![\"Kurze](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1979129999-800x600.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Ransomware ist zu einem der bekanntesten Werkzeuge von Cyberkriminellen geworden. Von einem internationalen Schifffahrtskonzern, der durch die Verschl\u00fcsselung seiner Produktionswerkzeuge zum Stillstand gebracht wurde, bis hin zum Tod eines Patienten bei einer Verlegung zwischen deutschen Krankenh\u00e4usern hat Ransomware ihre F\u00e4higkeit bewiesen, jedes Unternehmen und jede Gemeinde zu st\u00f6ren, unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe und ihrem Sicherheitsniveau. Aber wie sind wir innerhalb von 30 Jahren von einem Schadprogramm auf einer Diskette, das hundert Dollar L\u00f6segeld fordert, zu einer echten, strukturierten kriminellen Industrie mit einem Volumen von mehreren Milliarden Dollar gelangt? <\/strong><\/p>\n Ein R\u00fcckblick auf die Geschichte und die Entwicklung des Ph\u00e4nomens Ransomware.<\/p>\n <\/p>\n Entgegen der landl\u00e4ufigen Meinung ist die allererste Ransomware nicht mit dem Internet aufgetaucht. Ende der 1980er-Jahre begann die (traurige) Geschichte dieser Malware, deren einzige Aufgabe es war, die Funktion des Arbeitsplatzes zu blockieren. Sie erreichten dann Privatpersonen und Unternehmen, die mit Computern ausgestattet waren. 1989 wurde mit \u201eAIDS Trojan\u201c die erste Ransomware in der Computergeschichte<\/strong> ver\u00f6ffentlicht. Vor dem Hintergrund der Besorgnis \u00fcber das Auftreten des AIDS-Virus verschickte der Biologe Joseph L. Popp 20.000 Disketten mit Informationen \u00fcber die Krankheit an Krankenverb\u00e4nde, medizinische Einrichtungen und Privatpersonen in 90 L\u00e4ndern. Die Diskette enthielt zwar durchaus Informationen \u00fcber AIDS, aber auch und vor allem einen Virus, der dazu f\u00fchrte, dass die Dateien des infizierten Rechners nach einer bestimmten Anzahl von Neustarts verschl\u00fcsselt werden. Um die Decoder-Software zu erhalten, mussten die Opfer dann ein L\u00f6segeld von 189 USD zahlen. Die Anzahl der kompromittierten Rechner ist noch unbekannt, aber Joseph Popp wurde trotzdem vom FBI verhaftet, bevor er f\u00fcr psychisch unf\u00e4hig erkl\u00e4rt wurde, einem Prozess beizuwohnen.<\/p>\n Abbildung 1: Schnittstelle der Ransomware AIDS Trojan (Quelle: en.wikipedia.org)<\/small><\/em><\/p><\/div>\n Trotz dieser Glanzleistung waren es DDoS-Angriffe und Computerw\u00fcrmer, die in der Folgezeit f\u00fcr Aufsehen sorgten. Aus gutem Grund konnten L\u00f6segelderpresser anhand der Zahlungsinformationen relativ leicht zur\u00fcckverfolgt werden. Die n\u00e4chsten Ransomwares tauchten daher erst fast 15 Jahre sp\u00e4ter auf, in Verbindung mit dem Aufkommen digitaler W\u00e4hrungen und sp\u00e4ter der Kryptow\u00e4hrungen, die eine reibungslose Zahlung von L\u00f6segeld und den Austausch von W\u00e4hrungen sowie eine gewisse Anonymit\u00e4t erm\u00f6glichten. Diese Ransomware hatte dann nur eine einzige Funktion: Daten zu sabotieren, indem sie alle Dateien auf der Festplatte verschl\u00fcsselte, ohne die Funktion des Betriebssystems selbst zu beeintr\u00e4chtigen<\/strong>. Der Opferbenutzer hatte dann Zugriff auf sein Betriebssystem, konnte aber keine der vorhandenen Dateien verwenden. 2005 war PGPCoder (oder Gpcode) mit dem Spitznamen 20-Dollar-Ransomware eines der ersten Beispiele f\u00fcr Ransomware, die online verbreitet wurde. Er sollte Windows-Systeme infizieren, indem er gezielt auf Dateien mit h\u00e4ufig verwendeten Erweiterungen wie .rar, .zip, .jpg, .doc oder .xls abzielte. Im Jahr 2006 erh\u00f6hte die Archievus-Ransomware die Schwierigkeit der Entschl\u00fcsselungsversuche durch die Einf\u00fchrung des RSA-Verschl\u00fcsselungsalgorithmus, der einen asymmetrischen Mechanismus aus \u00f6ffentlichen und privaten Schl\u00fcsseln verwendet. Die Ransomware zielte auf die pers\u00f6nlichen Inhalte der Benutzer ab, die in der Datei \u201eEigene Dateien\u201c von Microsoft Windows gespeichert waren, und legte dann eine Datei mit dem Titel \u201ehow to get your files back.txt<\/em>\u201c (So bekommen Sie Ihre Dateien zur\u00fcck.txt) in demselben Verzeichnis ab. Analysten und Cybersicherheitsexperten fanden sp\u00e4ter heraus, dass ein und dasselbe Passwort mit 38 Zeichen den Entschl\u00fcsselungsmechanismus auf jede infizierte Datei anwenden konnte (\u201emf2lro8sw03ufvnsq034jfowr18f3cszc20vmw<\/em>\u201c, nicht so einfach zu erraten ...). Die Archievus-Ransomware verlor daraufhin ihre erpresserische Kraft.<\/p>\n <\/p>\n In der ersten H\u00e4lfte der 2000er-Jahre stieg die Akzeptanz des Internets unaufh\u00f6rlich an. Ende 2014 waren 87\u00a0% der US-Amerikaner online.<\/a>. E-Mail, soziale Netzwerke, Foren, Peer-to-Peer-Netzwerke<\/em>\u00a0\u2013 auf dieser Grundlage wurden die Ransomware WinLock und ihre Varianten von 2011 bis 2014 weit verbreitet. Mit der Besonderheit, dass sie die Daten auf dem infizierten Computer nicht verschl\u00fcsselte, hatte diese Ransomware die Funktion, den Zugriff auf den Rechner zu blockieren, indem sie ein Fenster mit einem pornografischen Foto und einer Zahlungsaufforderung \u00fcber einen Premium-SMS-Dienst anzeigte. Unter dem Namen \u201eLocker\u201c zielte diese erste Weiterentwicklung der Ransomware also darauf ab, den Start des Betriebssystems zu blockieren.<\/p>\n Aufgrund dieses Erfolgs tauchten Varianten auf, die das Image der Strafverfolgungsbeh\u00f6rden missbrauchten<\/strong>. Dies galt insbesondere f\u00fcr die Ransomware, Reveton, im Jahr 2012, die sich als FBI ausgab, indem sie die Computer ihrer Opfer sperrte und die Zahlung einer Geldstrafe von 200 USD forderte. Diese Ransomware wurde weitgehend \u00fcber Peer-to-Peer-Plattformen<\/em> oder pornografische Websites verbreitet. Die Internetnutzer zahlten dann schnell, um Vergeltungsma\u00dfnahmen wegen Urheberrechtsverletzungen oder der Verbreitung von pornografischen Inhalten zu vermeiden. In der Folge wurden die L\u00f6segeldforderungen immer kreativer<\/a> um ihre Chancen auf eine Zahlung zu erh\u00f6hen.<\/p>\n <\/p>\n Das Jahr 2013 markierte mit der Ransomware CryptoLocker und ihrem vom Angreifer gesteuerten Command-&-Control-Server<\/em> einen technischen Wendepunkt. \u201eMithilfe eines Command-&-Control-Servers kann die Angreifergruppe mit dem Opfer diskutieren, verhandeln, die Zeit bis zur Datenvernichtung verl\u00e4ngern oder verk\u00fcrzen<\/em>. Sie k\u00f6nnen das Opfer zus\u00e4tzlich unter Druck setzen und die Chance auf eine Zahlung erh\u00f6hen\u201c<\/em>, erkl\u00e4rt uns Pierre-Olivier Kaplan<\/strong>, Forschungs- und Entwicklungsingenieur von Stormshield. Parallel zu massiven, wahllos gestarteten Kampagnen konnten Cyberkriminelle dann aus der Ferne die Virenlasten auf den infizierten Rechnern steuern und gleichzeitig mit den Opfern verhandeln<\/strong>. Diese neue Strategie zahlte sich aus, da CryptoLocker in den ersten zwei Monaten 27 Millionen USD einbrachte. Es handelt sich um eine der ersten Ransomwares, die ein L\u00f6segeld in Bitcoin verlangte.<\/p>\n Im Jahr 2014 erweiterte sich die Angriffsfront mit den ersten Angriffen auf Android-Tablets und -Mobiltelefone. Die Ransomware SimpleLocker und Sypeng wurden dann \u00fcber gef\u00e4lschte Update-Nachrichten der Adobe Flash-Software verbreitet. Im darauffolgenden Jahr waren Nutzer von Linux-Betriebssystemen an der Reihe, Ziel der Ransomware Encoder zu werden.<\/p>\n Im Jahr 2016 ebnete Petya den Weg f\u00fcr Phishing-Angriffe, indem er auf gesch\u00e4ftliche E-Mail-Adressen abzielte. In einem Word- oder PDF-Dokument versteckt, aktivierte das Opfer die Ransomware selbst, wenn es die Datei \u00f6ffnete (es wird hier von einer Detonation der Schadsoftware gesprochen). Diese Ransomware blockierte \u00fcbrigens nicht nur den Zugriff auf bestimmte Dateien, sondern sperrte die gesamte Festplatte, indem sie die Master File Table<\/em> verschl\u00fcsselte. Daraufhin erschien ein roter Totenkopf auf dem Bildschirm, der das L\u00f6segeld forderte. Abgesehen von der psychologischen Wirkung auf die Opfer wurde diese grafische Materialisierung einer Ransomware von den traditionellen Medien aufgegriffen und das Bewusstsein f\u00fcr die Cyberbedrohung in der breiten \u00d6ffentlichkeit gesch\u00e4rft.<\/p>\n Abbildung 2: Schnittstelle der Ransomware Petya (Quelle: avast.com)<\/small><\/em><\/p><\/div>\n <\/p>\n Die Jahre 2017-2018 markierten einen weiteren Bruch in der Verbreitung von Cyberangriffen. Dank der Ver\u00f6ffentlichung von Zero-Day-Schwachstellen, die einer US-Regierungsbeh\u00f6rde entwendet wurden, verf\u00fcgten Ransomware-Angriffe nun \u00fcber die technischen M\u00f6glichkeiten, sich massiv von einem Unternehmen zum anderen zu verbreiten, sobald Netzwerke nebeneinander existierten.<\/p>\n Im Jahr 2017 war WannaCry wohl die Ransomware, \u00fcber die am meisten berichtet wurde. In nur wenigen Wochen befiel sie 300.000 Computer in 150 L\u00e4ndern, indem sie sich \u00fcber die Sicherheitsl\u00fccke EternalBlue auf Microsoft Windows-Betriebssystemen ausbreitete. Unternehmen, die eines nach dem anderen den ber\u00fchmten Totenkopf auf ihren Bildschirmen sahen, mussten mit ansehen, wie sich die Ransomware innerhalb von Minuten von Website zu Website ausbreitete. F\u00fcr Nicolas Caproni<\/strong>, Head of Threat & Detection Research Team (TDR) von SEKOIA.IO<\/a>, \u201ewurde WannaCry wahrscheinlich etwas zu fr\u00fch gestartet. Aufgrund der seitlichen Verschiebung haben die Autoren die Kontrolle \u00fcber die Ransomware verloren, die so viele Rechner wie m\u00f6glich infiziert hat\u201c<\/em>. Angesichts der Hunderttausenden von Unternehmen, die Opfer dieser Ransomware wurden, und aufgrund der unkontrollierten Verbreitung investierten die Unternehmen daraufhin massiv in Produkte zur Datensicherung und -wiederherstellung. Als Reaktion darauf griffen Cyberkriminelle dann auch die Datensicherungsspeicher an und l\u00f6schten sie einfach. So wurde sichergestellt, dass die Daten nicht wiederhergestellt werden konnten\u00a0\u2013 es sei denn, Sie zahlten das L\u00f6segeld.<\/p>\n Die Ransomware NotPetya, die sp\u00e4ter im Kontext eines staatlichen Konflikts zwischen Russland und der Ukraine eingesetzt wurde, hatte die Besonderheit, dass sie die grundlegenden Elemente von WannaCry wiederverwendete, wie die Ausnutzung der Schwachstellen EternalBlue und EternalRomance sowie die seitliche Verschiebung, zwei Schwachstellen, die einige Monate zuvor der NSA entwendet worden waren. Obwohl Microsoft einige Wochen zuvor einen Patch ver\u00f6ffentlicht hatte, zeigte diese Ransomware, dass Administratoren nicht in der Lage waren, ihre Systeme schnell zu aktualisieren, um diesem Angriff zu begegnen. Aber \u201eRansomware war nur eine Fassade<\/em>\u201c, so Pierre Olivier Kaplan. Das eigentliche Ziel von NotPetya war nicht die Erpressung von Geld, sondern die Zerst\u00f6rung von Daten, und zwar in sehr gro\u00dfem Ma\u00dfstab, indem ein ganzes Land ins Visier genommen wurde. Diese schwerwiegenden geopolitischen Implikationen sind heute umso wichtiger, da NotPetya, das russischen Cyberkriminellen zugeschrieben wird, auf die Ukraine abzielte. <\/em>\" Durch das L\u00f6schen der Daten wurde diese Ransomware dann nicht mehr als Mittel zur Erpressung, sondern als Waffe der digitalen Zerst\u00f6rung eingesetzt<\/strong>. Diese Ransomware verschleierte auch die Sabotageversuche an der ukrainischen U-Bahn, des Flughafens von Kiew, des Kernkraftwerks Tschernobyl, der Zentralbank und der nationalen Energieversorger. Ende 2018 sch\u00e4tzte die US-Regierung den Schaden, der diesen beiden Angriffen zugeschrieben wurde, auf \u00fcber 10 Milliarden USD, laut Cyber Cover.<\/p>\n <\/p>\n Die Zahl der Vorf\u00e4lle mit Ransomware stieg bis Ende 2019 um 365\u00a0%. Um f\u00fcr Sicherheitstools unentdeckt zu bleiben, verzichten Cyberkriminelle auf gro\u00df angelegte Kampagnen wie bei WannaCry und nahmen stattdessen lieber gro\u00dfe Unternehmen ins Visier<\/strong>. Mit \u201eBig Game Hunting<\/em>\u201c (Gro\u00dfwildjagd) bezeichnete diese neue Strategie eine Vorgehensweise, die auf der Erkundung der Zielumgebung und der Entwicklung fortgeschrittener Angriffsszenarien beruhte. Die Angreifergruppen untersuchten dann ihr Ziel, um ihre L\u00f6segeldforderung anzupassen, wie Nicolas Caproni erkl\u00e4rt: \u201eStudien zeigen, dass Angreifergruppen sich \u00fcber ihre Ziele informieren<\/em>. Beispielsweise k\u00f6nnen sie Finanzunterlagen exfiltrieren, um zu \u00fcberpr\u00fcfen, ob eine Cyberversicherung abgeschlossen wurde und wie hoch diese ist, um ihre Chance auf eine L\u00f6segeldzahlung zu erh\u00f6hen. Einige Gruppen h\u00e4tten sogar eigene Mitarbeiter, die sich mit der Analyse und den Verhandlungen befassen\u201c<\/em>. Diese neue Strategie zahlte sich aus, da sich der durchschnittliche Betrag der L\u00f6segeldforderung in diesem Zeitraum verdreifacht haben soll, von 13.000 auf 36.000\u00a0USD<\/a>.<\/a><\/p>\n Die Zahl der Vorf\u00e4lle mit Ransomware stieg bis Ende 2019 um 365\u00a0%.<\/em><\/p><\/blockquote>\n In dieser Zeit tauchte auch der Mechanismus der doppelten Erpressung auf<\/strong>. Dieser Mechanismus ist sehr gef\u00e4hrlich, da das Zielunternehmen nicht nur Opfer der L\u00f6segeldforderung ist, sondern auch mit dem Weiterverkauf seiner Daten im Darknet bedroht wird. So kann die Offenlegung eines Teils der gestohlenen kritischen Daten entscheidend sein, um gegnerische Unternehmen zur Zahlung des L\u00f6segelds zu bewegen, meist in Form von Quellcode oder Kundendaten. Und der Mechanismus geht sogar so weit, dass die Kunden (oder Patienten) der betroffenen Organisationen betroffen sind, da einige Cyberkriminelle diesen dann sogar drohen, die gestohlenen pers\u00f6nlichen Daten weiterzugeben. Im Oktober 2020 waren es die Patienten eines Psychotherapiezentrums in Finnland, die diese bittere Erfahrung machen mussten. Zu den ersten, die diesen neuen Mechanismus anwenden, geh\u00f6rt die Gruppe von Cyberkriminellen, die vermutlich die Ransomware Maze und Egregor entwickelt hat. Neben dem technischen Aspekt der Ransomware zeichnet sich diese Gruppe durch eine st\u00e4ndige Kommunikation mit ihren Opfern in Form von Druck zur Zahlung in kurzer Zeit und Drohungen mit der Offenlegung von Daten aus. Diese Strategie zahlte sich aus, denn bis Ende November 2020 wurden 300 Unternehmen als Opfer der Ransomware Maze gez\u00e4hlt. Einige Monate sp\u00e4ter verzeichnete die Bilanz der Egregor-Kampagnen laut ZDNet<\/em> mehr als 200 Opferunternehmen und durchschnittlich 700.000 USD L\u00f6segeld pro Opfer. Der Mechanismus zur Offenlegung der Daten wurde sp\u00e4ter von Sodinokibi \u00fcbernommen, das von der REvil-Gruppe in Auftrag gegeben wurde.<\/p>\n Im Jahr 2020 wurde das \u201eBig Game Hunting<\/em>\u201c mit Darkside, die technisch gesehen REvil \u00e4hnelt, mit dem Angriff auf den US-amerikanischen Transport- und Vertriebsriesen f\u00fcr Erd\u00f6lprodukte, Colonial Pipeline, intensiviert. Daraufhin wurde ein L\u00f6segeld in H\u00f6he von 5 Millionen USD erpresst. Im Jahr darauf berichtete das FBI, dass es nach einer gro\u00df angelegten Operation gegen dieselbe Gruppe 2,3 Millionen USD L\u00f6segeld in Bitcoin-\u00c4quivalenten beschlagnahmt hatte. So wird im M\u00e4rz 2021 vom Hersteller Acer eine Rekordsumme von 50 Millionen USD gefordert. Im Mai 2021 war der IT-L\u00f6sungsanbieter Kaseya an der Reihe, wobei mehr als 1.500 seiner Kunden betroffen waren. Das geforderte L\u00f6segeld betrug dieses Mal 70 Millionen USD.<\/p>\n <\/p>\n Eine der letzten Revolutionen in der Vorgehensweise von Cyberkriminellen war das Aufkommen von Ransomware-as-a-Service-Plattformen<\/em> (RaaS)<\/strong>. Sie bieten dann weniger erfahrenen Angreifergruppen die M\u00f6glichkeit, auf eine komplette Infrastruktur zuzugreifen und von fertigen Ransomware-Kampagnen zu profitieren. Die Plattformen<\/a> vermieten ihre b\u00f6sartigen L\u00f6sungen und k\u00f6nnen auch einen Prozentsatz des von den Opfern erlangten L\u00f6segelds kassieren. Einige Angreifergruppen, die in die Forschung und Entwicklung von Ransomware investiert haben, gr\u00fcnden dann Franchise-Unternehmen, um ihre Ransomware an andere kriminelle Gruppen zu vermarkten. Dies ist bei der Ransomware-Franchise<\/strong> Conti der Fall. Diese Gruppe bildet \u201eJunior\u201c-Profile aus, bietet ihnen ein festes Gehalt sowie eine Erfolgsbeteiligung.<\/p>\n Laut Pierre-Olivier Kaplan f\u00fchrt der Erfolg von Ransomware-as-a-Service-Plattformen<\/em> auch zu einer Verfeinerung der Malware: \u201eEnde 2010 war Ransomware auf dem absteigenden Ast, da die L\u00f6segeldzahlungen unsicher waren und die R\u00fcckverfolgung von kriminellen Netzwerken erm\u00f6glichten<\/em>. Mit der Zunahme und dem Aufkommen von Kryptow\u00e4hrungen, die eine gewisse Anonymisierung der L\u00f6segeldzahlungen erm\u00f6glichten, sind Geldtransfers f\u00fcr Angreifergruppen nahezu \u201esicher\u201c geworden. Hinzu kamen zwischen den Jahren 2010 und 2020 Verbesserungen der Ausbreitungsmechanismen. <\/em>Lockbit<\/em><\/a>, DarkSide oder auch <\/em>Laspus$<\/em><\/a> sind \u00e4u\u00dferst raffiniert. Sie profitieren von diesem ganzen Jahrzehnt der kontinuierlichen Verbesserung in ihren Replikationsmechanismen, ihren Kommunikationsmechanismen mit einem Kontrollserver und all ihren Nebenaktivit\u00e4ten, n\u00e4mlich Datendiebstahl. In den letzten Jahren sind die Ziele gleichgeblieben. Aber sie gehen in ihren Management- und Ausf\u00fchrungsmethoden immer weiter. Infolgedessen ist Ransomware weitgehend demokratisiert.<\/em>\u201c<\/p>\nDie Entstehung von Ransomware (1989-2006)<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/capture-1-4.png\")
Gr\u00f6\u00dfere Verbreitung von Ransomware mit der Einf\u00fchrung des Internets (2007-2016)<\/h2>\n
Die ersten technischen Revolutionen der Ransomware (2013-2016)<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/capture-2-6.png\")
Die Entstehung von staatlichen Angriffen mit weltweiter Verbreitung (2017-2018)<\/h2>\n
Das Zeitalter des Big Game Hunting<\/em> (2019-2021)<\/h2>\n
Auf dem Weg zur Strukturierung der cyberkriminellen Branche (2021-2022)<\/h2>\n