat-report/ (Registrierung erforderlich)