Malware 101: Ransomware

Wenn es eine Art von Malware gibt, von der die meisten Menschen zumindest schon gehört haben, dann ist es Ransomware. Sie erhält viel Beachtung in den Medien, da Sie dazu in der Lage ist, den Betrieb ihrer Opfer vollständig lahmzulegen und sehr leicht quantifizierbare finanzielle Auswirkungen hat – das Lösegeld. Außerdem ist es für einige der häufig angegriffenen Organisationen, wie der öffentliche Sektor und das Gesundheitswesen viel schwieriger zu verbergen, dass ein Vorfall stattgefunden hat, da sie meistens nicht über das nötige Geld verfügen und bei einem Leitungsgremium darum bitten oder sich zumindest dafür verantworten müssen, so einen großen Geldbetrag auszugeben. Selbst größere private Unternehmen würden sich wahrscheinlich gegenüber Investoren für die Zahlung eines Lösegelds verantworten müssen. Dennoch geht man davon aus, dass die meisten Ransomware-Angriffe nicht bekannt gegeben werden, obwohl dies auch Angriffe einschließen würde, die ohne Zahlung des Lösegelds behoben werden konnten.

Der erste bekannte Ransomware-Angriff ereignete sich 1989 und zielte ironischerweise auf die Gesundheitsbranche ab, die auch heute noch ein Hauptziel von Ransomware-Angriffen ist. Dieses erste Beispiel, bekannt als der AIDS-Trojaner (es war auch ein Trojaner der sich als legitime AIDS-Informationssoftware ausgab), verschlüsselte Dateinamen und verlangte, dass 189 USD an ein Postfach in Panama geschickt werden sollten, mit der Behauptung, es handele sich dabei um eine Lizenzverlängerungsgebühr für die Software, die die Malware enthielt.

Heute verwendet Ransomware immer noch Verschlüsselung, obwohl sie meistens ganze Dateien und nicht nur die Namen verschlüsselt, wodurch der Zugriff auf den Inhalt dieser Dateien vollständig blockiert wird. Ransomware verlangt auch immer noch ein (viel höheres) Lösegeld, das im Allgemeinen in Bitcoin gefordert wird, um zu verhindern, dass die Behörden die Mittel leicht zurückverfolgen können. Wenn die Gruppe hinter der Ransomware Wort hält (was nicht immer der Fall ist) und ihre Infrastruktur nicht abgeschaltet wurde, wird ein Entschlüsselung-Schlüssel an das Opfer gesendet, nachdem das Lösegeld bezahlt wurde, damit die Dateien wiederhergestellt werden können.

So verschlüsselt Ransomware Daten

Der typische Verschlüsselungsprozess ist der Funktionsweise von TLS nicht unähnlich. Ein öffentliches Verschlüsselung-Paar wird verwendet, um einen symmetrischen Schlüssel zu übertragen, der für die eigentliche Verschlüsselung verwendet wird. Konkret bettet der Angreifer den öffentlichen Schlüssel in die Malware ein und verwendet ihn, um den symmetrischen Schlüssel zu verschlüsseln, der von der Ransomware generiert und zur Verschlüsselung der Dateien verwendet wird (wodurch verhindert wird, dass sich die Originaldaten der Dateien auf der Festplatte befinden und somit potenziell wiederherstellbar sind). Der symmetrische Schlüssel wird an den Angreifer übertragen und gelöscht, üblicherweise durch Nullstellung der Schlüsseldatei, um die Wiederherstellung zu verhindern.

Jede verbreitete Malware verwendet möglicherweise ein anderes Schlüsselpaar, um die Entdeckung eines einzigen privaten Schlüssels zu verhindern, der anderen Opfern ermöglicht, ihren eigenen symmetrischen Schlüssels zu entdecken und diese Daten zu entschlüsseln. Natürlich kann die Implementierung von Verschlüsselung selbst für die legitime Verwendung entmutigend sein und es gab Fälle, in denen Security-Forscher aufgrund von Fehlern, die Angreifer gemacht hatten, Programme zur Entschlüsselung von Dateien für bestimmte Ransomware-Varianten entwickeln konnten.

Das Opfer muss in der Lage sein, das Lösegeld zu zahlen, damit der Angreifer bezahlt wird. Daher wird es mindestens eine Nachricht (oft mehrere) geben, die besagt, dass das Opfer von Ransomware angegriffen wurde, einschließlich der Höhe des Lösegelds und häufig sogar detaillierte Anweisungen zur Bezahlung, da es schwierig sein kann, Kryptowährung zu erwerben und zu übertragen. Typische Lösegeldforderungen enthalten eine Datei auf dem Desktop oder in den Ordnern, in denen die Dateien verschlüsselt wurden, und/oder eine Bilddatei, die als Desktop-Hintergrund festgelegt wurde.

An die Dateien selbst wird häufig ein Suffix angehängt, um zu kennzeichnen, dass sie verschlüsselt wurden. Dieses Suffix wird häufig zur Benennung der Ransomware-Variante verwendet. Bei Ryuk wird zum Beispiel .rykoder .ryk-encrypted an die verschlüsselten Dateien angehängt.Mit dem Anstieg von Ransomware-as-a-Service (RaaS) – bei dem Verfasser von Ransomware ihre Malware und Infrastruktur an andere Angreifer vermieten, die dann die eigentliche Verbreitung durchführen – werden die Namen der Ransomware-Varianten tatsächlich von den Autoren selbst bereitgestellt.

Auswirkungen und sich weiterentwickelnde Taktiken

Das Lösegeld selbst ist zwar der am leichtesten zu quantifizierenden Kostenfaktor bei Ransomware-Angriffen, es ist jedoch nicht der einzige. Die meisten anderen Kosten werden von anderen Malware-Arten getragen. Ausfallzeiten können sowohl finanzielle Kosten als auch – vor allem im Fall des Gesundheitswesens – nicht-finanzielle Kosten verursachen. Wenn die Computersysteme eines Krankenhauses ausfallen, kann dies sogar Leben kosten. Das ist einer der Gründe, warum Angreifer motiviert sind, Gesundheitseinrichtungen mit Ransomware ins Visier nehmen, denn diese Kosten können sich einschneidend auf die Bereitschaft zur Zahlung des Lösegelds auswirken. Die Zeit und der Arbeitsaufwand für die Behebung einer Malware-Infektion ist ebenfalls mit Kosten verbunden, ebenso wie die Implementierung von zusätzlichen Security-Maßnahmen, um die Auswirkungen von Ransomware und anderen Arten von Malware zu verhindern oder zu verringern.

Ein Großteil der Cybersecurity ist ein Hin und Her zwischen Angreifern und Verteidigern, die ihre Taktiken anpassen, um aufeinander zu reagieren und Ransomware bildet da keine Ausnahme. Als das Sichern von Daten immer häufiger vorgenommen wurde, um die Auswirkungen von Ransomware-Angriffen zu reduzieren, begannen viele Verfasser von Malware auch Backups zu verfolgen, vor allem bei einfacheren Methoden wie den Freigaben von Netzwerkdateien. Als die Zahl der gezahlten Lösegelder zurückging, begannen einige Angreifer, die Daten vor der Verschlüsselung abzugreifen und drohten damit, sie offenzulegen, falls das Lösegeld nicht gezahlt würde. Es ist nicht ungewöhnlich, dass Angreifer in einem Netzwerk Fuß fassen und Ransomware erst zu einem späteren Zeitpunkt implantieren, wenn der Schaden und die Wirksamkeit am höchsten sind. Das Hauptziel von Ransomware ist Geld. Wenn also weniger Lösegelder gezahlt werden, ändern sich die Taktiken, um dem entgegenzuwirken.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.