Von Hackern erpresst
Die 5 größten Ransomware-Attacken
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
MalwareMalware, die Ihre Daten als Geisel nimmt, gibt es schon seit vielen Jahren. Genauer gesagt seit mehr als 28 Jahren. 1989 breitet sich der AIDS-Trojaner (auch bekannt unter der Bezeichnung PC Cyborg) über Floppy Disks aus. Bei einer Infektion folgt eine Zahlungsaufforderung: 189 Dollar sollen per Verrechnungsscheck nach Panama geschickt werden. Alles zu Malware auf CIO.de
Foto: Gorodenkoff - shutterstock.com
Im Jahr 2006 erscheint mit Archiveus die erste Ransomware, die Daten auch verschlüsselt. Mit dem Aufkommen von anonymen Online-Zahlungsdiensten finden kriminelle Hacker ab 2011 zudem neue, einträgliche Verbreitungsmaschen. Erpressungstrojaner werden in E-Mails eingebettet, die vermeintlich von Strafverfolgungsbehörden stammen, die wegen Copyright-Verletzungen Kontakt mit dem betreffenden User aufnehmen wollen. Doch das ist nur der Anfang.
Das Jahr 2017 markiert schließlich den bisherigen Höhepunkt der Ransomware-Welle: Mit WannaCry und Petya wüten gleich zwei Erpressungstrojaner auf internationaler Ebene. Wir haben die fünf größten Ransomware-Attacken der vergangenen fünf Jahre für Sie zusammengefasst:
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
CryptoLocker: Bühne frei für Ransomware
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um User Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Laut Jonathan Penn, Director of Strategy bei Avast, bringt es CryptoLocker zu seinen Hochzeiten (Ende 2013, Anfang 2014) auf rund 500.000 infizierte Rechner.
Trotzdem ist CryptoLocker noch recht primitiv ausgestaltet: Eine White-Hat-Kampagne macht dem Botnetz, das die Ransomware steuert, den Garaus. So kommen auch die Entschlüsselungs-Keys an die Öffentlichkeit. Dennoch ist es laut Penn vor allem CryptoLocker, der die Tore für andere Ransomware-Familien weit aufstößt: Seine Code-Basis findet sich in vielen anderen Erpressungstrojanern. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen (von denen CryptoWall die populärste ist) rund drei Millionen Dollar.
TeslaCrypt: Gamer im Visier der Hacker
Wenig später entsteht mit TeslaCrypt bereits die nächste Bedrohung. Zunächst gehen Experten davon aus, dass es sich bei TeslaCrypt um eine Abwandlung von CryptoLocker handelt. Der Erpressungstrojaner zielt (in seiner ursprünglichen Form) auf die File-Erweiterungen populärer Videospiele wie Call of Duty - also gespeicherte Spielstände, Multiplayer-Karten oder auch Download-Content. Diese Dateien sind für Hardcore-Gamer durchaus von gesteigerter Bedeutung, werden aber in der Regel lokal vorgehalten und nicht in der Cloud oder auf einem externen Medium. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen.
Foto: Tinxi - shutterstock.com
Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. So bleibt Betroffenen kein anderer Ausweg mehr, als mit den kriminellen Hackern in Kontakt zu treten, wenn sie ihre Daten wiederbekommen wollen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme durch TeslaCrypt beendet.
SimpleLocker: Ransomware wird mobil
Der Mobile-Boom sorgt dafür, dass mehr und mehr sensible (Unternehmens-)Daten Einzug auf mobilen Endgeräten halten. Das erkennen auch die Ransomware-Scammer und "küren" Android zum Betriebssystem ihrer Wahl: Zwischen Ende 2015 und Anfang 2016 vervierfacht sich die Zahl der Ransomware-Angriffe auf Android-Geräte. SimpleLocker ist dabei die erste echte Bedrohung: Es ist die erste bekannte, mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt - und zwar ganz ohne Zutun der kriminellen Hacker. Noch dazu ist es auch die erste Ransomware, die ihre maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet.
Und jetzt die gute Nachricht: Auch wenn die "SimpleLocker-Ära" für einen sprunghaften Anstieg bei den Malware-Infektionen von Android-Geräten sorgt, ist die Zahl der Betroffenen relativ gering: Ende 2016 liegt sie bei circa 150.000 Infektionen - wovon nur ein kleiner Anteil auf die Android-Nutzer entfällt. Und: Die allermeisten Betroffenen infizieren sich mit der erpresserischen Malware, weil sie auf Porno-Apps oder ähnliche "inoffizielle" App-Store-Inhalte hereinfallen. Google arbeitet unterdessen daran, den Usern klar zu machen, dass es ziemlich schwer ist, sich mit Ransomware zu infizieren. Dennoch: Die Bedrohung ist real.