Wie funktioniert Ransomware? Ransomware verstehen lernen – Teil II

Wie gelangt sie auf das System?

Zu den häufigsten Angriffsverfahren zählen:

·         Spam und Social Engineering

·         direkte Drive-by-Downloads oder Malvertising

·         Tools und Botnetze zur Installation von Malware

Die ersten Ransomware-Versionen vor einigen Jahren infizierten Computer hauptsächlich, indem Nutzer zum öffnen von schädlichen E-Mail-Anhängen oder mit irreführenden Nachrichten oder Pop-up-Fenstern zum Aufrufen von manipulierten Websites verleitet wurden. Neuere Ransomware-Varianten setzen für ihre Verbreitung mittlerweile auch auf USB-Wechseldatenträger oder den Yahoo Messenger, um als Bilder getae Schadroutinen zu versenden.

Aktuell sorgt CTB Locker für Aufsehen und neue Opfer, die Verbreitung erfolgt über aggressive Spam-Kampagnen. Dabei gibt sich die E-Mail als Faxnachricht aus, die im Anhang ein .zip-Archiv enthält. Greift der Nutzer nun auf die ausführbare Datei in der .zip-Datei zu, werden die Daten auf seinem System verschlüsselt und er wird aufgefordert, eine Lösegeldzahlung zu leisten, um den Schlüssel für die Entschlüsselung zu erhalten. Hier finden Sie weitere Informationen zu CTB Locker.

Die neuesten Varianten können sogar so modifiziert werden, dass sie sich auch ohne menschliches Zutun weiterverbreiten können. In letzter Zeit haben wir eine Zunahme bei der Drive-by-Ransomware gesehen. Derartige Drive-by-Download-Angriffe gehen von manipulierten Websites oder Werbeanzeigen aus, die in aller Regel Sicherheitslücken in Browser-Plugins wie Flash Player, Java, Adobe Reader oder Silverlight ausnutzen. Mit den Tools, die bei diesen Angriffen zum Einsatz kommen, ist eine Ausweitung von Benutzerrechten möglich. Bei dieser Art des Exploits können Angreifer Malware-Programme mit Administrator- oder Systemrechten ausführen und sind somit nicht mehr auf das lokale Benutzerkonto des Opfers angewiesen, das möglicherweise gewissen Einschränkungen unterliegt.

Vorgehensweise

Jede neue Ransomware-Variante kann so ausgelegt werden, dass sie anders vorgeht. Gemeinsam haben sie alle jedoch ihre recht komplexen Verschleierungsverfahren und Startmechanismen, die eine frühzeitige Erkennung verhindern sollen. Die Malware möchte versteckt bleiben und setzt daher auf Vorgehensweisen, die ihre Erkennung und Analyse behindern – so zum Beispiel die Verwendung undurchsichtiger Dateinamen, die Manipulation von Dateieigenschaften oder das Auftreten als vermeintlich harmlose Programme oder Dienste. Die Malware verfügt zudem über zusätzliche Abwehrmechanismen, die es unmöglich machen, die Daten dahinter zu analysieren, wodurch sich das Reverse Engineering als äußerst schwierig erweist.

Man sollte noch hinzufügen, dass die Kommunikationsprotokolle von Ransomware-Programmen längst von Klartext (HTTP) auf Tor und HTTPS aufgerüstet worden sind, wodurch es fast unmöglich wird, die verschlüsselten Unterhaltungen mit den C&C-Servern durch die überwachung des Netzwerkverkehrs nachzuverfolgen. Auch die Dateiverschlüsselung wurde verstärkt. Kurze und hartcodierte Schlüssel wurden inzwischen durch Verschlüsselungsbibliotheken ersetzt, mit denen eine starke, asymmetrische Verschlüsselung möglich ist. Frühere Beispiele wie Cryptolocker und Cryptowall müssen zunächst ihre Server kontaktieren, bevor sie die Verschlüsselung durchführen können.

Lassen Sie uns im Folgenden einen Blick auf Cryptolocker werfen, um besser zu verstehen, wie Ransomware eigentlich funktioniert. Die Cryptolocker-Ransomware wird über eine Zbot-Variante (ein Trojaner, mit dem böswillige Angriffe durchgeführt werden können) installiert. Nach der ersten Ausführung fügt es sich selbst den Startprogrammen hinzu und versucht, Kontakt mit dem Command-and-Control-Center herzustellen. Gelingt dies, übermittelt der Server einen öffentlichen Schlüssel und eine entsprechende Bitcoin-Adresse. Mithilfe asymmetrischer Verschlüsselung beginnt Cryptolocker nun insgesamt mehr als 70 verschiedene Dateitypen auf dem Gerät des Opfers zu verschlüsseln.

Hier eine kurze Erläuterung wie die Verschlüsselung funktioniert:

Quelle: Microsoft

Gleichzeitig werden auf dem Startbildschirm des Nutzers verschiedene – oftmals länderspezifische – Nachrichten oder Anweisungen angezeigt.

Benutzer, deren Systeme infiziert wurden, werden aufgefordert, eine Geldsumme für den auf den Servern des Angreifers gespeicherten privaten Schlüssel zu entrichten. Nach Zahlung des Lösegelds beginnt die Entschlüsselung und ein Fenster zur Bestätigung der Zahlung wird angezeigt. Nach Abschluss der Entschlüsselung werden alle Cryptolocker-Dateien gelöscht.

Dabei gilt es zu beachten, dass man sich nicht auf die Versprechungen der Hacker verlassen sollte, denn auch bei Zahlung des Lösegelds können Sie sich nicht sicher sein, dass Sie Ihre Dateien wirklich wieder verwenden können.

Wer sind die Opfer?

Ransomware betrifft nicht nur Privatcomputer. Auch Unternehmen, Banken, Regierungsbehörden, akademische Einrichtungen und andere Organisationen sind und waren bereits von Ransomware betroffen. Derartige Vorfälle vernichten sensible oder firmeninterne Daten, stören das Tagesgeschäft und sorgen für finanzielle Verluste. Darüber hinaus können sie sich negativ auf das Ansehen eines Unternehmens auswirken. Angreifer haben es gezielt auf Dateien, Datenbanken, CAD-Dateien und Finanzdaten abgesehen. Cryptolocker zum Beispiel war in der Lage, mehr als 70 verschiedene Dateiformate ins Visier zu nehmen, darunter .doc, .img, .av, .src und .cad.

„Ransomware ist eine ernst zu nehmende Bedrohung, sowohl für Computernutzer als auch für Virenschutzhersteller, die durchaus beeindruckende Fähigkeiten mitbringt und bei der Erpressung ihrer Opfer beispiellose Erfolge erzielt“, so Cătălin Coșoi, Chief Security Strategist bei Bitdefender.

Im dritten Teil unserer Serie erfahren Sie, wie Sie Ihre Daten optimal vor Ransomware schützen können.

rn