Ransomware: Wenn sich Erpressung in die digitale Welt verlagert

Ransomware. Manche assoziieren mit dem Begriff noch immer einen futuristischen Thriller. Die Zeiten, in denen Lösegeld in der Regel im Austausch für eine entführte Person (oder ein Haustier!) verlangt wurde, sind vorbei. Im heutigen virtuellen Zeitalter sind es eher Ihre Daten, die gefährdet sind. Worum handelt es sich also bei diesen digitalen Geiselnehmern, wie gehen sie vor, und vor allem, wie können Sie sich schützen? Und was hat das alles mit einem Evolutionsbiologen aus den späten 1980er Jahren zu tun? Wir haben die Antworten auf Ihre dringlichsten Fragen rund um das Thema Ransomware.    

Alle wichtigen Details: Was ist Ransomware? 

Bei Ransomware (von englisch ransom für „Lösegeld“) handelt es sich um eine Art von Malware, die den Zugriff auf Dateien oder sogar das gesamte Betriebssystem verhindert, bis ein Lösegeld gezahlt wird. Sie sperrt den Bildschirm des Systems oder verschlüsselt Dateien, bis die Forderungen erfüllt werden. Die Opfer von Ransomware erhalten eine Lösegeldforderung, die sie darüber informiert, dass sie einen bestimmten Geldbetrag – häufig in Kryptowährungen – zahlen müssen, um ihr gesperrtes System oder ihre Daten wieder nutzen zu können. In der Regel drohen die Cyberangreifer damit, nach Ablauf einer Zahlungsfrist die Dateien dauerhaft zu löschen oder online zu veröffentlichen. Doch selbst die Zahlung des Lösegelds ist leider keine Garantie dafür, dass die Geschädigten den Schlüssel erhalten, mit dem sie wieder Zugriff auf ihre Daten erhalten. Ehrlichkeit hat unter Dieben nicht unbedingt höchste Priorität …  

Wussten Sie, dass Ransomware einen „Vater“ hat? Der erste dokumentierte Fall war der AIDS-Trojaner von 1989. Der Evolutionsbiologe Joseph L. Popp verschickte 20.000 Disketten mit der Aufschrift „AIDS Information – Introductory Diskettes“ an Teilnehmer der internationalen AIDS-Konferenz der WHO. Sie waren mit einem Trojaner infiziert, der die Dateien auf dem Computer verschlüsselte, und um wieder Zugang zu erhalten, sollten Benutzer 189 Dollar an ein Postfach in Panama schicken. Dr. Popp wurde gefasst, jedoch für verhandlungsunfähig erklärt, nachdem er damit begann, mit einem Pappkarton auf dem Kopf herumzulaufen. (Leider ist ein Papphut kein Schutz vor Ransomware – dazu später mehr.)   

Was macht Ransomware und wie funktioniert sie? 

Jede Ransomware verhält sich etwas anders, aber im Großen und Ganzen kann sie in zwei Kategorien unterteilt werden: Locker-Ransomware und verschlüsselnde Ransomware. Bei der ersten Variante wird das Opfer aus dem Betriebssystem ausgesperrt, sodass der Zugriff auf den Desktop sowie Apps und Daten nicht mehr möglich ist. Bei der zweiten Variante kommen fortschrittliche Verschlüsselungsalgorithmen zum Blockieren von Systemdateien zum Einsatz. Sie ist im Allgemeinen die gängigere der beiden Methoden, aber das Ergebnis ist das gleiche: Das Opfer wird ausgesperrt und erhält eine Lösegeldforderung für die Freigabe seines Systems oder seiner Daten.   

Die im Folgenden beschriebenen Infektionsmethoden sind bei Cyberkriminellen besonders beliebt. Denken Sie daran, dass sie stets den einfachsten Zugang über Hintertüren suchen. Sie lieben auch Nutzer, die wenig Kenntnisse über Cyber-Sicherheit haben und den Angreifern unwissentlich helfen, ihre Ziele zu erreichen. Achten Sie auf:  

• E-Mail-Anhänge: Diese bösartigen Anhänge in scheinbar harmlosen E-Mails können verschiedene Formate haben und z. B. als ZIP-Datei, PDF, Word-Dokument, Excel-Tabelle usw. gesendet werden. Sobald der Anhang geöffnet wird, kann die Ransomware aktiv werden. Manchmal wartet sie aber einige Tage oder sogar noch länger, wie im Fall der Trickbot-Angriffe, bei denen die Ransomware zunächst durch einen Banking-Trojaner verbreitet wurde. Solche E-Mails sind meist gut gestaltet, sodass sie sehr glaubwürdig wirken. Schließlich gilt: Je seriöser die Nachricht aussieht, desto eher öffnen Sie den Anhang.  

Dann kann es zu einem Worst-Case-Szenario wie diesem kommen: Ein Mitarbeiter des University of Vermont Medical Centre öffnete eine infizierte E-Mail-Datei, was zur Folge hatte, dass das größte Krankenhaus des US-Bundesstaats Operationen absagen und einige Krebsbehandlungen verschieben musste. 

• Infizierte URLs: Diese Links finden sich in E-Mails, Posts in sozialen Medien und sogar in SMS-Nachrichten. Um die Leser zum Handeln zu bewegen, versuchen die Botschaften meist, Empörung, Dringlichkeit oder Neugier zu wecken. Wurde da ernsthaft ein Kätzchen in einer Mülltonne entsorgt? Wenn Sie auf den dazugehörigen Link klicken, könnte ein Ransomware-Download ausgelöst werden (immerhin ist vermutlich kein Tier zu Schaden gekommen).  
• Drive-by-Downloads: Es beginnt so unschuldig. Sie besuchen eine vertrauenswürdige Website und merken nicht, dass dort bösartiger Code eingeschleust wurde. Er durchsucht Ihr Gerät nach Sicherheitslücken … und zack! Sobald er eine Schwachstelle entdeckt, z. B. eine veraltete Anwendung, infiltriert er das System und übernimmt die Kontrolle. Auftrag ausgeführt.  
• Malvertising: Online-Werbung kann mehr als nur lästig sein: Sie kann bösartigen Code enthalten, der von Betrügern stammt, die Werbeplätze auf legitimen Websites kaufen und dann infizierte Bilder übermitteln. Es ist schwierig, gefährliche Werbeanzeigen zu erkennen. Daher merken die Benutzer meist nicht, dass sie auf eine bösartige Website umgeleitet werden, sobald sie darauf klicken. Auf dieser Website wird dann bösartiger Code in das System eingeschleust.  
• Remote Desktop Protocol-Exploits: Wenn Sie von zu Hause aus für ein Unternehmen arbeiten, ist es wahrscheinlich, dass Sie sich per Fernzugriff beim Unternehmensnetzwerk anmelden. Das dafür verwendete Kommunikationsprotokoll ist das RDP (Remote Desktop Protocol). Cyberkriminelle suchen im Internet nach Computern mit ungesicherten Ports oder Verbindungen. Anschließend versuchen sie, sich über die Sicherheitslücken oder mit Brute-Force-Angriffen Zugang zum Rechner zu verschaffen und dessen Anmeldedaten zu knacken.  
• USB-Sticks: Machen Sie nicht den altbekannten Fehler, im Büro einen infizierten USB-Stick anzuschließen. Dies kann dazu führen, dass Ransomware nicht nur Ihren lokalen Rechner verschlüsselt, sondern sich möglicherweise über das gesamte Netzwerk ausbreitet. Während ältere Ransomware-Arten nur in der Lage waren, den jeweils infizierten Computer zu verschlüsseln, verbreiten sich fortschrittliche Varianten heutzutage von selbst, sodass sie andere Geräte im gesamten Netzwerk angreifen können. Erfolgreiche Angriffe können ganze Organisationen lahmlegen. Hierfür möchte vermutlich niemand gern die Verantwortung übernehmen.   
• Raubkopierte Software: Auf unlizenzierte Software stößt man überall, aber sie kann mit Ransomware verunreinigt sein, wie im Fall des STOP/Djvu-Virus, der sich ab 2018 zu verbreiten begann und jetzt wieder verstärkt auftritt.  Wenn Sie keine Lösegeld-Zahlungen in Bitcoins zur Freigabe von Dateien leisten möchten, laden Sie nur saubere Original-Software direkt vom Hersteller herunter!

Tipps, wie Sie sich vor dieser Liste der üblichen Ransomware-Verdächtigen schützen können, finden Sie am Ende dieses Blogs: Springen Sie jetzt dorthin oder lesen Sie einfach weiter …  

Besonders stark von Cyberangriffen betroffene Branchen und einige wichtige Ransomware-Beispiele 

Cyberangreifer suchen sich in der Regel Opfer aus, von denen sie den größten finanziellen Gewinn erwarten können. Wenn Sie jedoch glauben, dass Sie oder Ihr Unternehmen zu klein und uninteressant sind, liegen Sie falsch. Ransomware kann gegen alle Arten von Organisationen sowohl im privaten als auch im öffentlichen Sektor eingesetzt werden – es geht nicht nur um Konzerne mit 50.000 Mitarbeitern. Die folgenden Bereiche gehören zu den häufigsten Zielen: Bildungswesen (einschließlich Schulen, Hochschulen und Universitäten), Gesundheitswesen, Unternehmens- und Rechtsdienstleistungen, Einzelhandel, Behörden, IT, verarbeitendes Gewerbe und Energie/Versorgung.   

Vertrauliche Daten sind für Ransomware-Hacker oft besonders lukrativ, weil Unternehmen sie unbedingt zurückerhalten wollen. Aus diesem Grund sind Schulen und Krankenhäuser ein beliebtes Ziel – hier werden viele sensible Daten gespeichert. Nehmen wir als Beispiel die Angriffe auf den nationalen irischen Gesundheitsdienst im Jahr 2021. Die kriminelle Bande „Wizard Spider“ legte alle Services lahm und forderte Berichten zufolge 20 Millionen US-Dollar für die Wiederherstellung. Die Folge war ein Quasi-Ausfall der Netzwerke, und in einigen Gebieten fielen bis zu 80 % der medizinischen Termine aus.   

Ähnlich verhält es sich mit professionellen Dienstleistungen wie Rechts- und Beratungsdiensten, bei denen häufig eine große Menge an vertraulichen Informationen zu finden ist. Außerdem fehlt es den Unternehmen möglicherweise an angemessenen Maßnahmen zur Cyber-Sicherheit, was sie zu leichten Zielen macht. Selbst riesige Unternehmen sind nicht immun, wie dieser Cyberangriff auf die Fertigungsindustrie zeigt: 2021 kompromittierte die Ransomware-Bande REvil das Netzwerk des taiwanesischen PC-Herstellers Acer und stellte eine der höchsten Lösegeldforderungen aller Zeiten: 50 Millionen US-Dollar. Es ist nicht bekannt, ob das Unternehmen den Betrag gezahlt hat. Und 2022 wurden Toyota und sein Hauptzulieferer von Cyberangriffen getroffen, die offenbar einen Rückgang der monatlichen Produktion um 5 % verursachten.   

Mit Costa Rica war zum ersten Mal ein Land gezwungen, als Reaktion auf einen Cyberangriff den nationalen Notstand auszurufen. Die Ransomware-Gruppe Conti forderte 10 Millionen US-Dollar (später wurde der Betrag auf 20 Millionen erhöht) und brachte damit das Finanzministerium, das Gesundheitssystem und sogar den Import/Export des Landes ins Wanken. Einige Experten glauben, dass der Cyberangriff den Beginn einer neuen Ransomware-Ära einläuten könnte.   

Nachdem Sie nun besser Bescheid wissen, stellt sich die Frage: Wie können Sie sich vor Ransomware schützen? 

Werfen Sie zunächst einen genauen Blick auf Ihre Geräte. Sind sie alt und laufen mit veralteter Software? Sind die Browser und Betriebssysteme nicht mehr aktuell? Fehlt ein Backup-Plan? Wenn Sie eine der oben genannten Fragen mit „Ja“ beantwortet haben, besteht die Gefahr, dass Sie Opfer von Ransomware werden. Avira verfügt über mehr als 35 Jahre Erfahrung im Bereich Online-Sicherheit und kann Ihnen helfen. Der kostenlose Software Updater sorgt für die Aktualisierung von Software und Treibern und stellt sicher, dass alle Updates frei von Malware sind. Avira Free Antivirus bietet viele Funktionen zum Schutz vor Erpressungen. Außerdem schützt es Ihr Gerät und die darauf gespeicherten Daten vor einer Reihe von Online-Bedrohungen, darunter Adware, Spyware und Trojaner. Achten Sie immer darauf, dass Ihre wertvollen Daten gesichert sind – entweder auf einer externen Festplatte oder mit einem sicheren, sauberen Backup-Tool.   

Vergessen Sie nie, umsichtig und mit einer gewissen Vorsicht zu handeln. Stellen Sie sich nicht selbst ein Bein! 

• Klicken Sie niemals auf potenziell unsichere Links in Nachrichten, auf Websites oder in sozialen Medien.  
• Öffnen Sie keine E-Mail-Anhänge, bei denen Sie nicht wissen, ob die Quelle vertrauenswürdig ist. Prüfen Sie, ob die E-Mail-Adresse des Absenders korrekt ist, indem Sie mit dem Mauszeiger darüber fahren.  
• Schließen Sie niemals Medien wie USB-Sticks an Ihr Gerät an, wenn Sie deren Herkunft nicht kennen.  
• Laden Sie Software oder Mediendateien nur aus verifizierten Quellen herunter.  
• Verwenden Sie in öffentlichen WLAN-Netzwerken immer ein VPN wie Avira Phantom VPN. Es verschlüsselt Ihre Online-Kommunikation und erhöht so Ihre Online-Privatsphäre und Sicherheit. 

Außerdem bietet Avira ein umfangreiches Angebot an Funktionen für die Cyber-Sicherheit in Form eines praktischen Monatsabonnements an. Mehr über unseren Premium-Service Avira Prime erfahren Sie hier.   

Zahlen oder nicht zahlen? Was Sie im Fall einer Infektion tun können 

Oje. Wir sind alle nur Menschen und können Fehler machen. Ihr Gerät wurde mit Ransomware infiziert und Ihre Dateien wurden verschlüsselt … was nun? Die Experten des No More Ransom Project „empfehlen allgemein, das Lösegeld nicht zu bezahlen. Wenn Sie Ihr Geld an Cyberkriminelle schicken, beweisen Sie ihnen nur, dass diese Methode effektiv ist, und es gibt keine Garantie, dass Sie im Gegenzug den benötigten Entschlüsselungscode erhalten.“ No More Ransom ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, des European Cybercrime Centre von Europol und verschiedener Anbieter von Software zur Cyber-Sicherheit. Ziel ist es, den Opfern von Ransomware dabei zu helfen, verschlüsselte Daten wiederherzustellen, ohne dass ein Lösegeld bezahlt wird.  

Laden Sie Ihre verschlüsselten Dateien hier auf die Website hoch und geben Sie die Details der Lösegeldforderung in dem dafür vorgesehenen Feld an. Viel Glück!