Schutz vor Ransomware – Ein Leitfaden in vier Teilen, Teil 1 Zahlen oder nicht zahlen – und was haben Bitcoins damit zu tun?

23. März 2016

Insbesondere zwei Eigenschaften haben dafür gesorgt Ransomware als besonders ausgefeilten und schwer zu verhindernden Angriffstypus zu bewerten. Sie ist äußerst stabil beschaffen und das Daten-Kidnapping kann enorme Schäden verursachen. Entweder sind die Dateien unwiederbringlich verloren oder vertrauliche wie kompromittierende Inhalte werden veröffentlicht. Beides nicht gerade wünschenswert. Nur wer die Bedrohung genau kennt, kann passende Vorkehrungen treffen und sein Unternehmen schützen.

Erfolgsgeschichte

Ransomware-Vorfälle verzeichnen einen rasanten Anstieg. Quelle: McAfee/Varonis

Aber es gibt verschiedene Sichtweisen auf die Erfolgsgeschichte der Ransomware. Die Northeastern University veröffentlichte beispielsweise einen Forschungsbericht unter dem Titel: Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, der eine andere als die sonst übliche Haltung zum Thema Ransomware einnimmt. Zwischen 2006 und 2014 analysierten die Forscher insgesamt 1.359 Ransomware-Fälle und kamen zu dem interessanten Schluss, dass „eine genaue Beobachtung der Aktivitäten innerhalb der Filesysteme, und dies trifft auf eine Reihe von Ransomware-Fällen zu, es nahelegt, den Master File Table (MFT) im NTFS-Filesystem besonders zu schützen. Eine genaue Beobachtung hätte es in vielen Fällen ermöglicht, den Angriff nicht nur zu erkennen, sondern auch etliche dieser Zero-Day-Attacken zu verhindern.“ Um das tun zu können, braucht man allerdings ein umfassendes Verständnis davon wie solche Angriffe funktionieren, welche Rolle die digitale Währung Bitcoin dabei spielt und welche unterschiedlichen Typen, Varianten und Methoden es bei Ransomware gibt.

Bitcoin ist eine der digitalen Währungen, die es erlaubt, Waren und Dienstleistungen anonym zu bezahlen. Entweder über die entsprechende App auf dem Mobiltelefon oder über einen Computer – das ist eigentlich nicht komplizierter als würde man mit Kreditkarte zahlen. Die Bitcoins werden in einer digitalen Geldbörse gespeichert, entweder in der Cloud oder auf dem Computer des betreffenden Nutzers. Im Prinzip funktioniert das wie ein normales Online-Konto – allerdings mit einigen Unterschieden: So ist die Währung beispielsweise nicht über die FDIC (Federal Deposit Insurance Corporation) abgesichert und sie ist nicht an eine bestimmte Nation gekoppelt. Bitcoins unterliegen also keiner der damit verbundenen Richtlinien und Regulierungen – und es existieren keine Kreditkartengebühren.

Jede Bitcoin-Transaktion befindet sich auf einem Public Log. Die Namen von Käufern und Verkäufern bleiben anonym, es wird lediglich die ID der jeweiligen digitalen Geldbörse angezeigt. Dieses Prinzip gestattet beiden Seiten, Geschäfte zu tätigen, die sich nicht einer bestimmten Person zuordnen lassen. Keine große Überraschung, dass Cyberkriminelle Bitcoin schnell als ideale Zahlungsmethode für sich entdeckt haben. Um eine Identifikation zu verhindern, verwenden Cyberkriminelle ihre Bitcoin-Adresse in der Regel nicht mehr als höchstens sechsmal.

Die Opfer werden zumeist aufgefordert, ihre Bitcoin-Lösegeldzahlungen über einen  anonymen Browser wie Tor2web oder das Torproject zu leisten. Die entsprechende URL wird auf einem anonymen Server gehostet. Tor (The Onion Router) macht es vergleichsweise schwierig, den Standort eines bestimmten Servers oder die Identität des jeweiligen Betreibers festzustellen. 

Zahlen oder nicht zahlen?

Im Oktober des letzten Jahres hatte Joseph Bonavolonta, Assistant Special Agent und verantwortlich für das „CYBER and Counterintelligence Program des FBI“, auf dem Cybersecurity Summit empfohlen:  “Ransomware ist so gut, dass wir, wenn ich ehrlich bin, den Betroffenen empfehlen, das Lösegeld zu zahlen. Der Erfolg von Ransomware kommt sozusagen indirekt sogar den Opfern zugute: weil nämlich so viele der Betroffenen zahlen, dass die Malware-Entwickler nicht darauf angewiesen sind, ihren Profit mit einem einzigen Opfer zu ‚erwirtschaften‘. In vielen Fällen bleibt die Summe des zu zahlenden Lösegelds relativ niedrig. Zudem hat die Erfahrung gezeigt, dass die meisten Angreifer Wort halten und den Zugriff auf die Dateien wieder freigeben.”

Die Lösegeldforderungen liegen nach Aussagen des FBI typischerweise zwischen 200 und 10.000 Dollar. Es sind allerdings Fälle bekannt geworden bei denen die Summen weitaus höher lagen. Im Jahr 2014 wurden beispielsweise Dateien der Stadt Detroit verschlüsselt und die Angreifer forderten eine Summe von 2.000 Bitcoins was etwa 800.000 Dollar entspricht. Und natürlich kamen für die Stadt weitere Kosten dazu, um die Folgen des Vorfalls zu beseitigen. 

Und es gibt weitere Fälle: Im November 2014 zahlte das Tennessee Dickson County Sheriff’s Office 622,– Dollar in Bitcoins. Hacker hatten sämtliche Dateien der Fallakten verschlüsselt, so dass die Ermittler nicht mehr auf die Daten zugreifen konnten. Man hatte also die Wahl, entweder sämtliche Daten auf Nimmerwiedersehen zu verlieren und damit praktisch handlungsunfähig zu sein oder die vergleichsweise geringe Summe zu zahlen. Und das tat man dann auch. In diesem Fall hatten die Opfer Glück und konnten nach der Zahlung des Lösegelds wieder auf die Dateien zugreifen.

Keine Garantie

Es gibt allerdings eine ganze Reihe von IT-Sicherheitsexperten, die davon abraten zu zahlen. Schließlich gebe es keinerlei Garantie dafür, tatsächlich wieder auf die verschlüsselten Dateien zugreifen zu können. Zudem macht das Zahlen eines Lösegelds das Problem an sich nicht kleiner und man setzt sich einem höheren Risiko aus, mit zusätzlicher Malware infiziert zu werden. Das Department of Homeland Security beispielsweise rät dringend davon ab mit den Hackern zu verhandeln oder gar zu zahlen. In den USA war eine hitzige Debatte darüber entbrannt, ob das FBI mit seinen Empfehlungen nicht sogar Hacker ermuntert. In der November-Ausgabe des Wall Street Journal sah sich FBI-Sprecherin Kristen Setera genötigt deutlich zu bekunden, dass das FBI nicht grundsätzlich empfehle Lösegelder zu zahlen.

Bevor man sich entscheidet zu zahlen oder nicht, sollte man auf jeden Fall vorher im Internet recherchieren, ob es entsprechende Tools gibt um die Dateien zu entschlüsseln. Wenn ja, gibt es keinen Grund ein Lösegeld zu zahlen. Manchmal finden sich solche Schlüssel bei Ermittlungen gegen Cyberkriminelle auf deren Servern und werden dann im Anschluss von Sicherheitsexperten oder der Polizei öffentlich zugänglich gemacht. Solche Entschlüsselungs-Tools gibt es beispielsweise für CoinVault, TeslaCrypt, oder auch den populären CryptoLocker.

In diesem Zusammenhang liefert eine interdisziplinäre Studie 2014 das Ergebnis, dass mehr als 40 Prozent derer, die Opfer einer CryptoLocker-Attacke geworden sind, das Lösegeld für die verschlüsselten Dateien tatsächlich gezahlt haben. Bevor es dem FBI and Justice Department gelungen ist, die CryptoLocker-Organisation aufzudecken, hatten die Cyberkriminellen in den ersten 100 Tagen bereits mehr als 30 Millionen Dollar erbeutet.

Ein anderer Grund nicht zu zahlen ist, wenn man vermuten darf, dass es sich um einen einigermaßen schlechten Programmierer von Ransomware handelt. Power Worm, beispielsweise zerstört die Daten der Opfer schlussendlich ohnehin. Und warum zahlen, wenn man keine Chance hat, seine Dateien wiederherstellen zu können. Kurz gesagt, es gibt keine einfachen Antworten. (rhh)

David Lin

ist Sicherheitsexperte bei Varonis.

Weitere Quellenangaben:
www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
seclab.ccs.neu.edu/static/publications/dimva2015ransomware.pdf
www.ic3.gov/media/2015/150623.aspx
www.detroitnews.com/story/news/politics/michigan/2014/11/17/north-american-international-cyber-summit/19162001/
www.nbcnews.com/nightly-news/security-experts-you-should-never-pay-ransomware-hackers-n299511
www.nbcnews.com/nightly-news/security-experts-you-should-never-pay-ransomware-hackers-n299511
www.wsj.com/articles/paying-ransoms-to-hackers-stirs-debate-1447106376
https://www.cs.kent.ac.uk/news/?view=338
www.ibtimes.co.uk/cryptolocker-criminals-earn-30-million-100-days-1429607

Hier geht es zu Varonis

Lesen Sie auch