Die Evolution der Ransomware: Dr. Siegfried Rasthofer im Interview
Sarah Kolberg | Mai 16, 2023
Ransomware-Attacken werden immer gefährlicher, weil sich die Angreifer zunehmend professionalisieren. Wie es zu dieser Entwicklung kam und wie man sich bei einem Ransomware-Angriff schützen kann, erklärt Dr. Siegfried Rasthofer. Wir haben mit dem Cyber Security-Experten über die Evolution der Ransomware gesprochen.
Dr. Siegfried Rasthofer hat an der TU Darmstadt promoviert und war mehrere Jahre in der Forschung der Universität sowie des ansässigen Fraunhofer Instituts für Sichere Informationstechnologie (SIT) tätig. Seine Forschungsschwerpunkte liegen in den Bereichen Codeanalyse, mobile Sicherheit und Malware-Analyse. Dr. Rasthofer hält regelmäßig Vorträge und gibt Workshops zu Angriffsmustern und realen Cybervorfällen.
Können Sie anhand konkreter Beispiele erläutern, inwiefern sich Cyber-Angriffe in den letzten 20 Jahren weiterentwickelt haben?
Dr. Siegfried Rasthofer: Um es einzugrenzen, möchte ich mich gerne auf finanziell motivierte Angreifer fokussieren und hierbei konkret Ransomware-Angriffe.
Was ist Malware?
Malware steht für „malicious software“, zu Deutsch: bösartige Software. Unter diesem Begriff werden sämtliche Arten schädlicher Software zusammengefasst.
Im Jahr 2004 begannen Angriffe über eine Malware namens GPCode. Die Software verschlüsselt Daten und wurde über einen E-Mail-Anhang verteilt. Bei Doppelklick wurde diese installiert und die Daten, auf die diese eine Person Zugriff hatte, verschlüsselt. Die Lösegeldforderungen waren damals im Vergleich zu heute recht niedrig, im Bereich von 100 oder 200 Euro.
Parallel dazu hat sich Lock Screen Ransomware entwickelt. Hier wurden Viren gestreut, die keine Datenverschlüsselung nutzen, sondern lediglich versuchen, den Zugang zu den Daten zu blockieren. Beispielsweise legt sich ein großes Fenster über den Desktop, das sich nicht schließen lässt. Diese Art der Ransomware kursierte vor allem im Jahr 2011.
Ein bekannter Fall aus dieser Zeit war der sogenannte BKA-Trojaner. Hierbei erschien ein Screen inklusive Link, in dem man beschuldigt wurde, pornografische Seiten besucht zu haben. Man wurde vom „Bundeskriminalamt“ angewiesen, ein Bußgeld zu zahlen. Per Klick auf den Link wurde man auf den Bezahlvorgang weitergeleitet. Die Lösegeldforderungen waren auf einem ähnlichen Niveau wie bei der Datenverschlüsselung.
Was ist Ransomware?
Ransomware ist eine Form der Malware, die die Kontrolle über Geräte und Systeme erlangt und diese anschließend blockiert. Ist der Angriff finanziell motiviert, werden die Betroffenen über den Angriff informiert. Es folgt eine Lösegeldforderung, um eine Freischaltung zu veranlassen.
Im Jahr 2016 wurden im Bereich der Datenverschlüsselung bereits Millionensummen eingenommen. Diese Art der Angriffe war jedoch nicht so professionell, wie wir sie heute sehen. Was meine ich damit: In diesen Jahren gab es unterschiedliche Probleme wie beispielsweise fehlerhafte Entschlüsselungssoftware, eine weitere Backdoor in der Verschlüsselungssoftware, keine ausgehändigte Entschlüsselungssoftware oder weitere Angriffe nach erfolgreicher Bezahlung. Dies änderte sich mit Ransomware-as-a-Service.
Was ist Ransomware-as-a-Service (RaaS)?
RaaS ist eine Form von Cyberkriminalität, bei der die Ersteller von Ransomware ihre Malware gegen eine Gebühr oder einen Anteil am Gewinn anderen Kriminellen zum Einsatz anbieten. Das RaaS-Modell ermöglicht es auch denen mit wenig oder keiner technischen Expertise, Ransomware-Angriffe durchzuführen und Opfer zu erpressen. Die RaaS-Provider stellen in der Regel eine benutzerfreundliche Oberfläche und Support bereit, um die Verbreitung der Malware zu vereinfachen und zu beschleunigen.
Im Jahr 2019 begann das sogenannte Big Game Hunting. Die Angreifer investieren mehr Zeit in die Post-Exploitation und versuchen so tief wie möglich in das IT-Netzwerk vorzudringen.
Die technische Finesse nimmt zu, aber auch die betriebswirtschaftliche Professionalisierung. Das Opfer des Cyber-Angriffs wird aus Sicht des Angreifers zum Kunden. Geht das Unternehmen auf die Lösegeldforderung ein, unterstützen die Angreifer zum Teil bei der Entschlüsselung. Diese starke Professionalisierung der Cyber-Angriffe ist der Status Quo.
Welche Sicherheitsanforderungen ergeben sich daraus für Unternehmen? Was kann man zum Schutz vor Cyber-Angriffen tun?
Dr. Siegfried Rasthofer: Die Bandbreite der Techniken, welche die Angreifer nutzen, ist weit gefächert. Entsprechend groß ist auch das Feld der Möglichkeiten, sich zu schützen. Nehmen wir mal das Beispiel Phishing.
Was ist Phishing?
Ziel des Phishings ist das Erlangen persönlicher Daten. Zum Datendiebstahl werden gefälschte Websites, E-Mails oder SMS versendet. Absender und Inhalte sollen dabei möglichst vertrauenswürdig erscheinen. Über Anhänge oder weiterführende Links werden beispielsweise Logins oder Bankdaten abgefragt. |
Man kann Mitarbeiterschulungen und Trainings durchführen, Phishing-Erkennungs-Software implementieren oder Anti-Viren-Software, die Anhänge überprüft. Bei der Softwaresicherheit ist Schwachstellen- und Patch Management sowie Monitoring wichtig. Um zu vermeiden, dass ein Angreifer tiefer in das Netzwerk eindringt, gibt es IDA-Systeme (Identitäts- und Berechtigungsmanagement). Wie kann ich mein Back-Up schützen? Wie kann ich Datenflüsse überwachen? Das sind alles Überlegungen, die ich als Unternehmen berücksichtigen sollte.
Welche Schritte sollten Unternehmen beachten, wenn sie sich nach einem Angriff sicher aufstellen möchten?
Dr. Siegfried Rasthofer: Als Unternehmen muss man verstehen, wie der Angreifer vorgegangen ist. Wie wurden die eigenen Sicherheitsmaßnahmen überwunden? Wo habe ich Defizite? Wie kann ich investieren, um diese auszugleichen?
Die Systemwiederherstellung selbst sollte auch bedacht werden. Bei einigen Infrastrukturen ist die Reihenfolge der Inbetriebnahme von Servern entscheidend. Es ergibt sich auch eine Chance: In Fällen wie diesen ist die IT oft komplett runtergefahren. Eine solche Situation ergibt sich nur sehr selten und ist eine gute Möglichkeit, neue Sicherheitssysteme einzuspielen und die IT-Security des Unternehmens zu verbessern.
Wie können Unternehmen vorgehen, wenn sie Opfer einer Cyber-Attacke werden? Was kann man akut tun? Inwieweit kann man den Schaden begrenzen?
Dr. Siegfried Rasthofer: Eins der wichtigsten Dinge ist es, sich auf das Worst-Case-Szenario vorzubereiten und dieses durchzuspielen, um im Ernstfall reagieren zu können. Man sollte Sicherheitsprozesse nicht nur theoretisch etablieren, sondern auch testen. Man sollte Tabletop Excercises durchführen und einen Angriffsfall durchsprechen und auch Extremfälle bedenken: Wer entscheidet, ob einer Lösegeldforderung nachgegeben wird? Die Entscheidungsprozesse und auch Fragen der strafrechtlichen Haftbarkeit sollten vorweg geklärt sein.
Meistens nicht möglich, aber viel besser wäre eine Angriffssimulation. Man könnte eine IT-Security-Firma beauftragen, eine tatsächliche Verschlüsselung durchzuführen und nur einen kleinen Teil der Firma darüber zu informieren. Hier zeigt sich, welche Kommunikationswege gegangen werden und wie schnell die Reaktionszeit ist. Es ergeben sich eine Vielzahl an Aha-Momenten, die man in Sicherheitsprotokollen berücksichtigen sollte.
Wird man dann tatsächlich angegriffen, muss man auf das Incident Response Protokoll zurückgreifen und es schrittweise abarbeiten.