Digitale Erpressung

Ein typischer Erpressungsversuch mit Ransom­ware läuft wie folgt ab: Ein Benutzer bekommt eine Spam-Mail, die von einem glaubwürdig erscheinenden Absender stammt. Solche Spam-Mails werden immer professioneller und lassen sich immer schwieriger als Schadnachrichten identizifieren.

Die Empfänger werden dazu gebracht, angehängte Dateien zu öffnen, die angeblich Rechnungen oder sonstige wichtige Daten beinhalten, um Schadsoftware auf deren Rechnern zu installieren. Dafür werden die E-Mails echter Firmen samt den tatsächlichen Firmen­daten mittlerweile extrem gekonnt nachgeahmt.

Spearfishing: Die populärste Form solcher Phishing-Attacken ist derzeit das Spearfishing. „Dabei werden individuelle E-Mails verfasst, um bei den potenziellen Opfern das Vertrauen zu wecken, dass diese E-Mail an sie persönlich gerichtet ist“, weiß Alexander Vukcevic, Director of Virus Labs bei Avira. Aktuell nutzt diese Methode zum Beispiel der Schädling Petya. E-Mails mit Petya werden in Form einer Bewerbung von gekaperten E-Mail-Adressen aus an die Personalabteilungen von Firmen verschickt.

Botnetze: Für das Versenden der Spam-Mails verwenden die Kriminellen häufig Botnetze – mit einem Trojaner verseuchte Computer, die über das Internet ferngesteuert werden. Es gibt kleine Botnetze mit einer Handvoll ferngesteuerter Rechner und gigantische Netze mit Millionen infizierter Computer.

Bei den angehängten Schaddateien handelt es sich zum Beispiel um Word- oder Excel-Dateien mit gefährlichen Makros. Diese Makros versuchen, die eigentliche Schad­datei auf den Rechner zu laden. Dafür werden eine Reihe von nur kurze Zeit gültigen Einweg-Web­adressen abgefragt, unter denen Schaddateien hinterlegt sind. Wenn eine Adresse nicht erreichbar ist, dann wird die nächste Adresse versucht, bis die Ransomware erfolgreich he­runtergeladen wurde.

Anschließend führt das Makro die Ransom­ware aus. Dazu kontaktiert der Virus einen sogenannten C&C-Server in einem Botnetz. C&C steht für Command and Control. C&C-Server sind Server im Internet, die mit Trojanern befallene Geräte aus der Ferne steuern. „Die Systeme zur Steuerung und Verteilung der Malware wechseln teilweise in weniger als einer Stunde“, so Holger Viehoefer, Manager Alliances & Strategic Partners bei Trend Micro. Von diesen Servern lädt der Erpresservirus einen individuellen Schlüssel herunter. Damit werden dann die Dateien auf dem Rechner sowie auf angeschlossenen Netzlaufwerken verschlüsselt. Zudem werden häufig auch die Schattenkopien in Windows gelöscht, um ein Wiederherstellen der Daten zu verhindern.

Moderne Ramsomware verwendet sichere Verschlüs­selungs­methoden, die sich nicht knacken lassen – wobei die Verschlüsselungsmethode von Virus zu Virus unterschiedlich ist. Eine häufige Variante ist die Nutzung einer asymmetrischen Verschlüsselung. Meist kommt ein un­knackbarer AES-Algorithmus mit einem 256-Bit-Schlüssel zum Einsatz. Der C&C-Server erstellt einen öffentlichen und einen privaten Schlüssel. Mit dem öffentlichen Schlüssel lassen sich Daten zwar verschlüsseln, aber nicht entschlüsseln. Dieser öffentliche Schlüssel wird an den Rechner des Opfers gesendet und für die Verschlüsselung verwendet. Der private Schlüssel verbleibt auf dem C&C-Server und wird erst nach Zahlung des Lösegelds he­rausgegeben.

Exploit-Kits und Drive-by-Downloads: Ein ebenfalls weitverbreiteter Infek­tionsweg für Ransomware sind Exploits – Tools, die Schwachstellen in Programmen ausnutzen und auf diesem Weg Schadsoftware einschleusen. Mit Hilfe sogenannter Exploit-Kits lässt sich auch mit begrenzten Programmierfähigkeiten Ransomware entwickeln. „Damit wird es selbst für unerfahrene Kriminelle relativ leicht, eine eigene Ransomware zusammenzuklicken und diese über – für wenig Geld zu bekommende – Botnetze zu verteilen. Berühmtheit hat der CBT-Locker erlangt, der im großen Stil an Franchisenehmer verkauft wurde“, berichtet F-Secure-Sicherheitsexperte Rüdiger Trost.

Die Exploits finden zum Beispiel über Drive-by-Downloads ihren Weg auf die Computer. Ein Drive-by-Download ist das unbeabsichtigte Herunterladen von Software aus dem Internet allein durch das Aufrufen einer präparierten Webseite. Dafür werden Sicherheitslücken im Browser ausgenutzt.

Server und Fernwartung: Zwei weitere Wege der Verbreitung von Ransomware sind unsichere Server und Zugänge zur Fernwartung. So nutzt zum Beispiel die erwähnte Ransomware CTB-Locker Schwachstellen in Webapplikationen aus und verschlüsselt so den Inhalt von Webservern.

Die Ransomware GPCode durchsucht das Internet nach Fernwartungszugängen wie den Microsoft Remote Desktop. Wurde ein Zugang gefunden, versucht das Tool, das Passwort mittels eines Brute-Force-Angriffs herauszufinden. Mit der Brute-Force-Methode werden alle Passwortkombinationen durchprobiert, bis das richtige aufgespürt wurde. Wenn der Zugang geknackt wurde, wird die Ransomware auf dem Fernwartungsrechner installiert.