Seit Anfang Jahr wurden weltweit hunderttausende Computer mit Ransomware infiziert. Darunter auch Computer zahlreicher Schweizer Firmen. Bei der Melde- und Analysestelle MELANI des Bundes stehen Verschlüsselungstrojaner, wie Ransomware auf Deutsch heisst, bei den aktuellen Gefahren seit längerem auf dem ersten Platz.
[simple-google-ads-ad-tag id=“ip_content_banner“]
In den letzten zwei Monaten waren gleich zwei grosse Ransomware-Wellen in den Medien, Wanna Cry und NotPetya. Betroffen waren neben zahlreichen Unternehmen (Deutsche Bahn, Renault, FedEx, Merck) auch öffentliche Institutionen, darunter mehrere Spitäler und die Strahlenmessstation in Chernobyl.
Ransomware erhält man in vielen Fällen per Email. Die Infektion ist aber auch durch einen schädlichen Download oder über das lokale Netzwerk möglich. Im Falle des Verschlüsselungstrojaners NotPetya Ende Juni erfolgte die anfängliche Verteilung der Schadsoftware vermutlich über ein offizielles Update der Buchhaltungssoftware. Anschliessend wurde eine Schwachstelle in Windows genutzt, um die Malware im Netzwerk weiterzuverteilen. Diese bekannte Schwachstelle, Eternal Blue genannt, wurde in der Vergangenheit vom NSA genutzt, um sich Zugriff auf fremde Computer zu verschaffen.
Da die Lösegeldforderung bei NotPetya sehr stümperhaft gemacht wurde und die anfängliche Infektion vor allem die Ukraine getroffen hat, gehen viele Sicherheitsexperten davon aus, dass dieser Angriff staatlich organisiert oder zumindest gesponsert wurde.
Ist der Computer infiziert, beginnt die Schadsoftware mit der Verschlüsselung der lokalen Festplatte und der verbundenen Netzlaufwerke. Sind die Dateien fertig verschlüsselt, wird der Computer blockiert und eine Lösegeldforderung wird angezeigt. Das Lösegeld für das Entschlüsseln der Dateien und Entsperren des Computers wird immer in der anonymen Währung Bit-Coin verlangt.
Das spannende an Bit-Coin ist, dass jede Transaktion in der so genannten Blockchain aufgezeichnet wird und so durch jedermann eingesehen werden kann. Die Blockchain ist vergleichbar mit einem grossen, digitalen Kassabuch, in dem jede Überweisung für immer festgehalten wird. Obwohl alle Bit-Coin Transaktionen durch die Blockchain transparent sind, sind die Bit-Coin Accounts vollständig anonym.
Mit Hilfe der Blockchain lässt sich ermitteln, wie viel Lösegeld mit Ransomware erwirtschaftet wurde. Der Twitter-Account @actual_ransom twittert täglich, wie viel auf die drei Bit-Coin Accounts der Wanna Cry-Hacker einbezahlt wurde. Bis zum 20. Juli wurden 337 Zahlungen mit einem Gesamtwert von 120’000 Dollar erfasst. Das Geld wurde bis jetzt nicht von diesen Accounts wegbewegt.
Damit die kriminellen Hacker auf das Lösegeld zugreifen können, müssen Sie es über eine Bit-Coin Börse auszahlen. Bei diesem Vorgang könnte ihre Identität durch die Polizei aufgedeckt werden. Es ist gut möglich, dass die Hacker diesen Betrag, aus Angst aufgespürt zu werden, nie mehr anrühren und in der Blockchain für immer stehen lassen. Denn ihre Bit-Coin Accounts werden sicher noch über viele Jahre hinweg überwacht.
[simple-google-ads-ad-tag id=“ip_content_middle“]
Wie das Geld trotz Blockchain ausbezahlt werden könnte, demonstrieren die Drahtzieher hinter NotPetya, welche lediglich Bit-Coins im Wert von 10’000 Dollar erbeutet haben. Bereits am 4. Juli haben Sie die Bit-Coins vom Erpresser-Account wegtransferiert. Durch den Einsatz eines Bit-Coin Tumblers, haben sie die Spuren in der Blockchain verwischt.
Der Tumbler kombiniert und teilt Bit-Coin Beträge und schleust sie über unzählige Transaktionen zum neuen Besitzer. So können Ursprung und Ziel der Bit-Coins nicht mehr nachvollzogen werden. Das Resultat sind gewaschene Bit-Coins.
Es scheint also durchaus möglich, dass die Hacker auf das erbeutete Geld zugreifen können. Da aber auch die Transaktionen der Bit-Coin Tumbler aufgezeichnet werden, besteht trotzdem die Chance, dass man die Drahtzieher irgendwann erwischt und hinter Gitter bringen kann.
Das Ransomware-Problem wächst jedes Jahr. Mit Wanna Cry wurde im Mai ein neuer Rekord an infizierten Rechnern erreicht. Es ist davon auszugehen, dass es in Zukunft neuere und grössere Ransomware-Angriffe geben wird. Sind öffentliche Institution wie Spitäler, Flughäfen, Ämter, Wasser- oder Energieversorgung betroffen, haben die Angriffe möglicherweise auch einen Einfluss auf das Privatleben, ohne dass der eigene Rechner mit Ransomware infiziert wurde.
Die Schäden, die durch Ransomware verursacht werden, sind um ein Vielfaches höher als das bezahlte Lösegeld. Wollen sich Unternehmen und Institutionen effektiv vor Ransomware schützten, müssen sie in die Sicherheit ihrer IT investieren. Zu den nötigen Sicherheitsmassnahmen gehören neben Anti-Virus auf jedem Rechner und Server, die Schulung und Sensibilisierung der Mitarbeiter sowie ein funktionierendes, tägliches Backup der geschäftskritischen Daten.
„Zwei Dinge sind unendlich,
das Universum und die menschliche Dummheit,
aber bei dem Universum
bin ich mir noch nicht ganz sicher.“
Albert Einstein
* 14. März 1879 † 18. April 1955