Was ist Krypto-Ransomware? Eine ausführliche Studie
Einführung
Mit dem zunehmenden Vertrauen in die digitale Infrastruktur wird der Einfluss von Ransomware-Angriffen immer schwerwiegender, da sie den täglichen Betrieb stören und finanzielle Verluste verursachen. Die Festnahme von Cyberkriminellen gestaltet sich schwieriger, da sie auf raffinierte Methoden zurückgreifen, um ihre Spuren zu verwischen. Ein solches Werkzeug, das sie angenommen haben, ist Kryptowährung für den Erhalt von Lösegeldzahlungen. Sie nutzen die dezentrale und pseudonyme Natur von Kryptowährungen als bevorzugte Zahlungsform. Allein im Jahr 2023 führten Ransomware-Angriffe zu über 1 Milliarde US-Dollar an Lösegeldzahlungen, berichtetvon der Blockchain-Analysefirma Chainalysis.
Was ist Ransomware?
Ransomware ist bösartige Software, die darauf ausgelegt ist, die Daten eines Systems zu verschlüsseln, sodass sie erst nach Zahlung eines Lösegelds wieder zugänglich sind. Dieser Cyberangriff zielt auf Einzelpersonen, Unternehmen und Regierungsorganisationen ab, wobei Schwachstellen in ihren Systemen ausgenutzt werden, um unbefugten Zugriff zu erlangen. Sobald die Malware eingesetzt wird, verschlüsselt sie Dateien und verlangt eine Zahlung, in der Regel in Kryptowährung, um die Daten zu entschlüsseln.
Obwohl das Hauptziel von Ransomware-Angriffen in erster Linie finanzieller Natur ist, wird sie in einigen Fällen auch eingesetzt, um operative Störungen zu verursachen, unbefugten Zugriff auf sensible Informationen zu erlangen oder Organisationen unter Druck zu setzen, um anderen Forderungen nachzukommen. Sie wurde auch als Werkzeug für Cyberkriegsführung zwischen Ländern mit politischen Spannungen eingesetzt.
Geschichte und Entwicklung von Ransomware
Der erste bekannte Ransomware-Angriff war der AIDS Trojaner im Jahr 1988, auch PC Cyborg Virus genannt. Es wurde über Disketten an Teilnehmer einer Konferenz der Weltgesundheitsorganisation verteilt. Nach einer bestimmten Anzahl von Computer-Neustarts verschlüsselte der Trojaner Dateien und verlangte ein Lösegeld von 189 $, das an eine Postfachadresse in Panama gezahlt werden musste. Dieser Angriff verwendete im Vergleich zu heutigen Standards primitive Verschlüsselung, legte aber den Grundstein für moderne Ransomware. Ab 2006 wurde Advanced RSA-Verschlüsselung verwendet, um Ransomware auf Websites und durch Spam-E-Mails zu verbreiten, wobei Lösegeldzahlungen mit Gutscheinen, Paysafecards und anderen elektronischen Methoden erfolgten, die schwer zu verfolgen waren.
Quelle:Chainalysis
Ab 2010 begannen Angreifer, Lösegeld in einer pseudonymen Währung zu fordern, die viel schwieriger zurückzuverfolgen war, als Bitcoin an Popularität gewann. Seitdem wurden neuere und raffiniertere Modelle von Ransomware entwickelt, die eine kriminelle Industrie aufgebaut haben, die von 2019 bis 2024 über 3 Milliarden US-Dollar angehäuft hat.
Die Rolle von Kryptowährungen bei Ransomware
Eine der wichtigsten Eigenschaften von Kryptowährungen, insbesondere Bitcoin, ist ihre pseudonyme Natur. Während Transaktionen in der Blockchain aufgezeichnet werden, sind die Identitäten der beteiligten Parteien durch Brieftaschenadressen maskiert, was es schwierig macht, den Angreifer zurückzuverfolgen. Traditionelle Zahlungssysteme wie Kreditkarten und Banküberweisungen hinterlassen klare Identitätsspuren, die die Strafverfolgungsbehörden zur Untersuchung von Cyberkriminellen nutzen können.
Da Bitcoin-Transaktionen öffentlich auf der Blockchain nachverfolgbar sind, haben einige Cyberkriminelle auf datenschutzorientierte Kryptowährungen wie Monero umgestellt, die Anonymitätsfunktionen bieten und Stealth-Adressen und Ring-Signaturen verwenden, um Transaktionsdetails weiter zu verschleiern.
Wie Krypto-Ransomware funktioniert
Krypto-Ransomware dringt in der Regel über Phishing-E-Mails, bösartige Downloads oder die Ausnutzung von Systemanfälligkeiten in ein Zielsystem ein. Sobald sie sich im Inneren befindet, verschlüsselt die Malware Dateien auf dem Computer oder Netzwerk des Opfers mithilfe komplexer Verschlüsselungsalgorithmen, wodurch die Daten unzugänglich werden.
Quelle: ComodoSSL
Die Betriebsstufen werden in Phasen ausgeführt;
- Infektion
- Verschlüsselung
- Lösegeldforderung
Infektion
Krypto-Ransomware gelangt über Kanäle wie z.B. in das Gerät des Opfers;
Phishing-E-Mails: Cyberkriminelle senden E-Mails, die so aussehen, als kämen sie von legitimen Quellen, und täuschen Empfänger, indem sie auf bösartige Links klicken oder infizierte Anhänge herunterladen. Diese Dateien geben sich oft als wichtige Dokumente oder Updates aus und tarnen ihre tatsächliche Natur.
Veraltete Software: Ransomware kann Fehler in veralteten Versionen von Betriebssystemen oder Anwendungen ausnutzen. Dies wurde beim WannaCry-Angriff deutlich, der einen Exploit in Microsoft Windows verwendete.
Malvertising: Benutzer können unwissentlich mit betrügerischen Anzeigen interagieren, um gefälschte Software-Updates herunterzuladen, die zur Installation von Ransomware führen.
Hacks des Remote Desktop-Protokolls: Das Remote Desktop-Protokoll (RDP) wird verwendet, um eine Remote-Verbindung zu einem Server in Situationen aufrechtzuerhalten, in denen Mitarbeiter einer Organisation von verschiedenen Standorten aus arbeiten. Die RDP-Schnittstelle auf dem Computer des Mitarbeiters kommuniziert über Verschlüsselungsprotokolle mit dem RDP-Komponenten auf dem Server. Obwohl verschlüsselt, ist diese Verbindungsart anfällig für Hacks, die von böswilligen Akteuren genutzt werden, um Ransomware auf den Server eines Unternehmens hochzuladen.
Verschlüsselung
Sobald das System infiziert ist, beginnt die Ransomware, die Dateien des Opfers zu verschlüsseln. Krypto-Ransomware verwendet Verschlüsselungsmethoden wie zum Beispiel:
- RSA (Rivest–Shamir–Adleman): Ein asymmetrischer Verschlüsselungsalgorithmus, der ein öffentliches und privates Schlüsselpaar verwendet. Der öffentliche Schlüssel verschlüsselt die Dateien, und der private Schlüssel, den der Angreifer besitzt, wird benötigt, um sie zu entschlüsseln.
- AES (Advanced Encryption Standard): Eine symmetrische Verschlüsselungsmethode, bei der der gleiche Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Die Ransomware verwendet dies, um Dateien zu verschlüsseln, und der Schlüssel wird beim Angreifer gespeichert.
Die Malware zielt auf Dateitypen ab, einschließlich Dokumente, Bilder, Videos und Datenbanken, alles, was für das Opfer von Wert sein könnte. Während dieses Prozesses bemerken Benutzer möglicherweise nicht einmal, dass ihre Daten gesperrt werden, bis die Verschlüsselung abgeschlossen ist, was sie ohne sofortige Wiederherstellungsoptionen zurücklässt.
Eines der bemerkenswerten Muster bei großen Ransomware-Angriffen ist, dass sie während der Feiertage oder zu Zeiten stattfinden, wenn die Mehrheit des Personals nicht online ist, um eine Entdeckung zu vermeiden.
Lösegeldforderung
Quelle: Beweispunkt
Nach der Verschlüsselung der Daten zeigt das Ransomware dem Opfer in der Regel über ein Pop-up-Fenster, eine Textdatei oder eine HTML-Seite eine Lösegeldforderung an.
Ein Lösegeldforderungsbildschirm, der Bitcoin im Austausch gegen den privaten Schlüssel verlangt
Quelle: Varonis
Der Lösegeldbetrag wird in der Regel in Bitcoin oder Monero mit einem Link zu einer Zahlungsseite oder einer Methode zur Kontaktaufnahme mit den Angreifern (manchmal im Dark Web gehostet) gefordert.
Quelle: Proofpoint
Wenn das Opfer der Forderung nachkommt und den geforderten Betrag überweist, können die Angreifer den Entschlüsselungsschlüssel zur Freischaltung der Dateien bereitstellen. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Angreifer dies auch tun werden. In einigen Fällen erhalten Opfer selbst nach der Zahlung niemals den Entschlüsselungsschlüssel oder sie werden mit zusätzlichen Lösegeldforderungen konfrontiert.
Cybersicherheitsexperten und Strafverfolgungsbehörden raten von der Zahlung von Lösegeldern ab, da Cyberkriminelle zu doppelter Erpressung übergehen können, bei der Angreifer nicht nur die Dateien des Opfers verschlüsseln, sondern auch sensible Daten stehlen. Sie drohen dann, die Daten zu veröffentlichen oder zu verkaufen, wenn ein weiteres Lösegeld nicht gezahlt wird.
Bemerkenswerte Krypto-Ransomware-Angriffe
WannaCry (2017)
WannaCry ist einer der bekanntesten und weit verbreiteten Ransomware-Angriffe in der Geschichte. Es nutzte eine Schwachstelle in Microsoft Windows namens EternalBlue aus, die zuvor von der Hackergruppe Shadow Brokers von der NSA gestohlen wurde. WannaCry betraf über 200.000 Computer in 150 Ländern, darunter auch große Institutionen wie der National Health Service (NHS) in Großbritannien, FedEx und Renault. Es verursachte weitreichende Störungen, insbesondere in Gesundheitssystemen, wo Patientendienste stark beeinträchtigt wurden.
Ein WannaCry-Lösegeldhinweis
Quelle:CyberSpades
Die Angreifer verlangten $ 300$ in Bitcoin im Austausch gegen einen Entschlüsselungsschlüssel, obwohl viele Opfer ihre Daten auch nach der Zahlung nicht wiederherstellen konnten. Der Angriff wurde schließlich von einem Sicherheitsforscher gestoppt, der einen in den Code der Malware eingebetteten „Kill-Switch“ aktivierte, jedoch nicht, bevor er Milliarden von Dollar an Schäden verursachte.
NotPetya (2017)
NotPetya war eine doppelte Havoc-Malware, die als Ransomware und als Wiper-Malware diente, um Zerstörung zu verursachen, anstatt ein Lösegeld zu erpressen.
Eine NotPetya Lösenotiz
Quelle: Sicherheitsabrisse
Die Malware schien eine Bitcoin-Lösegeldforderung zu stellen, aber selbst nach Zahlung war eine Wiederherstellung der verschlüsselten Daten unmöglich, was darauf hindeutet, dass finanzieller Gewinn nicht das eigentliche Ziel war. Anders als bei herkömmlicher Ransomware schien NotPetya politisch motiviert zu sein und zielte auf die Ukraine während einer Phase geopolitischer Spannungen mit Russland ab. Obwohl es sich schließlich global verbreitete, verursachte es erhebliche Schäden bei großen multinationalen Unternehmen wie Maersk, Merck und FedEx und führte zu geschätzten weltweiten finanziellen Verlusten von über 10 Milliarden US-Dollar.
DarkSide (2021)
DarkSide erlangte weltweite Aufmerksamkeit, nachdem es die Colonial Pipeline, die größte Kraftstoffleitung in den Vereinigten Staaten, angegriffen hatte, was zu Kraftstoffknappheit entlang der Ostküste führte. Der Angriff unterbrach die Kraftstoffversorgung und führte zu weit verbreitetem Panikkauf. Die Colonial Pipeline zahlte schließlich ein Lösegeld von 4,4 Millionen Dollar in Bitcoin, obwohl das FBI später einen Teil dieses Lösegelds wiedererlangte.
Ein DarkSide-Lösegeldhinweis
Quelle: KrebsonSecurity
Ransomware-as-a-Service
RaaS ist ein Geschäftsmodell, bei dem Ransomware-Ersteller ihre bösartige Software an Partner oder andere Cyberkriminelle vermieten. Partner nutzen diese Software, um Angriffe durchzuführen und teilen sich die Lösegeldgewinne mit den Ransomware-Entwicklern.
REvil
REvil (auch bekannt als Sodinokibi) ist eine der fortschrittlichsten Ransomware-Gruppen und agiert als Ransomware-as-a-Service (RaaS) Betrieb.
REvil wurde mit hochkarätigen Angriffen auf globale Organisationen in Verbindung gebracht, darunter JBS (der weltweit größte Fleischlieferant) und Kaseya, ein Softwareunternehmen. Dies betraf über 1.000 Unternehmen, die auf seine Softwareprodukte angewiesen waren.
Clop
Quelle: BleepingComputer
Clop ist eine weitere Ransomware als Service (RaaS), die groß angelegte Spear-Phishing-Kampagnen gegen Unternehmen durchführt und hohe Lösegeldforderungen stellt. Die Betreiber von Clop nutzen die Doppel-Erpressungstechnik: Sie stehlen Daten, bevor sie sie verschlüsseln, und drohen, sensible Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Im Jahr 2020 war Clop für einen massiven Datenverstoß verantwortlich, der mit der Accellion Dateiübertragungssoftware in Verbindung gebracht wurde und mehrere Universitäten, Finanzinstitute und Regierungsbehörden betraf.
Verteidigung gegen Krypto-Ransomware
Die effektivste Verteidigung beginnt damit, Malware daran zu hindern, in Ihr System einzudringen. Hier sind einige Maßnahmen, die Ihren Computer vor Ransomware schützen können.
Cybersicherheitsbewusstsein
Benutzer und Mitarbeiter sollten geschult werden, um Bedrohungen wie Phishing-E-Mails oder verdächtige Anhänge zu erkennen und darauf zu reagieren. Regelmäßiges Sensibilisierungstraining für Cybersicherheit kann das Risiko unbeabsichtigter Infektionen erheblich reduzieren.
Software-Updates
Regelmäßige Updates und Patches für Betriebssysteme, Anwendungen und Sicherheitssoftware reduzieren das Risiko von Angriffen durch Begrenzung der Exposition gegenüber Ransomware, die durch veraltete Software verursacht wird.
Datensicherung
Wenn ein Ransomware-Angriff auftritt, ermöglicht es ein aktuelles Backup dem Opfer, seine Daten ohne Lösegeldzahlung wiederherzustellen. Backups sollten offline oder in Cloud-Umgebungen gespeichert werden, die nicht direkt mit dem Netzwerk verbunden sind, um sie vor einer Infektion durch die Ransomware zu schützen.
E-Mail-Filter
E-Mail-Filterungssysteme scannen eingehende Nachrichten nach verdächtigen Links, Anhängen oder Merkmalen. Diese Filter können E-Mails blockieren, die bekannte schädliche Elemente enthalten, bevor sie die Posteingänge der Benutzer erreichen.
Netzwerksegmentierung und Zugriffssteuerung
Die Netzwerksegmentierung begrenzt die Ausbreitung von Ransomware, sobald sie Ihr System infiltriert, selbst wenn ein Teil des Netzwerks kompromittiert ist, kann der Schaden begrenzt werden. Experten empfehlen, sensible Systeme und Daten von regulären Operationen zu trennen und den Zugang zu kritischen Bereichen einzuschränken.
Zugriffskontrollen wie die Multi-Faktor-Authentifizierung (MFA) und das Prinzip des geringsten Privilegs (Benutzern nur den benötigten Zugriff zu gewähren) können den Benutzerzugriff begrenzen. Wenn ein Angreifer Zugriff auf ein Konto oder System erhält, können Segmentierung und Zugriffskontrollen die laterale Bewegung im Netzwerk verhindern und so die Ausbreitung des Ransomware begrenzen.
Endpoint Detection and Response (EDR) Lösungen
EDR-Lösungen bieten kontinuierliche Überwachung und Analyse von Endpunktaktivitäten, um frühe Anzeichen einer Ransomware-Infektion zu erkennen. Diese Tools können automatisch auf verdächtiges Verhalten reagieren, infizierte Geräte isolieren und die Verbreitung von Ransomware im gesamten Netzwerk verhindern.
Schlussfolgerung
Crypto-Ransomware verdeutlicht eine der missbräuchlichen Verwendungen von Kryptowährungen, bei der Kriminelle die Anonymität der Blockchain-Technologie ausnutzen. Obwohl in Bezug auf Kryptowährungen als Lösegeld nicht viel getan werden kann, sind die besten Maßnahmen, Benutzer und Systeme vor Ransomware-Infektionen zu schützen, indem man Phishing-Links vermeidet und regelmäßige Softwareupdates durchführt.
Außerdem gewährleistet die regelmäßige Sicherung von Daten, dass wichtige Dateien ohne Zahlung eines Lösegeldes wiederhergestellt werden können, falls ein Angriff erfolgt. Die Segmentierung des Netzwerks dient als eine weitere wichtige Abwehrmaßnahme, da sie die Ausbreitung von Ransomware begrenzt und sie auf bestimmte Teile des Systems beschränkt, um nicht betroffene Bereiche zu schützen.
Verwandte Artikel
Wie man ETH Staket?
Was ist Solana?
Was ist Dogecoin?
Was ist Krypto-Ransomware? Eine ausführliche Studie
Was ist Ransomware?
Wie Krypto-Ransomware funktioniert
Bemerkenswerte Krypto-Ransomware-Angriffe
Ransomware-as-a-Service
Verteidigung gegen Krypto-Ransomware
Schlussfolgerung
Einführung
Mit dem zunehmenden Vertrauen in die digitale Infrastruktur wird der Einfluss von Ransomware-Angriffen immer schwerwiegender, da sie den täglichen Betrieb stören und finanzielle Verluste verursachen. Die Festnahme von Cyberkriminellen gestaltet sich schwieriger, da sie auf raffinierte Methoden zurückgreifen, um ihre Spuren zu verwischen. Ein solches Werkzeug, das sie angenommen haben, ist Kryptowährung für den Erhalt von Lösegeldzahlungen. Sie nutzen die dezentrale und pseudonyme Natur von Kryptowährungen als bevorzugte Zahlungsform. Allein im Jahr 2023 führten Ransomware-Angriffe zu über 1 Milliarde US-Dollar an Lösegeldzahlungen, berichtetvon der Blockchain-Analysefirma Chainalysis.
Was ist Ransomware?
Ransomware ist bösartige Software, die darauf ausgelegt ist, die Daten eines Systems zu verschlüsseln, sodass sie erst nach Zahlung eines Lösegelds wieder zugänglich sind. Dieser Cyberangriff zielt auf Einzelpersonen, Unternehmen und Regierungsorganisationen ab, wobei Schwachstellen in ihren Systemen ausgenutzt werden, um unbefugten Zugriff zu erlangen. Sobald die Malware eingesetzt wird, verschlüsselt sie Dateien und verlangt eine Zahlung, in der Regel in Kryptowährung, um die Daten zu entschlüsseln.
Obwohl das Hauptziel von Ransomware-Angriffen in erster Linie finanzieller Natur ist, wird sie in einigen Fällen auch eingesetzt, um operative Störungen zu verursachen, unbefugten Zugriff auf sensible Informationen zu erlangen oder Organisationen unter Druck zu setzen, um anderen Forderungen nachzukommen. Sie wurde auch als Werkzeug für Cyberkriegsführung zwischen Ländern mit politischen Spannungen eingesetzt.
Geschichte und Entwicklung von Ransomware
Der erste bekannte Ransomware-Angriff war der AIDS Trojaner im Jahr 1988, auch PC Cyborg Virus genannt. Es wurde über Disketten an Teilnehmer einer Konferenz der Weltgesundheitsorganisation verteilt. Nach einer bestimmten Anzahl von Computer-Neustarts verschlüsselte der Trojaner Dateien und verlangte ein Lösegeld von 189 $, das an eine Postfachadresse in Panama gezahlt werden musste. Dieser Angriff verwendete im Vergleich zu heutigen Standards primitive Verschlüsselung, legte aber den Grundstein für moderne Ransomware. Ab 2006 wurde Advanced RSA-Verschlüsselung verwendet, um Ransomware auf Websites und durch Spam-E-Mails zu verbreiten, wobei Lösegeldzahlungen mit Gutscheinen, Paysafecards und anderen elektronischen Methoden erfolgten, die schwer zu verfolgen waren.
Quelle:Chainalysis
Ab 2010 begannen Angreifer, Lösegeld in einer pseudonymen Währung zu fordern, die viel schwieriger zurückzuverfolgen war, als Bitcoin an Popularität gewann. Seitdem wurden neuere und raffiniertere Modelle von Ransomware entwickelt, die eine kriminelle Industrie aufgebaut haben, die von 2019 bis 2024 über 3 Milliarden US-Dollar angehäuft hat.
Die Rolle von Kryptowährungen bei Ransomware
Eine der wichtigsten Eigenschaften von Kryptowährungen, insbesondere Bitcoin, ist ihre pseudonyme Natur. Während Transaktionen in der Blockchain aufgezeichnet werden, sind die Identitäten der beteiligten Parteien durch Brieftaschenadressen maskiert, was es schwierig macht, den Angreifer zurückzuverfolgen. Traditionelle Zahlungssysteme wie Kreditkarten und Banküberweisungen hinterlassen klare Identitätsspuren, die die Strafverfolgungsbehörden zur Untersuchung von Cyberkriminellen nutzen können.
Da Bitcoin-Transaktionen öffentlich auf der Blockchain nachverfolgbar sind, haben einige Cyberkriminelle auf datenschutzorientierte Kryptowährungen wie Monero umgestellt, die Anonymitätsfunktionen bieten und Stealth-Adressen und Ring-Signaturen verwenden, um Transaktionsdetails weiter zu verschleiern.
Wie Krypto-Ransomware funktioniert
Krypto-Ransomware dringt in der Regel über Phishing-E-Mails, bösartige Downloads oder die Ausnutzung von Systemanfälligkeiten in ein Zielsystem ein. Sobald sie sich im Inneren befindet, verschlüsselt die Malware Dateien auf dem Computer oder Netzwerk des Opfers mithilfe komplexer Verschlüsselungsalgorithmen, wodurch die Daten unzugänglich werden.
Quelle: ComodoSSL
Die Betriebsstufen werden in Phasen ausgeführt;
- Infektion
- Verschlüsselung
- Lösegeldforderung
Infektion
Krypto-Ransomware gelangt über Kanäle wie z.B. in das Gerät des Opfers;
Phishing-E-Mails: Cyberkriminelle senden E-Mails, die so aussehen, als kämen sie von legitimen Quellen, und täuschen Empfänger, indem sie auf bösartige Links klicken oder infizierte Anhänge herunterladen. Diese Dateien geben sich oft als wichtige Dokumente oder Updates aus und tarnen ihre tatsächliche Natur.
Veraltete Software: Ransomware kann Fehler in veralteten Versionen von Betriebssystemen oder Anwendungen ausnutzen. Dies wurde beim WannaCry-Angriff deutlich, der einen Exploit in Microsoft Windows verwendete.
Malvertising: Benutzer können unwissentlich mit betrügerischen Anzeigen interagieren, um gefälschte Software-Updates herunterzuladen, die zur Installation von Ransomware führen.
Hacks des Remote Desktop-Protokolls: Das Remote Desktop-Protokoll (RDP) wird verwendet, um eine Remote-Verbindung zu einem Server in Situationen aufrechtzuerhalten, in denen Mitarbeiter einer Organisation von verschiedenen Standorten aus arbeiten. Die RDP-Schnittstelle auf dem Computer des Mitarbeiters kommuniziert über Verschlüsselungsprotokolle mit dem RDP-Komponenten auf dem Server. Obwohl verschlüsselt, ist diese Verbindungsart anfällig für Hacks, die von böswilligen Akteuren genutzt werden, um Ransomware auf den Server eines Unternehmens hochzuladen.
Verschlüsselung
Sobald das System infiziert ist, beginnt die Ransomware, die Dateien des Opfers zu verschlüsseln. Krypto-Ransomware verwendet Verschlüsselungsmethoden wie zum Beispiel:
- RSA (Rivest–Shamir–Adleman): Ein asymmetrischer Verschlüsselungsalgorithmus, der ein öffentliches und privates Schlüsselpaar verwendet. Der öffentliche Schlüssel verschlüsselt die Dateien, und der private Schlüssel, den der Angreifer besitzt, wird benötigt, um sie zu entschlüsseln.
- AES (Advanced Encryption Standard): Eine symmetrische Verschlüsselungsmethode, bei der der gleiche Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Die Ransomware verwendet dies, um Dateien zu verschlüsseln, und der Schlüssel wird beim Angreifer gespeichert.
Die Malware zielt auf Dateitypen ab, einschließlich Dokumente, Bilder, Videos und Datenbanken, alles, was für das Opfer von Wert sein könnte. Während dieses Prozesses bemerken Benutzer möglicherweise nicht einmal, dass ihre Daten gesperrt werden, bis die Verschlüsselung abgeschlossen ist, was sie ohne sofortige Wiederherstellungsoptionen zurücklässt.
Eines der bemerkenswerten Muster bei großen Ransomware-Angriffen ist, dass sie während der Feiertage oder zu Zeiten stattfinden, wenn die Mehrheit des Personals nicht online ist, um eine Entdeckung zu vermeiden.
Lösegeldforderung
Quelle: Beweispunkt
Nach der Verschlüsselung der Daten zeigt das Ransomware dem Opfer in der Regel über ein Pop-up-Fenster, eine Textdatei oder eine HTML-Seite eine Lösegeldforderung an.
Ein Lösegeldforderungsbildschirm, der Bitcoin im Austausch gegen den privaten Schlüssel verlangt
Quelle: Varonis
Der Lösegeldbetrag wird in der Regel in Bitcoin oder Monero mit einem Link zu einer Zahlungsseite oder einer Methode zur Kontaktaufnahme mit den Angreifern (manchmal im Dark Web gehostet) gefordert.
Quelle: Proofpoint
Wenn das Opfer der Forderung nachkommt und den geforderten Betrag überweist, können die Angreifer den Entschlüsselungsschlüssel zur Freischaltung der Dateien bereitstellen. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Angreifer dies auch tun werden. In einigen Fällen erhalten Opfer selbst nach der Zahlung niemals den Entschlüsselungsschlüssel oder sie werden mit zusätzlichen Lösegeldforderungen konfrontiert.
Cybersicherheitsexperten und Strafverfolgungsbehörden raten von der Zahlung von Lösegeldern ab, da Cyberkriminelle zu doppelter Erpressung übergehen können, bei der Angreifer nicht nur die Dateien des Opfers verschlüsseln, sondern auch sensible Daten stehlen. Sie drohen dann, die Daten zu veröffentlichen oder zu verkaufen, wenn ein weiteres Lösegeld nicht gezahlt wird.
Bemerkenswerte Krypto-Ransomware-Angriffe
WannaCry (2017)
WannaCry ist einer der bekanntesten und weit verbreiteten Ransomware-Angriffe in der Geschichte. Es nutzte eine Schwachstelle in Microsoft Windows namens EternalBlue aus, die zuvor von der Hackergruppe Shadow Brokers von der NSA gestohlen wurde. WannaCry betraf über 200.000 Computer in 150 Ländern, darunter auch große Institutionen wie der National Health Service (NHS) in Großbritannien, FedEx und Renault. Es verursachte weitreichende Störungen, insbesondere in Gesundheitssystemen, wo Patientendienste stark beeinträchtigt wurden.
Ein WannaCry-Lösegeldhinweis
Quelle:CyberSpades
Die Angreifer verlangten $ 300$ in Bitcoin im Austausch gegen einen Entschlüsselungsschlüssel, obwohl viele Opfer ihre Daten auch nach der Zahlung nicht wiederherstellen konnten. Der Angriff wurde schließlich von einem Sicherheitsforscher gestoppt, der einen in den Code der Malware eingebetteten „Kill-Switch“ aktivierte, jedoch nicht, bevor er Milliarden von Dollar an Schäden verursachte.
NotPetya (2017)
NotPetya war eine doppelte Havoc-Malware, die als Ransomware und als Wiper-Malware diente, um Zerstörung zu verursachen, anstatt ein Lösegeld zu erpressen.
Eine NotPetya Lösenotiz
Quelle: Sicherheitsabrisse
Die Malware schien eine Bitcoin-Lösegeldforderung zu stellen, aber selbst nach Zahlung war eine Wiederherstellung der verschlüsselten Daten unmöglich, was darauf hindeutet, dass finanzieller Gewinn nicht das eigentliche Ziel war. Anders als bei herkömmlicher Ransomware schien NotPetya politisch motiviert zu sein und zielte auf die Ukraine während einer Phase geopolitischer Spannungen mit Russland ab. Obwohl es sich schließlich global verbreitete, verursachte es erhebliche Schäden bei großen multinationalen Unternehmen wie Maersk, Merck und FedEx und führte zu geschätzten weltweiten finanziellen Verlusten von über 10 Milliarden US-Dollar.
DarkSide (2021)
DarkSide erlangte weltweite Aufmerksamkeit, nachdem es die Colonial Pipeline, die größte Kraftstoffleitung in den Vereinigten Staaten, angegriffen hatte, was zu Kraftstoffknappheit entlang der Ostküste führte. Der Angriff unterbrach die Kraftstoffversorgung und führte zu weit verbreitetem Panikkauf. Die Colonial Pipeline zahlte schließlich ein Lösegeld von 4,4 Millionen Dollar in Bitcoin, obwohl das FBI später einen Teil dieses Lösegelds wiedererlangte.
Ein DarkSide-Lösegeldhinweis
Quelle: KrebsonSecurity
Ransomware-as-a-Service
RaaS ist ein Geschäftsmodell, bei dem Ransomware-Ersteller ihre bösartige Software an Partner oder andere Cyberkriminelle vermieten. Partner nutzen diese Software, um Angriffe durchzuführen und teilen sich die Lösegeldgewinne mit den Ransomware-Entwicklern.
REvil
REvil (auch bekannt als Sodinokibi) ist eine der fortschrittlichsten Ransomware-Gruppen und agiert als Ransomware-as-a-Service (RaaS) Betrieb.
REvil wurde mit hochkarätigen Angriffen auf globale Organisationen in Verbindung gebracht, darunter JBS (der weltweit größte Fleischlieferant) und Kaseya, ein Softwareunternehmen. Dies betraf über 1.000 Unternehmen, die auf seine Softwareprodukte angewiesen waren.
Clop
Quelle: BleepingComputer
Clop ist eine weitere Ransomware als Service (RaaS), die groß angelegte Spear-Phishing-Kampagnen gegen Unternehmen durchführt und hohe Lösegeldforderungen stellt. Die Betreiber von Clop nutzen die Doppel-Erpressungstechnik: Sie stehlen Daten, bevor sie sie verschlüsseln, und drohen, sensible Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Im Jahr 2020 war Clop für einen massiven Datenverstoß verantwortlich, der mit der Accellion Dateiübertragungssoftware in Verbindung gebracht wurde und mehrere Universitäten, Finanzinstitute und Regierungsbehörden betraf.
Verteidigung gegen Krypto-Ransomware
Die effektivste Verteidigung beginnt damit, Malware daran zu hindern, in Ihr System einzudringen. Hier sind einige Maßnahmen, die Ihren Computer vor Ransomware schützen können.
Cybersicherheitsbewusstsein
Benutzer und Mitarbeiter sollten geschult werden, um Bedrohungen wie Phishing-E-Mails oder verdächtige Anhänge zu erkennen und darauf zu reagieren. Regelmäßiges Sensibilisierungstraining für Cybersicherheit kann das Risiko unbeabsichtigter Infektionen erheblich reduzieren.
Software-Updates
Regelmäßige Updates und Patches für Betriebssysteme, Anwendungen und Sicherheitssoftware reduzieren das Risiko von Angriffen durch Begrenzung der Exposition gegenüber Ransomware, die durch veraltete Software verursacht wird.
Datensicherung
Wenn ein Ransomware-Angriff auftritt, ermöglicht es ein aktuelles Backup dem Opfer, seine Daten ohne Lösegeldzahlung wiederherzustellen. Backups sollten offline oder in Cloud-Umgebungen gespeichert werden, die nicht direkt mit dem Netzwerk verbunden sind, um sie vor einer Infektion durch die Ransomware zu schützen.
E-Mail-Filter
E-Mail-Filterungssysteme scannen eingehende Nachrichten nach verdächtigen Links, Anhängen oder Merkmalen. Diese Filter können E-Mails blockieren, die bekannte schädliche Elemente enthalten, bevor sie die Posteingänge der Benutzer erreichen.
Netzwerksegmentierung und Zugriffssteuerung
Die Netzwerksegmentierung begrenzt die Ausbreitung von Ransomware, sobald sie Ihr System infiltriert, selbst wenn ein Teil des Netzwerks kompromittiert ist, kann der Schaden begrenzt werden. Experten empfehlen, sensible Systeme und Daten von regulären Operationen zu trennen und den Zugang zu kritischen Bereichen einzuschränken.
Zugriffskontrollen wie die Multi-Faktor-Authentifizierung (MFA) und das Prinzip des geringsten Privilegs (Benutzern nur den benötigten Zugriff zu gewähren) können den Benutzerzugriff begrenzen. Wenn ein Angreifer Zugriff auf ein Konto oder System erhält, können Segmentierung und Zugriffskontrollen die laterale Bewegung im Netzwerk verhindern und so die Ausbreitung des Ransomware begrenzen.
Endpoint Detection and Response (EDR) Lösungen
EDR-Lösungen bieten kontinuierliche Überwachung und Analyse von Endpunktaktivitäten, um frühe Anzeichen einer Ransomware-Infektion zu erkennen. Diese Tools können automatisch auf verdächtiges Verhalten reagieren, infizierte Geräte isolieren und die Verbreitung von Ransomware im gesamten Netzwerk verhindern.
Schlussfolgerung
Crypto-Ransomware verdeutlicht eine der missbräuchlichen Verwendungen von Kryptowährungen, bei der Kriminelle die Anonymität der Blockchain-Technologie ausnutzen. Obwohl in Bezug auf Kryptowährungen als Lösegeld nicht viel getan werden kann, sind die besten Maßnahmen, Benutzer und Systeme vor Ransomware-Infektionen zu schützen, indem man Phishing-Links vermeidet und regelmäßige Softwareupdates durchführt.
Außerdem gewährleistet die regelmäßige Sicherung von Daten, dass wichtige Dateien ohne Zahlung eines Lösegeldes wiederhergestellt werden können, falls ein Angriff erfolgt. Die Segmentierung des Netzwerks dient als eine weitere wichtige Abwehrmaßnahme, da sie die Ausbreitung von Ransomware begrenzt und sie auf bestimmte Teile des Systems beschränkt, um nicht betroffene Bereiche zu schützen.
Verwandte Artikel
Wie man ETH Staket?
Was ist Solana?