Bochum Mit seinen sorgsam gekämmten Haaren und seinem blauen Geschäftshemd sieht der junge Mann vertrauenserweckend aus. Doch der seriöse Eindruck trügt: Wenn ein Personaler die Bewerbung per Dropbox herunterlädt, öffnet er Kriminellen das Tor zum Computer. Denn in der Datei „BewerbungsmappePDF.exe“ verbirgt sich die Erpressungssoftware Petya. Die verschlüsselt erst einen Teil der Festplatte – und fordert dann mit einem martialisch blinkenden Totenkopf ein Lösegeld.
In zahlreichen Büros in Deutschland dürfte die bedrohliche Nachricht in den vergangenen Wochen über den Bildschirm geflackert sein. Denn die Täter haben tausende E-Mails verschickt, die zum verseuchten Dokument in der Dropbox führten. Gerade in Unternehmen wird so mancher darauf geklickt haben. Auch andere Kriminelle füllen sich mit der Erpressungsmasche die Konten.
„Von der Masse, aber auch von der Qualität her passiert gerade ganz viel“, beobachtet Ralf Benzmüller, Leiter der „Security Labs“ beim Bochumer IT-Sicherheitsspezialisten G Data. „Im Moment gibt es ein großes Interesse in der Welt der Cyberkriminalität“, sagte er kürzlich auf der IT-Sicherheitskonferenz a-i3 an der Ruhr-Universität Bochum. Wenn es in dieser Welt Moden gibt, ist Erpressungssoftware gerade ziemlich angesagt. Privatnutzer wie Unternehmen sollten das zum Anlass nehmen, spätestens jetzt vorzusorgen.
Petya, Locky & Co. werden im Fachjargon als Ransomware bezeichnet. „Ransom“ heißt auf Englisch Lösegeld, es geht also um Erpressung. Die Kriminellen schleusen die Programme erst auf die Rechner der Opfer und verschlüsseln damit anschließend bestimmte Dateien, etwa E-Mails, Fotos, Office-Dokumente, Datenbanken, Sicherungen oder auch Spielstände – „alles, was in irgendeiner Form wertvoll sein kann“, wie Benzmüller zusammenfasst. Wer die Daten wiederherstellen will, soll mit der Kryptowährung Bitcoin Lösegeld auf ein anonymes Konto überweisen.
Es ist ein Verbrechen, das gerade Karriere macht. Seit Dezember 2015 beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Kriminelle über große Wellen von Spam-E-Mails Ransomware verbreiten. Sie versuchten zudem vermehrt, über infizierte Webseiten und Werbebanner die schädliche Software zu verbreiten.
„Aus Sicht der Kriminellen haben Cyber-Angriffe mittels Ransomware den Vorteil, dass es zu einem direkten Geldtransfer zwischen Opfer und Täter kommt“, schreibt das BSI in einem aktuellen Bericht – anonyme Zahlungsmittel wie Bitcoin machen es möglich. Bei anderen Maschen braucht es immer noch Mittelsmänner – ob für den Transfer von Geld oder die Annahme von illegal bestellten Waren.
Gleichzeitig verspüren die Nutzer einen hohen Leidensdruck. Wenn die Fotos vom Nachwuchs oder wichtige E-Mails weg sind, scheint ein Lösegeld von einigen hundert Euro womöglich das geringere Übel zu sein – zumal die Aussichten auf eine Entschlüsselung auf anderem Wege ungewiss sind. Diese Kombination ist die perfekte Betrugsmasche.
Trojaner-Baukästen ab 200 Dollar
Diese guten Erfolgsaussichten locken zahlreiche Täter. „Viele Cyberkriminelle springen gerade auf“, beobachtet Virenkenner Benzmüller. Das lässt sich an den Dateien festmachen, die er und seine Kollegen im Labor von G Data untersuchen. Die Analysten entdecken immer mehr Ransomware-Familien, die offensichtlich von unterschiedlichen Entwicklern stammen. Die kriminellen Hacker greifen immer mehr Plattformen an: Nicht nur Windows, sondern auch Mac OS X, Linux und sogar Smartphones und Server. „Viele Gruppen probieren gerade Variationen des Themas Erpressungs-Software aus.“ Und sie gehen ganz gezielt vor und nehmen beispielsweise Gruppen wie Personalverantwortliche ins Visier.
Einige Hacker verkaufen ihr Wissen auch. Im Darknet werden inzwischen Werkzeuge gehandelt, die die Verbreitung von Ransomware auf ein paar Klicks reduzieren. „Man füllt ein Formular aus, wählt die Höhe des Lösegeldes, das Bitcoin-Konto und wie lange der Countdown läuft, bis die Dateien für immer verloren sind – dann wird eine exe-Datei erstellt“, berichtet Benzmüller. Schon ab 200 Dollar ist solch ein Baukasten zu haben, etwas bessere Software koste 1200 bis 2000 Dollar, dann samt Funktionen zur Geldwäsche.
Andere Untergrunddienstleister bieten an, die infizierte Datei an tausende Empfänger zu schicken oder gleich auf Computern zu installieren, zu denen sie sich zuvor schon Zugang verschafft haben. Für 1000 Infektionen müsse man auf dem Schwarzmarkt 80 bis 120 Dollar zahlen, berichtet Benzmüller. Wenn nur ein Bruchteil von den Betroffenen das Lösegeld zahlt, lohnt sich das schon für den Angreifer.
Auch für Unternehmen wächst die Gefahr. Petya zielt mit der Bewerbung beispielsweise auf Personalverantwortliche in Unternehmen. Zumindest einzelne Vorfälle deuten zudem darauf hin, dass kriminelle Hacker ihre schädlichen Programme gezielt in Unternehmen einschleusen. „Wir haben Ransomware gesehen, bei der 5000 oder 10.000 Euro verlangt wurden“, berichtet Lorenz Kuhlee, Experte für IT-Forensik beim Netzbetreiber Verizon. Offenbar versuchten die Täter herauszufinden, wie viel den Opfern die Daten wert sind. „Ransomware betrifft inzwischen jeden Industriezweig.“
Es ist ein Hype, der vielen Nutzern das Leben schwer macht – der aber vielleicht auch Glück im Unglück ist. Denn vielen Möchtegernerpressern fehlt das Wissen, die Technik richtig zu nutzen. „Kryptografie richtig einzusetzen, ist wirklich schwer“, betont Benzmüller. „Viele bekommen es nicht richtig hin.“ Daher schaffen es die Experten Werkzeuge zu entwickeln, um die Verschlüsselung zu umgehen und die Daten wiederherzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner bereits zu knacken ist. Manchmal brauchen auch gute Hacker dafür einige Zeit.
Das ist allerdings eine Momentaufnahme. Denn nicht nur die Guten – also der Hersteller von Schutzprogrammen – rüsten nach, sondern auch die Bösen. „Wenn sich der Markt bereinigt und nur noch die Profis bleiben, wird es wirklich schlimm“, ahnt Benzmüller. Das nötige Geld, um kundige Programmierer zu engagieren, haben sie allemal.
So bleibt Privatnutzern wie Unternehmen nur die Vorsorge. „Ein Back-up ist die wichtigste Schutzmaßnahme“, betont das BSI – so sei bei einem Ransomware-Vorfall die Verfügbarkeit der Daten gewährleistet. Wenn der aktuelle Stand der Daten auf einer externen Festplatte gesichert ist, wirkt der blinkende Totenkopf gleich weniger bedrohlich.
