Ransomware

„You are fucked“. Mit diesem profanen Satz, der am 06. Juli 2021 auf den Bildschirmen der Mitarbeitenden erschien, sollte der Landkreis Anhalt-Bitterfeld schnell deutschlandweit in die Schlagzeilen kommen [1]. Mittels der Verschlüsselung aller Daten durch eine Ransomware (mutmaßlich von der Gruppe „PayOrGrief“) wurde die gesamte IT des Landkreises über Nacht außer Gefecht gesetzt. Es ist leicht vorstellbar, was eine solche Situation für ein kleines oder mittleres Unternehmen bedeutet: der finanzielle Ruin. Trotz weiterer Angriffe auf die IT-Infrastruktur von Kommunen (vgl. https://kommunaler-notbetrieb.de) sind es vor allem Unternehmen, die in der Mehrzahl ins Visier von Angreifern geraten. Im Bundeslagebild des Bundeskriminalamts (BKA) wurden im Jahr 2024 950 Anzeigen wegen Ransomware-Attacken registriert (ca. 2,6 pro Tag), davon 94% bei Unternehmen, in 80% aller Fälle sogar bei kleinen und mittleren Unternehmen [5]. Es ist also notwendig, ein generelles Verständnis für das Thema Ransomware sowie effektive Verteidigungsstrategien zu erwerben.

Was ist Ransomware?

„Ransomware“ steht für die Abkürzung „ransom software“, also Lösegeldsoftware, eine Art von Malware („malicious software“, dt. bösartige Software). Der Name ist Programm: Mit Ransomware soll ein Lösegeld von Opfern erpresst werden. Dies kann entweder durch das Verhindern des Zugriffs auf das IT-System erfolgen (sog. „locking ransomware“) oder, wie im Fall des Landkreises Anhalt-Bitterfeld, durch die Verschlüsselung der Daten (sog. „cryptographic ransomware“) [6]. Um wieder an die Daten heranzukommen, verlangen die Angreifer ein entsprechendes Lösegeld (laut BKA lagen diese im Schnitt bei 277.000 US-Dollar pro Angriff [5]), damit die Opfer die Entschlüsselungspasswörter erhalten. Immer häufiger wird laut BKA auch die sog. „Double Extortion“ – also die doppelte Erpressung – angewendet, d.h. als Druckmittel werden nicht nur das Entschlüsselungspasswort, sondern auch die potenzielle Veröffentlichung von zuvor entwendeten Unternehmensdaten im Darknet angewendet. Das Lösegeld soll dann typischerweise in Kryptowährung an die Angreifer überwiesen werden.

So können Ransomware-Attacken ablaufen

Entsprechend einer Übersichtsstudie von 2022 [6] haben Ransomware-Attacken vier allgemeine Schritte:

Infektion: Über Sicherheitslücken (bspw. durch Phishing-Mails) wird die Ransomware auf die Systeme der Opfer übertragen.
Kommunikation: In manchen Fällen kommuniziert die Ransomware mit von Angreifern kontrollierten C&C-Servern (Command & Control – also Befehle und Kontrolle), um bspw. Entschlüsselungspasswörter, IT-Systeminformationen oder Unternehmensdaten auszutauschen.
Zerstörung: Die Ransomware wird aktiv, wodurch sie Daten verschlüsselt oder Opfer vom System aussperrt.
Erpressung: Nach erfolgreicher Verschlüsselung oder dem Aussperren erhalten die Opfer eine Information über den Angriff typischerweise als Erpressungsnachricht inkl. einer Information für Zahlungsanweisungen.

Um den Schaden größer zu gestalten, besitzt moderne Ransomware die Fähigkeit, sich wurmartig über IT-Netzwerke zu verbreiten und mehr IT-Komponenten zu befallen. Das BSI hatte diese Schritte noch detaillierter unterteilt [7].

Seit wann gibt es Ransomware-Attacken?

Historisch gesehen ist Ransomware seit weit über 30 Jahren bekannt. So entwickelte im Jahr 1989 der US-Biologe Joseph L. Popp Jr. die erste Ransomware, die unter dem Namen „AIDS-Trojaner“ bekannt geworden ist. Er tarnte die Software als Informationsmaterial zum AIDS-Virus und verschickte sie über 20.000-mal per Post als damalige 5,25″-Disketten an Teilnehmende einer AIDS-Konferenz. Das geforderte Lösegeld (damals noch über ein Bankkonto in Panama eingefordert) sollte laut seiner Aussage der AIDS-Forschung zuteil werden – auch wenn dies unbestätigte Informationen sind [6,7]. Glücklicherweise war die damalige Verschlüsselung noch recht naiv, sodass sehr schnell ein Entschlüsselungspasswort bereitgestellt werden konnte.

Die Übersichtsstudie [6] stellt den historischen Verlauf und den ansteigenden Erfolg von Ransomware detailliert dar. So zeigten 1996 Forscher die Probleme des „AIDS-Trojaners“ und skizzierten, wie die Verschlüsselung (durch sog. asymmetrische Verschlüsselung) effektiver gewesen wäre. Obwohl die technischen Gegebenheiten zu dieser Zeit bereits vorlagen, wurde die Ransomware erst ab Mitte der 2000er-Jahre zu einem interessanten Mittel für Angreifer. Ein wesentlicher Treiber für den Erfolg der Ransomware war die weltweite Vernetzung über das Internet und damit das Aufkommen von Phishing-Mails. Weitere Treiber für den Erfolg von Ransomware waren die zu dieser Zeit verbesserten Verschlüsselungsalgorithmen sowie die ab 2009 entstehenden Kryptowährungen, bspw. Bitcoin, die es ermöglichten anonym Zahlungen unabhängig von Banken oder Ländergrenzen durchzuführen. Auch das Darknet, das verschlüsselte und schwer nachvollziehbare Kommunikation ermöglicht, bietet einen Markt für Ransomware. Seit ca. 2015 hat sich das sogenannte Ransomware-as-a-Service (RaaS) etabliert, also nutzerfreundliche und einfach zu bedienende Ransomware-Werkzeuge, die Ransomware auch für nicht technikaffine Kriminelle nutzbar machten. Sprich, Ransomware ist in der breiten Masse anwendbar.

Wie reagiert man auf Ransomware-Attacken?

Trotz der latenten Gefahr durch Ransomware unterscheiden sich die Gegenmaßnahmen nicht wesentlich von anderen IT-Sicherheitsmaßnahmen. Eine gute Übersicht über verschiedene Maßnahmen zu unterschiedlichen Zeitpunkten bei Ransomware-Attacken findet sich auf den Webseiten des BSI [7]. Diese kategorisieren wir in Maßnahmen zur Verhinderung, Detektion und Wiederherstellung.

Experten empfehlen im Übrigen nicht auf Lösegeldforderungen einzugehen [10], da dies andernfalls das Geschäftsmodell der Angreifer weiterhin finanziert und dadurch weitere Angriffe ermöglicht. Dem Lagebericht des BKA [5] ist auch ein abnehmender Trend bei Lösegeldzahlungen zu entnehmen, wobei das BKA vermutet, dass die Dunkelziffer der gezahlten Gelder höher liegen könnte. Daher ist der Rat, das Geld lieber vorab in Sicherheit zu investieren, statt eventuelle finanzielle oder immaterielle Schäden in Kauf zu nehmen.

Verhinderung

Einspielen regelmäßiger Patches und Updates von installierter Software, insbesondere bei bekannten Sicherheitslücken
Richtiger Umgang mit E-Mails und Makros richtiger Umgang mit Phishing-Mails und verdächtigen Anhängen bspw. E-Mails nur als Text anzeigen, Unterdrückung von ausführbaren Inhalten, digitale Signatur von E-Mails
Zentrale Einschränkung der Ausführbarkeit von Software auf Unternehmensrechnern
Aktiver Virenschutz mit zugehörigen Intrusion Prevention (IPS) und Cloud-Diensten
Rollenregelung von Accounts, insbesondere von Administrationsaccounts
Segmentierung von Netzwerken, um die Ausbreitung von Schadsoftware zu erschweren, bspw. für interne Netzwerke
Verbesserte Absicherung von Authentisierungs- und Autorisierungsdiensten des Active Directies

Detektion

Überwachung von Netzwerken, um Zugriffe von verdächtigen IP-Adressen oder ungewöhnliches Login-Verhalten zu ermitteln
Generell verdächtiges Verhalten des Systems beobachten, z.B. untypische oder untypisch gehäufte Befehle (bspw. häufigere Befehle, die Verschlüsselungsalgorithmen zugreifen), die auf Systemen ausgeführt werden, ungewöhnlich hohe Prozessornutzung oder ein ungewöhnlich hoher Energieverbrauch
In der Forschung [6] wird aktiv an softwarebasierten Detektoren gearbeitet, die solches verdächtiges Verhalten mittels maschinellem Lernen Diese haben teils sehr hohe Trefferquoten.
Sensibilisierung von Mitarbeitenden, um Handlungsanweisungen in Notfällen z.B. bei auffälligem Verhalten zu trainieren
Weitere detaillierte technische Detektionsmaßnahmen wurden auch seitens des BSI für Ransomware-Angriffe erarbeitet [9]

Wiederherstellung

Erstellung von Backups und eines Datensicherungskonzepts, insbesondere des Schutzes der Backups vor Ransomware, damit diese auch im Notfall wieder eingespielt werden können. Ein einfaches Konzept ist die 3-2-1-Backup-Strategie (min. 3 Kopien, auf 2 unterschiedlichen Medien und davon 1 extern, z.B. außerhalb des Unternehmens). Außerdem ist das korrekte Wiedereinspielen des Backups regelmäßig zu testen.
Erstellen eines Notfallplans, um Maßnahmen von allen Mitarbeitenden schnellstmöglich umzusetzen. Dies ermöglicht den Geschäftsbetrieb, trotz des Ausfalls von IT-Systemen aufrecht zu erhalten bzw. wiederherzustellen. Dies umfasst auch die Meldung von Vorfällen sowie das Hinzuziehen von Experten.
Absicherung potenzieller finanzieller Schäden Bspw. mittels einer Cyberversicherung

Gastbeitrag

Sebastian Nielebock

Otto-von-Guericke-Universität Magdeburg, Fakultät für Informatik, Lehrstuhl für Software & Systems Engineering

Quellen

[1] MDR Podcast „You are fucked – Deutschlands erste Cyberkatastrophe“ https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/index.html Marcel Roth

[2] https://de.wikipedia.org/wiki/Landkreis_Anhalt-Bitterfeld#Katastrophenfall_durch_Cyberangriff

[3] https://www.sueddeutsche.de/wirtschaft/it-sicherheit-cyberangriffe-security-anhalt-bitterfeld-1.5701569

[4] https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/anhalt/drei-jahre-hackerangriff-anhalt-bitterfeld-100.html

[5] https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2024/CC_2024.html

[6] “A Survey on Ransomware: Evolution, Taxonomy, and Defense Solution” Oz et al., ACM Computing Survey (CSUR), Volume 54, Issue 11s, Article No.: 238, Seiten 1-37 2022 https://doi.org/10.1145/3514229

[7] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/Top-10-Ransomware-Massnahmen/top-10-ransomware-massnahmen_node.html

[8] https://de.wikipedia.org/wiki/Joseph_L._Popp_Jr.

[9] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/Top-10-Massnahmen-Detektion/top-10-massnahmen-detektion_node.html

[10] https://www.deutschlandfunk.de/interview-mit-eric-bodden-uni-paderborn-zu-cybersicherheit-unterschaetzt-dlf-6bb5987f-100.html

Cookie	Dauer	Beschreibung
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent plugin gesetzt. Er speichert ob der Webseiten-Besucher den Cookies in der Kategorie "Notwendig" zugestimmt hat.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
CONSENT	16 years 5 months 16 days 10 hours 5 minutes	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Dauer	Beschreibung
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.