Was ist Ransomware?

Bis heute haben Cybersicherheits-Forscher Tausende von verschiedenen Ransomware-Varianten oder „Familien“ identifiziert – einzigartige „Stämme“ mit eigenen Codesignaturen und Funktionen. 

Dabei sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert. 

CryptoLocker

CryptoLocker erschien erstmals im September 2013 und wird weithin dafür verantwortlich gemacht, das moderne Zeitalter der Ransomware eingeläutet zu haben. 

CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. USD erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten. 

Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya.

WannaCry

Der erste aufsehenerregende Kryptowurm – eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann – wurde mit WannaCry auf über 200.000 Computern in 150 Ländern eingeschleust. Die betroffenen Computer waren anfällig, weil die Administratoren es versäumt hatten, Patches für die EternalBlue-Sicherheitslücke in Microsoft Windows zu installieren. 

Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Betroffenen nicht innerhalb von sieben Tagen eine Zahlung leisten würden. Mit geschätzten Kosten von bis zu 4 Mrd. USD handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.

Petya und NotPetya

Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann. 

Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wischer, der nicht in der Lage war, Systeme zu entsperren, selbst nachdem die Opfer bezahlt hatten.

Ryuk

Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Sicherungsdateien und Systemwiederherstellungsfunktionen finden und deaktivieren. Eine neue Sorte mit Kryptowurm-Funktionen erschien 2021.

DarkSide

DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff. In einer Aktion, die von vielen als der bisher schlimmste Cyberangriff auf kritische US-Infrastrukturen angesehen wird, legte DarkSide vorübergehend die Pipeline lahm, die 45 % des Treibstoffs für die US-Ostküste liefert.

Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.

Locky

Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die sich als legitime Rechnungen ausgeben. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.

REvil

REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen. 

REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Millionen USD, nachdem die Hacker den gesamten US-Rindfleischverarbeitungsbetrieb unterbrochen hatten. Mehr als 1.000 Software-Kunden von Kaseya waren von erheblichen Ausfallzeiten betroffen.

Der russische Föderale Sicherheitsdienst berichtete, er habe REvil demontiert und Anfang 2022 mehrere seiner Mitglieder angeklagt.

Conti

Die Conti-Bande wurde erstmals im Jahr 2020 beobachtet und betrieb ein umfangreiches RaaS-System, bei dem sie Hackern ein regelmäßiges Gehalt für die Nutzung ihrer Ransomware zahlte. Conti wandte eine einzigartige Form der doppelten Erpressung an, bei der die Bande drohte, den Zugang zum Netzwerk des Opfers an andere Hacker zu verkaufen, wenn das Opfer nicht zahlte.

Conti löste sich auf, nachdem die internen Chatprotokolle der Bande im Jahr 2022 durchsickerten, aber viele ehemalige Mitglieder sind immer noch in der Welt der Cyberkriminalität aktiv. Laut dem X-Force Threat Intelligence Index wurden ehemalige Conti-Mitarbeiter mit einigen der heute am weitesten verbreiteten Ransomware-Varianten in Verbindung gebracht, darunter BlackBasta, Royal und Zeon. 

LockBit

LockBit ist laut X-Force Threat Intelligence Index eine der häufigsten Ransomware-Varianten im Jahr 2023 und zeichnet sich durch das sachliche Verhalten seiner Entwickler aus. Die LockBit-Gruppe ist dafür bekannt, dass sie andere Malware-Stämme auf die gleiche Art und Weise übernimmt wie seriöse Unternehmen andere Firmen. 

Obwohl die Strafverfolgungsbehörden im Februar 2024 einige Websites von LockBit beschlagnahmten und die US-Regierung Sanktionen gegen einen der führenden Köpfe der Bande verhängte, greift LockBit weiterhin Opfer an. 

Die Lösegeldforderungen variieren stark, und viele Opfer geben nicht bekannt, wie viel sie gezahlt haben, sodass es schwierig ist, einen durchschnittlichen Betrag für Lösegeldzahlungen zu ermitteln. Die meisten Schätzungen gehen jedoch von einem hohen sechsstelligen bis niedrigen siebenstelligen Betrag aus. Laut dem Definitiven Handbuch zu Ransomware von IBM haben die Angreifer Lösegeldzahlungen in Höhe von bis zu 80 Millionen USD gefordert.

Wichtig ist, dass der Anteil der Opfer, die überhaupt ein Lösegeld zahlen, in den letzten Jahren stark zurückgegangen ist. Nach Angaben des auf Cyber-Erpressung spezialisierten Unternehmens Coveware haben im Jahr 2023 nur 37 % der Opfer ein Lösegeld gezahlt, verglichen mit 70 % im Jahr 2020.¹

Experten verweisen auf eine bessere Vorbereitung auf Cyberkriminalität - einschließlich erhöhter Investitionen in Datensicherungen, Pläne zur Reaktion auf Vorfälle und Technologien zur Verhinderung und Erkennung von Bedrohungen – als mögliche Ursache für diese Trendwende.

Leitlinien für die Strafverfolgung

US-amerikanische Vollzugsbehörden raten Ransomware-Opfern einstimmig davon ab, Lösegeldforderungen zu zahlen. So erläutert die National Cyber Investigative Joint Task Force (NCIJTF), ein Zusammenschluss von 20 US-Bundesbehörden, die mit der Untersuchung von Cyberbedrohungen betraut sind:

„Das FBI ermutigt nicht dazu, Lösegeld an kriminelle Akteure zu zahlen. Die Zahlung eines Lösegelds kann Angreifer ermutigen, weitere Organisationen ins Visier zu nehmen, andere kriminelle Akteure zur Verbreitung von Ransomware ermutigen und/oder illegale Aktivitäten finanzieren. Die Zahlung des Lösegelds ist zudem keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden.“

Die Strafverfolgungsbehörden empfehlen den Opfern von Ransomware, Angriffe bei den zuständigen Behörden, wie dem Internet Crime Complaint Center (IC3) des FBI, zu melden, bevor sie Lösegeld zahlen. 

Einige Opfer von Ransomware-Angriffen sind gesetzlich verpflichtet, Ransomware-Infektionen zu melden, unabhängig davon, ob ein Lösegeld gezahlt wird. Zum Beispiel verlangt die HIPAA-Compliance im Allgemeinen, dass Gesundheitseinrichtungen jede Datenschutzverletzung, einschließlich Ransomware-Angriffen, dem Department of Health and Human Services melden.

Unter bestimmten Umständen kann die Zahlung eines Lösegelds illegal sein. 

Das US Office of Foreign Assets Control (OFAC) hat erklärt, dass die Zahlung von Lösegeld an Angreifer aus Ländern, die unter US-Wirtschaftssanktionen stehen – wie Nordkorea oder Iran – gegen OFAC-Vorschriften verstößt. Bei Verstößen drohen zivilrechtliche Sanktionen, Geldstrafen oder Strafanzeigen. 

Einige US-Bundesstaaten, wie Florida und North Carolina, haben die Zahlung von Lösegeld durch staatliche Behörden für illegal erklärt.

Cybersicherheitsexperten und Bundesbehörden wie die Cybersecurity and Infrastructure Security Agency (CISA) und der US-Geheimdienst empfehlen Unternehmen, Vorsichtsmaßnahmen zur Abwehr von Ransomware-Bedrohungen zu treffen. Diese Maßnahmen können Folgendes umfassen:

• Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die im Falle eines Ransomware-Angriffs vom Netz getrennt werden können.  
  
  
• Regelmäßiges Anwenden von Patches, um Ransomware-Angriffe abzuwehren, die Sicherheitslücken in Software und Betriebssystemen ausnutzen. 
  
  
• Cybersecurity-Tools wie Antimalware-Software, Netzwerküberwachungs-Tools, Endpoint Detection and Response (EDR)-Plattformen und Security Information and Event Management (SIEM)-Systeme können Sicherheitsteams dabei helfen, Ransomware in Echtzeit abzufangen.
  
  
• Cybersicherheitsschulungen für Mitarbeiter helfen den Benutzern, Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.
  
  
• Die Implementierung von Richtlinien zur Zugriffskontrolle, einschließlich Multi-Faktor-Authentifizierung, Netzwerksegmentierung und ähnlicher Maßnahmen kann verhindern, dass Ransomware an besonders vertrauliche Daten gelangt. Identity und Access Management (IAM)-Kontrollen können ebenfalls verhindern, dass sich Kryptowürmer auf andere Geräte im Netzwerk ausbreiten.
  
  
• Formale Pläne zur Reaktion auf Vorfälle ermöglichen es Sicherheitsteams, Verstöße in kürzerer Zeit zu erkennen und zu beheben. Der Bericht über die Kosten einer Datenschutzverletzung hat ergeben, dass Unternehmen mit formalen Plänen und engagierten Notfallteams Datenschutzverletzungen 54 Tage schneller erkennen als Unternehmen, die über keines von beiden verfügen. Diese schnellere Entdeckung senkt die Kosten für die Behebung und spart Unternehmen durchschnittlich 1,49 Millionen USD pro Verstoß.  

Während Entschlüsselungs-Tools für einige Ransomware-Varianten über Projekte wie No More Ransom² öffentlich verfügbar sind, erfordert die Behebung einer aktiven Ransomware-Infizierung oft einen vielschichtigen Ansatz. 

Ein Beispiel für einen nach dem Incident Response Life Cycle des National Institute of Standards and Technology (NIST) modellierten Ransomware-Interventionsplan finden Sie im definitiven Ransomware-Handbuch von IBM Security. 

1989: Die erste dokumentierte Ransomware, bekannt als „AIDS-Trojaner“ oder „P.C. Cyborg“-Angriff, wird über Disketten verbreitet. Das Programm versteckt Dateiverzeichnisse auf dem Computer des Opfers und verlangt 189 USD, um sie wieder freizugeben. Da diese Malware die Dateinamen und nicht die Dateien selbst verschlüsselt, ist es für Benutzer einfach, den Schaden ohne Zahlung eines Lösegelds rückgängig zu machen.

1996: Während sie den AIDS-Trojaner analysieren, warnen die Computerwissenschaftler Adam L. Young und Moti Yung vor zukünftigen Formen von Malware, die eine ausgefeiltere Kryptographie verwenden könnten, um sensible Daten als Geiseln zu nehmen.

2005: Nach relativ wenigen Ransomware-Attacken in den frühen 2000er Jahren kommt es zu einem Anstieg der Infizierungen, vor allem in Russland und Osteuropa. Es erscheinen erste Varianten, die asymmetrische Verschlüsselung nutzen. Da neue Ransomware effektivere Möglichkeiten zur Erpressung von Geld bietet, beginnen mehr Cyberkriminelle damit, Ransomware weltweit zu verbreiten.

2009: Die Einführung von Kryptowährungen, insbesondere von Bitcoin, bietet Cyberkriminellen eine Möglichkeit, nicht nachverfolgbare Lösegeldzahlungen zu erhalten, was den nächsten Anstieg der Ransomware-Aktivitäten auslöst. 

2013: Mit CryptoLocker beginnt die moderne Ära der Ransomware und damit die aktuelle Welle hochentwickelter verschlüsselungsbasierter Ransomware-Attacken, bei denen eine Zahlung in einer Kryptowährung verlangt wird.

2015: Die Tox-Ransomware-Variante führt das Ransomware-as-a-Service-Modell (RaaS) ein.

2017: WannaCry, der erste weit verbreitete selbstreplizierende Kryptowurm, erscheint.

2018: Ryuk macht die Ransomware-Jagd auf hochkarätige Ziele populär. 

2019: Ransomware-Angriffe mit doppelter und dreifacher Erpressung werden immer beliebter. Bei fast jedem Ransomware-Vorfall, auf den das IBM Security® X-Force® Incident Response Team seit 2019 reagiert hat, ging es um doppelte Erpressung.

2022: Thread-Hijacking, bei dem sich Cyberkriminelle in legitime Online-Konversationen von Zielen einmischen, um Malware zu verbreiten, entwickelt sich zu einem wichtigen Ransomware-Vektor.

2023: Da die Abwehrmaßnahmen gegen Ransomware immer besser werden, beginnen viele Ransomware-Banden, ihr Arsenal zu erweitern und ihre Ransomware durch neue Erpressungstaktiken zu ergänzen. Insbesondere Gangs wie LockBit und einige Überbleibsel von Conti verwenden Infostealer-Malware, die es ihnen ermöglicht, vertrauliche Daten zu stehlen und als Geiseln zu halten, ohne die Systeme der Opfer sperren zu müssen.