Kriminelles Geschäftsmodell: Ransomware mehr als ein bloßes Malware-Problem

Neue Studie von Palo Alto Networks zur Erpresser-Software veröffentlicht

[datensicherheit.de, 10.05.2016] In den vergangenen Monaten haben Cyber-Angriffe mit Ransomware weltweit Schlagzeilen gemacht. „Locky“ (Angriffe gegen PC) und „Keranger“ (Attacken auf Apple-Geräte) sind als Erpresser-Software mittlerweile vielen Menschen bekannt. Aus diesem Anlass hat Palo Alto Networks nach eigenen Angaben eine breit angelegte Analysekampagne gestartet und das Phänomen „Ransomware“ (Erpresser-Software) fundiert untersucht.

Eine der größten Cyber-Bedrohungen für Unternehmen

Palo Alto Networks hat am 10. Mai 2016 eine Untersuchung zum Thema „Ransomware“ vorgestellt. Erpresser-Software hat sich innerhalb kurzer Zeit zu einer der größten Cyber-Bedrohungen für Unternehmen auf der ganzen Welt entwickelt. Das kriminelle „Geschäftsmodell“ hat sich demnach „bei der Umsatzgenerierung bewährt“ und zudem erhebliche betriebliche Auswirkungen auf die betroffenen Unternehmen, deren Geschäftsprozesse unterbrochen werden. Alle Branchen, kleine Unternehmen ebenso wie große Unternehmen, aber auch private Anwender seien potenzielle Ziele.

Angriffskomponenten regelrecht perfektioniert

Ransomware gebe es in verschiedenen Formen, zum Teil bereits seit Jahrzehnten. In den letzten drei Jahren hätten Cyber-Kriminelle indes die wichtigsten Angriffskomponenten regelrecht perfektioniert. Dies habe zu einer „Explosion“ neuer Malware-Familien dieser Art für den technischen Part geführt. Zudem seien neue bösartige Akteure hinzugekommen, um von diesem lukrativen Geschäftsmodell ebenfalls zu profitieren.

5 Schritte zum perfiden Erfolg

Für einen erfolgreichen Ransomware-Angriff müsse ein Krimineller in der Lage sein, die folgenden Schritte auszuführen:

1. Die Kontrolle über ein System oder Gerät übernehmen.
2. Den rechtmäßigen Benutzer daran hindern, dass er entweder teilweise oder vollständig Zugriff auf das System erhält.
3. Benachrichtigung an den Benutzer, dass das Gerät gesperrt ist und auf welche Weise und wie viel Lösegeld gefordert wird.
4. Den Zahlungseingang überprüfen.
5. Nachdem die Zahlung eingegangen ist, dem Benutzer wieder vollen Zugriff auf das Gerät gewähren.

Wenn der Angreifer in einem dieser Schritte fehlschlage, werde diese Taktik nicht erfolgreich sein. Während das Konzept von Ransomware bereits seit Jahrzehnten existiere, hätten die nötigen Techniken, um alle fünf Schritte in großem Stil durchführen zu können, bis vor wenigen Jahren nicht zur Verfügung gestanden. Die heute daraus resultierende Welle von Angriffen beeinträchtige Unternehmen auf der ganzen Welt. Viele davon seien nicht vorbereitet, um diese Angriffe effektiv zu verhindern.

Ransomware-Trends laut Malware-Analyseteam von Palo Alto Networks

Der aktuell veröffentlichte Forschungsbericht von „Unit 42“ soll Details über die Geschichte von Ransomware behandeln und aufzeigen, wie die Angreifer viele Jahre damit verbracht haben, dieses Geschäftsmodell zu perfektionieren. Das Malware-Analyseteam von Palo Alto Networks gibt auch einen Ausblick darauf, wie zukünftige Ransomware-Angriffe prinzipiell aussehen könnten:

Weitere Plattformen im Visier

Kein System sei immun gegen die Angriffe und jedes angreifbare Gerät werde zukünftig ein Ziel sein – insbesondere im Kontext des Internets der Dinge.

Forderung höherer Lösegelder

Bei der Mehrheit der Ransomware-Angriffe auf einzelne Systeme liege das Lösegeld noch zwischen 200 und 500 US-Dollar, aber diese Werte könnten auch viel höher sein. In diesem Jahr sei dies bereits der Fall in einer Reihe von hochkarätigen Angriffen gegen Krankenhäuser gewesen, wo die gezahlten Lösegelder weit über 10.000 US-Dollar betragen hätten.

Fokussierung der Ransomware-Angriffe

Gezielte Ransomware-Angriffe seien eine Alternative für Angreifer, die nicht wüssten, wie sie ihr Know-how, in fremde Netzwerke einzudringen, zu Geld machen könnten. Erst einmal im Netzwerk, könnten sie nach wertvollen Dateien, Datenbanken und Backup-Systemen suchen und sogar alle diese Daten auf einmal verschlüsseln. Solche Angriffe seien bereits „in freier Wildbahn“ identifiziert worden – wie im Fall der „SamSa“-Malware.

Weitere Informationen zum Thema:

paloalto NETWORKS
PREVENTION IS NON-NEGOTIABLE / THE RISE OF RANSOMWARE