Ransomware: Kriminelle Arbeitsteilung

Ransomware: Kriminelle Arbeitsteilung

, aktualisiert 22. November 2016, 16:24 Uhr
Bild vergrößern

Hacker zerstören mit ihrer Schad-Software Dokumente und Daten auf Computern, die nur gegen ein "Lösegeld" wieder hergestellt werden.

von Christof KerkmannQuelle:Handelsblatt Online

Geld oder Daten: Hacker haben mit der digitalen Erpressung ein einträgliches Geschäft entdeckt. Durch die Arbeitsteilung im Untergrund kann heute jeder Kleinkriminelle Ransomware verbreiten – auch ohne IT-Kenntnisse.

Bochum„Achtung! Achtung! Achtung!“ Die Computerstimme schrebbelt abgehackt durch die Boxen neben dem Bildschirm. „Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien sind verschlüsselt worden.“ Nicht, dass man es übersehen könnte: Der Hintergrund hat sich in ein düsteres Grau verwandelt, auf dem der englische Satz noch einmal in giftgrüner Schrift steht. Samt Anweisungen, wie Nutzer ihre Daten wieder freikaufen können.

Ralf Benzmüller schaut vom Computer auf, ein Lächeln umspielt den grau-braunen Bart: „Dumm gelaufen.“ Der Erpressungsversuch läuft ins Leere. Das Programm Cerber, das hier hörbar sein Unwesen treibt, hat zwar Dateien verschlüsselt, so dass sie sich nicht mehr öffnen lassen, jedoch in einer virtuellen Umgebung – Benzmüller schließt sie mit einem Klick. Für den 56-Jährigen ist das Alltag, er leitet das Labor des IT-Sicherheitsspezialisten G-Data. Hier untersucht er virtuelle Viren, Würmer und Trojaner, so wie es Seuchenforscher mit Keuchhustenbakterien oder Malariaerregern tun: unter strenger Quarantäne.

Anzeige

Was im Büro von G-Data zu sehen ist, wiederholt sich jeden Tag tausendfach an privaten Schreibtischen und in Büros, nicht selten jedoch mit drastischen Folgen. Cyberkriminelle haben Erpressungsprogramme wie Cerber als lukratives Geschäftsmodell entdeckt. Ransomware, so der Fachbegriff, lässt sich einfach verbreiten und verspricht hohe Rendite. Wer mit Ralf Benzmüller durch Untergrundforen streift, bekommt Einblicke in eine hoch arbeitsteilige Wirtschaft, die den Verlust der Nutzer als Gewinn verbucht. Und eine Ahnung, dass die Bedrohung in den nächsten Monaten eher größer als kleiner wird.

Das Phänomen Ransomware ist nicht neu. Die Idee reicht bis ins Jahr 1989 zurück: Damals verschickte ein Evolutionsbiologe Disketten mit einem Programm, das Computer sperrte und ein Lösegeld von 189 Dollar verlangte, zu zahlen an ein Postfach in Panama. Die Polizei nahm den Täter fest. Doch er lieferte die Blaupause für das fast perfekte Verbrechen. Denn heute können Kriminelle die Software schnell, einfach und billig verbreiten, ob über E-Mails oder präparierte Webseiten - und inzwischen mit der Digitalwährung Bitcoin anonym abkassieren.

Ransomware sei „heute ein ebenso etabliertes wie erfolgreiches kriminelles Geschäftsmodell“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Angesichts der vielen ungezielten Angriffe sei die Gefährdungslage weiter hoch – auch wenn die mediale Aufregung inzwischen abgeklungen ist. Zu den Opfern zählen neben vielen namenlosen Nutzern auch große Organisationen, etwa mehrere Krankenhäuser, in denen die Technik tagelang stillstand. Eine BSI-Umfrage vom September zeigt: Jede dritte Firma ist im vergangenen halben Jahr von Ransomware betroffen gewesen.

Der Schaden lässt sich kaum beziffern, aber es gibt Anhaltspunkte. So schätzen die Experten von der Cyber Threat Alliance, dass Kriminelle im vergangenen Jahr allein mit der Software Cryptowall 325 Millionen Dollar Lösegeld erpressten. Ein weiteres Zeichen dafür, dass die Masche funktioniert: Die Programmierer liefern sich einen harten Wettbewerb, Virenforscher beobachten fast täglich neue Ransomware-Varianten. „In den vergangenen zwölf Monaten hat Ransomware ein neues Niveau der Reife und Bedrohung erreicht“, heißt es in einem Report der US-Firma Symantec.


Gefährlicher Lebenslauf

Die Mitarbeiter von G-Data stärken ihre Abwehrkräfte mit Äpfeln und Bananen, die kistenweise am Empfang stehen. Die Kunden will das Bochumer Unternehmen mit Software schützen: Anti-Virus-Programme, die im Hintergrund laufen und bei verdächtigen Dateien oder ungewöhnlichen Aktivitäten eine Warnung aufpoppen lassen. Immer häufiger sind es Erpressungstrojaner.

Benzmüller untersucht an seinem PC Ransomware, die sich an Personalverantwortliche richtet: Die Datei trägt den Namen „Lebenslauf”. Der IT-Spezialist öffnet sie in einer virtuellen Umgebung, lässt daneben ein Analyseprogramm laufen. In der Tabelle mit den Aktivitäten auf dem Rechner blinken mehrere Zeilen rot: Cerber greift im Hintergrund auf Systemfunktionen zu, um Daten wie Fotos oder Texte zu verschlüsseln. Unbedarfte Nutzer bemerken zunächst kaum etwas – abgesehen davon, dass ihr Rechner langsamer läuft, weil der Prozessor ausgelastet ist. Wenn Cerber fertig ist, macht er sich umso mehr bemerkbar: Fotos, E-Mails oder Dokumente lassen sich nicht mehr öffnen.

Der Schockeffekt mit der Sprachbotschaft dürfte so manchen Nutzer dazu bewegen, das Lösegeld zu zahlen, umgerechnet 200 Euro in der Digitalwährung Bitcoins. Dabei wäre das bei dieser Variante nicht nötig: Die Analysten von G-Data haben entdeckt, dass der Schlüssel im Quellcode enthalten ist. „Kryptografie ist richtig schwierig”, sagt Benzmüller. Die Kriminellen haben sich in diesem Fall schlecht umgesetzt. Ein kostenloses Werkzeug ermöglicht es, wieder an die Daten zu kommen – alle großen Hersteller von Anti-Virus-Software machen mit solchen Programmen für sich Werbung.

Doch solche Schwächen sind nicht die Regel. Experten entdecken immer neue Varianten mit immer neuen Fertigkeiten. Da gibt es Trojaner, die nicht nur die Festplatte, sondern ganze Netzwerke verschlüsseln, etwa in Firmen. Programme, die neben Windows-PCs gezielt auch Mac-Rechner oder Server attackieren - auch dort gibt es etwas zu holen. Und immer bessere Verschlüsselung. Die organisierte Kriminalität hat das Geschäft für sich entdeckt.

Um neue Trends frühzeitig aufzuspüren, beobachten Benzmüller und sein 60-köpfiges Team auch das Treiben in den Untergrundforen: „Wenn wir viel Aktivität sehen, lohnt es sich, Gegenmaßnahmen zu entwickeln”, sagt der Spezialist. „Know your enemy.“ So verbringt ein Mitarbeiter täglich mehrere Stunden damit, die sogenannten Boards auszuwerten, um mitzubekommen, was die Szene beschäftigt. Dahinter stecken meist osteuropäische Organisationen, die keine Strafverfolgung fürchten müssen, solange sie keine Einheimischen erpressen.


Je vernetzter die Welt, umso größer das Risiko

Wer Zutritt erhält – meist über Empfehlungen anderer Mitglieder –, der kann kriminelle Dienstleistungen fast so einfach bestellen wie CDs und Bücher bei Amazon. Da gibt es Kreditkartendaten samt PIN und Sicherheitsnummer für 19,99 Dollar pro Stück.

Zugang zu Sicherheitslücken, um Schutzmaßnahmen zu überwinden. Oder Anleitungen, wie man effizient bei Amazon betrügt. Der Service ist sogar vorbildlich: Eine „qualifizierte Unterstützung, die Ihnen bei Problemen hilft”, versprechen viele Anbieter gleich mit, etwa über anonyme Chats. Auch eine Bezahlung mit Treuhandschutz wird angeboten. „Die Reputation ist wichtig, wenn man Tausende Euro ins Blaue zahlt”, sagt Benzmüller.

Eine Betrugsmasche, die funktioniert. Und eine Untergrundwirtschaft, die auf Spezialisierung setzt: Es war wohl nur eine Frage der Zeit, bis einige Kriminelle auf die Idee kommen würden, Ransomware zu vermieten. Die Entwickler von Cerber verschicken nicht nur selbst Spam oder stellen Fallen im Netz auf, sie vermieten ihre Infrastruktur auch. Gegen Provision können andere die Software, die Kontrollserver und die Systeme zur Zahlungsabwicklung nutzen. „Man kann den Service ohne großes IT-Wissen buchen”, sagt Benzmüller. Schon ab 200 Dollar sind solche ein Baukasten zu haben, etwas bessere Software kostet 1200 bis 2000 Dollar, dann samt Funktionen zur Geldwäsche.

Für die Virenforscher von G-Data gehört das zum Geschäft. Mit der Bedrohung ist auch das Unternehmen gewachsen. 1987 stellte es als Garagenfirma einen der ersten Virenscanner vor, heute residiert die AG in einem Backsteingebäude im Süden der Bochumer Innenstadt. Wo der Konsumverein Wohlfahrt Arbeiter und Bergleute mit billigen Lebensmitteln und Haushaltswaren versorgte, arbeiten nun 350 Mitarbeiter, darunter viele hochbezahlte IT-Spezialisten. 41 Millionen Euro Umsatz und 2 Millionen Euro Gewinn erwartet die AG in diesem Jahr.

Bei den neuen Produkten wirbt das Unternehmen mit dem Schutz vor Ransomware. Auch die Konkurrenten Symantec, Kaspersky und Trend Micro trainieren ihre Wächter auf die neuen Eindringlinge. Nach der Aufregung um die Erpressung von Krankenhäusern im Frühjahr ist das ein gutes Vermarktungsargument. Trotzdem bleibt ein Risiko. „Anhand der vorliegenden Detektionszahlen können wir keine Entwarnung geben“, erklärt etwa das BSI.

Und je vernetzter die Welt, umso größer das Risiko. Forscher hat bereits gezeigt, dass auch Heizthermostate für Ransomware anfällig sein können. Ransomware wie Cerber wird wohl noch manches Opfer schockieren.

Haben Sie Erfahrungen mit Ransomware gemacht? Schreiben Sie uns!

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%