Vertrauenswürdige Hacker und der 45-Zentimeter-Bug

Ein Bericht über Ransomware gibt einen interessanten Überblick über den Markt der erpresserischen Verschlüsselungssoftware. Wir schauen uns an, was es zu berichten gibt.

Ransomware dürfte den meisten mittlerweile ein Begriff sein: Software, die die Computer ihrer Opfer infiziert, deren Daten verschlüsselt und dann ein Lösegeld verlangt, um die Daten wieder zu entschlüsseln. Diese Art der Software gab es schon vor Bitcoin, aber erst seit die Hacker irgendwann 2013 die Kryptowährung für ihre Zwecke entdeckt haben, wurde daraus ein Massenphänomen. Mittlerweile scheint die Ransomware nicht mehr aus dem Internet wegzudenken sein.

Ein Bericht der auf Ransomware spezialisierten Sicherheitsfirma Coveware steckt die Koordinaten des Marktes für Ransomware ab. Er zeigt auf, welche Trends es in dem Gewerbe gibt und was sich im Vergleich zum Vorjahr verändert hat. Dies sind die interessantesten Erkenntnisse aus dem Bericht:

Höheres Lösegeld

Im Vergleich zum Vorjahr hat sich die durchschnittliche Höhe der Lösegelder für Daten deutlich erhöht. Und zwar stieg sie um 89% von gut 6.700 auf gut 12.700 Dollar. Die Analysten führen das darauf zurück, dass sich Ransomware-Varianten mit höheren Forderungen wie Ryuk, Bitpaymer und lencrypt weiter durchsetzen. Diese Arten von Ransomware werden gezielt auf große Firmen angesetzt, die ein höheres Lösegeld bezahlen können.

Höhere Schäden durch Downtime

Das Lösegeld ist nur ein Teil des Schadens, den die Ransomware anrichtet – und oft der deutlich kleinere im Vergleich zu dem Schaden, der entsteht, wenn die Systeme der Opfer vorübergehend herunterfahren. Für jede Firma, die auf eine Online-Präsenz oder auch nur Datenbanken angewiesen ist, führt ein vorübergehender Datenverlust zu großen Schäden. Im Vergleich zum Vorjahr, so der Bericht, habe sich die durchschnittliche Downtime von 6,2 auf 7,3 Tage erhöht. Dies liegt daran, dass Ransomware wie Ryuk schwierig zu entziffern ist, oder Software wie Hermes viel Zeit braucht, um die Daten zu entschlüsseln – und zudem noch eine relativ hohe Rate an Datenverlusten verursacht. Zudem gehen viele Ransomware-Inkarnationen dazu über, im Zuge des Angriffs die Backup-Systeme zu löschen oder ebenfalls zu verschlüsseln. Die durchschnittlichen Kosten der durch Ransomware-Angriffe verursachten Downtime sind daher auf durchschnittlich mehr als 65.000 Dollar gestiegen.

Ehrliche Hacker

Wenn ein Opfer das Lösegeld bezahlt hat, erhielt es in 96 Prozent der Fälle ein Tool, um die Daten zu entschlüsseln. Damit stieg die “Ehrlichkeit” der Hacker um drei Prozent. Ein solches Ergebnis zeigt eine bemerkenswerte Zuverlässigkeit und Professionalität der Akteure, die man sichin den meisten anderen Branchen auch wünschen würde. Der alte Rat, Erpresser nicht zu bezahlen, mag idealistisch betrachtet richtig sein – für Unternehmen bedeutet er aber, sich zum Märtyrer für die Maxime zu machen, nicht mit Terroristen zu verhandeln.

Im Durchschnitt konnten mit den Entschlüsselungstools 93 Prozent der Daten geborgen werden. Allerdings hängt die Quote vom Typ der Ransomware ab. Ryuk etwa hat lediglich eine Wiederherstellungsrate von 80 Prozent, während GandCrab beinah 100 Prozent erreicht.

Bitcoin-Maximalisten

Die Ransomware-Entwickler scheinen Bitcoin-Maximalisten zu sein. 98 Prozent der Zahlungen wurden in Bitcoin getätigt. Den Grund sehen die Analysten aber nicht in einem ideologischen Bekenntnis zu Bitcoin, sondern in pragmatischen Gründen: Die Beschaffung des Zahlungsmittels ist weiterhin eine der größten Hürden, um die Hacker zu bezahlen. Anstatt Bitcoin nun einen Altcoin zu benutzen, würde diese Hürde noch weiter erhöhen, weshalb der Bericht voraussagt, dass Bitcoin auch weiterhin das dominante Zahlungsmittel für Ransomware bleiben wird.

Unter den von Coveware untersuchten Ransomware-Inkarnationen erlaubt lediglich eine einzige, GandCrab, neben Bitcoin mit Dash zu bezahlen. Wer hier mit Bitcoin bezahlt, muss einen Aufschlag von 10 Prozent berappen, da Bitcoins schwieriger zu anonymisieren sind als Dash. Sobald die Opfer bezahlt haben, schwindet der Bitcoin-Maximalismus der Hacker. Die Bitcoins werden oft in andere Kryptowährungen, neben Dash etwa Monero. umgetauscht, umd sie zu anonymisieren.

Typologie der Ransomware

Es gibt ein ganzes Ökosystem der Ransomware, von denen viele ihre eigenen charakteristischen Eigenschaften haben.

Dharma ist wie schon im letzten Jahr am meisten verbreitet, aber Ryuk und GandCrab haben an Bedeutung zugelegt. Alle weiteren Varianten spielen eine eher marginale Rolle. Wenn man sich die drei dominanten Typen von Ransomware anschaut, gibt es deutliche Unterschiede. Dharma scheint von einer zunehmenden Anzahl von technisch wenig kompetenten Gruppen betrieben zu werden, was sich in sinkenden Wiederherstellungsraten niederschlägt. Ryuk dagegen fokusiert sich auf große Unternehmen und verlangt schockierend hohe Lösegeldsummen, während GandCrab mit Innovationen in der Verbreitung aufwartet und oft Teil von populären Exploit-Kits ist.

Die größte Fehlerquelle sitzt vor dem Bildschirm

Es gibt mehrere Wege, um Ransomware auf die Rechner der Opfer zu bringen. Am weitesten verbreitet sind mit gut 63 Prozent Infektionen durch das Remote Desktop Protokoll, ein Netzwerkprotokoll von Microsoft, das den Fernzugriff auf andere Computer erlaubt. Insbesondere werden ungeschützte RDP-Ports in kleinen Firmen ausgenutzt. Aber auch Social Engineering spielt eine Rolle, bei dem die Hacker sich über die Daten von Nutzern Zugriff verschaffen.

An zweiter Stelle steht E-Mail-Phishing mit etwa 30 Prozent. Dies meint, dass die Ransomware entweder per E-Mails eingeschleust werden oder die Hacker durch E-Mails an die Daten kommen, um die Ransomware in die Systeme zu bringen. Das dritte Einfallstor, Lücken in der Computersicherheit, ist gerade mal für sechs Prozent aller Ransomware-Vorfälle verantwortlich. Dies bestätigt einmal mehr die Weisheit, dass der 45-Zentimeter-Bug am meisten Schaden anrichtet – der User, der 45 Zentimeter vor dem Monitor sitzt. Die Software trägt nur in Ausnahmefällen eine Schuld.

Die Opferfirmen

Zuletzt listet der Bericht auf, welche Arten von Firmen betroffen waren. Dabei gehen die unterschiedlichen Typen von Ransomware je auf ihre eigene Weise vor. So zielt Ryuk etwa auf größere Firmen ab als Dharma und GandCrab und verlangt auch dementsprechend höhere Lösegelder. Vor allem GandCrab versucht sich bei kleinen Unternehmen einzuschleichen, vermutlich, weil diese schlecht gewartete Software haben und darum anfällig für Bugs sind.

Unter den betroffenen Branchen stellt die Sparte der “professional services” mit 22,4 Prozent den größten Anteil. Dies sind vor allem Anwaltskanzleien und Wirtschaftsprüfergesellschaften. Aber auch Software-Dienstleister (17,2 Prozent), Gesundheitsanbieter (10,3 Prozent) und Vermögensverwalter (9,5 Prozent) sind relativ oft betroffen. Grund sei, so die Autoren des Berichts, dass diese Firmen oft unzureichend in IT-Sicherheit und Backups investieren, aber zugleich eine geringe Toleranz für Datenverluste haben. Dies macht sie zu den perfekten Opfern.