Trend Micro White Paper | März 2016
Crypto-Ransomware:
Geld oder Daten
Digitale Erpressung lässt sich vermeiden
EINLEITUNG
Im Grunde genommen ist es immer dasselbe Muster: Jemand besitzt etwas Wertvolles, möglicherweise nur für
den Eigentümer selbst von Bedeutung, und daraus lässt sich Profit schlagen. Die Methoden, um den Eigentümer
dazu zu „überreden“, für den Schutz seines Besitzes oder die Rückgabe im Fall des Diebstahls Geld zu bezahlen, sind
unterschiedlich.
Eine davon, und zwar eine sehr wirksame, ist Erpressung. In der Cyber-Welt funktioniert dies mit Ransomware, einem
Typus von Schadsoftware, mit dessen Hilfe ein digitaler Erpresser den Zugriff auf die Dateien eines Opfersystems
sperren kann, sodass der Betroffene erst dann wieder auf die Daten zugreifen kann, wenn er das geforderte Lösegeld
(Ransom) gezahlt hat. Das ist zumindest das Versprechen des Kriminellen.
Von den Anfängen bis heute
Digitale Erpressersoftware, ist nichts Neues. Den Anfang machten die „alten“ Fake-AV-Schädlinge, die Nutzern
fingierte AV-Scanning-Ergebnisse präsentierten und sie damit dazu brachten, gefälschte AV-Software zu kaufen. Vor
etwa zehn Jahren begannen Cyberkriminelle immer mehr Gefallen an Erpressungssoftware zu finden. Berüchtigt war
die so genannte Polizei-Ransomware, die Nutzer mit Nachrichten über angeblich begangene Vergehen erpresste.
Mittlerweile hat sich eine viel raffiniertere Art von Ransomware durchgesetzt: Crypto-Ransomware. Diese Schadsoftware
geht einen Schritt weiter und verschlüsselt die gekaperten Dateien in den Systemen oder Netzwerklaufwerken der
Opfer. 2013 tauchte mit CryptoLocker die erste Variante dieser Art auf und hat sich seither immer weiter entwickelt.
Neue Taktiken und Methoden sollen unter anderem einer frühzeitigen Erkennung vorbeugen. Inzwischen bieten
die Untergrundmärkte auch schon Ransomware-Dienstleistung an. Das Geschäftsmodell: Der Provider versorgt
Interessierte mit den benötigten Angriffsmitteln und erhält dafür 10% vom Lösegeld [1].
Schon immer setzten Erpresser auf die Angst ihrer Opfer, doch mit diesen neuen Fähigkeiten können die
Cyberkriminellen ganze Organisationen als Geiseln nehmen und von ihnen Geld erpressen, denn es geht um das
für Unternehmen entscheidende Gut – Informationen. Wie erfolgreich Erpressung mit Crypto-Ransomware ist, lässt
sich mit Zahlen aus Trend Micros Smart Protection Network belegen: Lag der Anteil der Crypto-Ransomware im
Jahr 2013 noch bei 20% der gesamten Erpressersoftware, so ist er im Jahr 2015 auf 80% gestiegen.
Auch sind die Cyberkriminellen wählerisch geworden und zielen mit ihren Angriffen eher auf Unternehmen mit
wertvolleren Daten, so die Online Trust Alliance (OTA) in einer Studie [2]. Die Höhe des Lösegelds passen sie der Größe
des Opferunternehmens und dem Wert der Daten an. Auch gibt es Indizien dafür, dass aktuell auch speziell kritische
Infrastrukturen im Fokus dieser Angriffe stehen, weil die Betreiber solcher Systeme unter einem besonders hohen
Druck stehen und schnell agieren müssen.
Die Angst wird weiterhin Teil einer jeden erfolgreichen Erpressungstaktik sein. Und je persönlicher die Kriminellen
werden können, desto leichter geben ihre Opfer den Forderungen nach. Experten gehen davon aus, dass CyberErpresser immer neue Taktiken entwickeln, die die Psyche ihrer Opfer – seien es Unternehmen oder Einzelpersonen
– im Visier haben. Beispielsweise wenn der Ruf einer Einzelperson oder eines Unternehmens auf dem Spiel steht, ist
die Erpressung besonders wirksam und entsprechend lukrativ.
Seite 2 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
AKTUELLE ANGRIFFSWELLE
Trend Micros CTO Raimund Genes hatte in den Vorhersagen für 2016 betont: „2016 wird das Jahr der CyberErpressung.“ Die Realität hat ihm bereits Recht gegeben [3].
Im Februar häuften sich die Meldungen über digitale Erpressungsversuche auf Krankenhäuser, vor allem im Raum
NRW [4], aber auch in den USA, wo das Hollywood Hospital über eine Woche lahmgelegt wurde und 40 Bitcoins
(17.000$) Lösegeld zahlte [5]. Beim Neusser Lukaskrankenhaus hielt sich zwar der Schaden in Grenzen, weil ein
zeitnahes Backup vorhanden war, dennoch mussten viele Systeme heruntergefahren werden. Die Angriffe in
Deutschland und in den USA stehen nicht direkt miteinander in Verbindung, sie haben dennoch eines gemeinsam:
Es sind Crypto-Ransomware-Angriffe mit dem Ziel, den Opfern zu schaden und ihnen Geld abzunehmen.
Die derzeit „prominenteste“ Ransomware aber ist „Locky“. Dieser Schädling verschlüsselt Dateien auf der Platte
mit einer Mischung aus RSA/2048- und AES/128-Algorithmen und versieht sie mit der Endung .locky. Perfiderweise
scheint Locky nicht sofort nach einer Infektion zu verschlüsseln. Vielmehr scheint er ein bestimmtes Datum (Montag,
15.2.2016, 15:06) abgewartet zu haben, um damit anzufangen. Der zum Entschlüsseln benötigte Decryptor/Key
kann gegen Zahlung von einem Bitcoin (~360 EUR) erworben werden [6].
Den Daten aus Trend Micros Smart Protection Network zufolge sind Deutschland und Japan am meisten von Locky
betroffen:
Bild 1: Die weltweite Verteilung der Infektionen mit der Ransomware Locky
Seite 3 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
INFEKTIONSWEGE
Die Verbreitungswege der Ransomware sind vielfältig. Eines steht fest: Eine Infektion ist nur dann möglich, wenn
ein Nutzer eine wie auch immer geartete Datei herunterlädt und ausführt. Über die folgenden Vektoren gelangt
Ransomware am häufigsten an seine Opfer:
• E-Mail: Sehr häufig ist es eine Mail mit einem infizierten Anhang, die den Schädling mitbringt: Office-Dokumente,
pdf-Dateien oder gar Javascripts, die der Empfänger ahnungslos anklickt. Laut derzeitigem Kenntnisstand von Trend
Micro erfolgte zumindest der Angriff auf das Lukaskrankenhaus in Neuss über eine Mail mit einem Word-Dokument
als Anhang, welches nach dem Öffnen weiteren Schadcode nachlädt.
Die Hintermänner von Locky etwa zeigen viel Phantasie, um ihre Opfer zu überrumpeln: Zuerst verbreitete sich
der Trojaner ebenfalls nur über eine Mail mit dem Betreff „Rechnung“ und einem infizierten Word-Anhang. Als
nächstes wählte er Skript-Dateien, die täuschend echt aussehenden Rechungs-Mails anhängen. Dann tarnte sich
der Trojaner als Meldung über den Empfang eines Fax [7]. Mittlerweile kommt er auch in einer Batch-Datei, die
Antivirenprogramme austrickst [8].
• Mobilgeräte: Zum Teil gelangte der Schadcode auch auf direktem Wege ins Netzwerk, zum Beispiel über
mitgebrachte Mobilgeräte externer Mitarbeiter.
• „Drive-By“-Infektion: Wer sich jedoch nur auf den Schutz der Mail konzentriert, ist trotzdem vor Ransomware
nicht sicher. Denn Nutzer können auf einen Erpressungs-Trojaner auch bei dem Besuch von eigentlich seriösen
Webseiten ist als Verbreitungsweg treffen.
ABLAUF EINES ANGRIFFS
Bild 2: Ein Angriff mit Ransomware läuft in sechs Schritten ab.
Seite 4 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
Der Nutzer erhält eine Spam-Mail mit einem verseuchten Anhang.
• Sobald er den Träger (meist Dokument) des Schädlings öffnet, wird er heruntergeladen und auf dem System des
Opfers ausgeführt.
• Der Crypto-Trojaner erzeugt eine Textdatei mit Zahlungsanweisung (Höhe der Lösegeldforderung, Art der Zahlung
– zumeist eine Bitcoin-Transaktion – und der Behauptung, nach Abwicklung der Zahlung, die Dokumente wieder
entschlüsseln zu können) und verschlüsselt alle Dokumente des Opfers, auf die er zugreifen kann – sowohl auf dem
System als auch in Netzwerkfreigaben.
Bild 3: Die Erpressernachricht nach einem Angriff
• In einigen Fällen ließ sich auch ein „Selbstzerstörungsbefehl“ des Schädlings beobachten.
Das Design der heutigen Ransomware-Varianten setzt auf die mächtigen modernen Verschlüsselungsalgorithmen,
deren Ziel es ist, nicht aufgebrochen werden zu können. Das bedeutet aber, dass die damit verschlüsselten Dateien
nur noch mit dem zugehörigen Decryption-Key zugänglich sind. Ohne diesen Schlüssel bleiben die Dateien auch
nach dem Entfernen der Malware verschlüsselt.
Opfer der Erpressersoftware sollten sich nicht darauf verlassen, von ihren Peinigern tatsächlich den befreienden
Schlüssel zu erhalten, nachdem sie das Lösegeld gezahlt haben. Das BSI empfiehlt, im Fall eines Angriffs kein Lösegeld
zu zahlen, sondern Screenshots mit der Erpressernachricht zu machen und Anzeige zu erstatten.
Seite 5 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
GEGENMASSNAHMEN
In der Praxis stellen die Angreifer in der Regel sicher, dass idealerweise die eingesetzte Malware nicht von StandardVirenscannern erkannt wird, das heißt, sie wird entsprechend modifiziert, so dass Signaturen in der Regel nicht
greifen.
Dennoch können sich Anwender und Organisationen gegen die digitalen Erpresser effizient wehren:
• Breach Detection-Systeme: Mit so genannten Breach Detection-Systemen ist es möglich, solche Angriffe
frühzeitig zu erkennen und sie entweder direkt abzuwehren oder die Ransomware in ihrer Wirksamkeit sofort zu
begrenzen. Da diese Systeme mit speziellen Methoden arbeiten, um verhaltensbasierte Analysen durchzuführen,
werden diese gefährlichen Angriffe recht einfach erkannt.
• Hochentwickelte E-Mail-Lösungen können beispielsweise nicht nur gefährliche und teilweise verschlüsselte
Anhänge einer verhaltensbasierten Analyse unterziehen, sondern auch gefährliche Links erkennen. Auf diese Weise
kann eine gefährliche E-Mail schon geblockt und unzugänglich gemacht werden, bevor sie den Nutzer erreicht.
Wird ein Angriff erkannt, so wird die Mail in der Regel bei einer guten Zusammenarbeit der einzelnen Module einer
Sicherheitslösung in „Quarantäne“ gestellt und erreicht im besten Fall den Empfänger gar nicht.
• Kommunikation der Sicherheitskomponenten in Echtzeit: Bei einer „Drive-By“-Infektion ist dies unter
Umständen nur begrenzt möglich, aber potenzieller Schaden für das Unternehmen kann in der Regel abgewehrt
werden, weil der Angriff direkt mit dem Eintritt des Schädlings ins Firmennetzwerk erkannt wird. Ein hoher
Integrationsgrad zwischen verschiedenen Teilaspekten einer Lösung (z.B. die Endpoint-Produkte kommunizieren in
Echtzeit mit einem Breach Detection-System und einer Firewall und verhindern somit Datenabfluss oder Ausbreitung
im Netzwerk) erhöht den Sicherheitsgrad erheblich. Deshalb sollten Unternehmen bei der Auswahl einer Lösung,
darauf achten, dass alle eingesetzten Produkte miteinander kombiniert werden können.
HANDLUNGSEMPFEHLUNGEN
Zusätzlich sind die folgenden Empfehlungen für alle Unternehmen von Bedeutung:
• Jedes Unternehmen braucht geschultes Personal, das im Falle eines Angriffs in der Lage ist, adäquat zu reagieren.
In der Fachsprache sind dies typischerweise Security Analysten oder so genannte Incident Response Teams. Dazu
gehört natürlich auch der entsprechende Incident Response-Prozess, damit bei einem Vorfall die richtigen Schritte
eingeleitet werden.
• Als probates Mittel haben sich regelmäßige spezielle Security-Analysen und -Audits der Systeme bewährt, um
versteckte Malware oder Verbindungen ins Darknet zu entdecken (Breach Detection Systeme sind hierzu auch
geeignet).
• Schließlich sind die Konzeption, Durchführung & Review von Security Awareness Maßnahmen unerlässlich.
• Last but not least gilt es, existierende Backup-Prozesse zu überarbeiten und zu härten, und einen Business ContinuityProzess, sowie einen Business Recovery-Prozess aufzusetzen, um kritische Situationen überstehen zu können.
Auch gibt es bestimmte Regeln, die jeder Anwender beachten sollte, um den Erpressern keine Chance zu geben:
• In erster Linie ist es dringend zu empfehlen, regelmäßig Backups wichtiger Daten zu erstellen. Dabei sollte das
3-2-1-Prinzip angewendet werden: drei Kopien, zwei unterschiedliche Medien, ein separater Speicherort. CloudSpeicher können einen nützlichen Teil der Backup-Strategie darstellen.
• Empfänger einer Mail sollten stets prüfen, wer der Absender ist. Kommen Mails angeblich von einer Bank, lässt
sich dort prüfen, ob die empfangene Nachricht legitim ist. Kommt die Mail von einem persönlichen Kontakt, so ist
es ratsam zu checken, ob dieser die Nachricht tatsächlich gesendet hat. Die Tatsache, dass ein bekannter Absender
vorhanden ist, heißt noch gar nichts, denn dieser Freund oder Verwandte könnte auch Spammern zum Opfer
gefallen sein.
Seite 6 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
• Auch der Inhalt der Nachricht lässt sich auf offensichtliche Fehler oder Ungereimtheiten prüfen: etwa die
Behauptung einer Bank oder eines Freunds, etwas vom Empfänger erhalten zu haben. Deshalb sollte dieser
die gesendeten Mails prüfen, ob kürzlich tatsächlich etwas von diesem Konto aus gesendet wurde, was deren
Behauptung rechtfertigt.
• Es gilt, Links in Mails prinzipiell nicht anzuklicken. Es ist sicherer, Sites, die in einer Mail erwähnt werden, direkt zu
besuchen. Ist es dennoch nötig, einen Link in einer Mail anzuklicken, sollte sichergestellt sein, dass der Browser
Web-Reputation nutzt, die den Link prüft.
• Schließlich ist es wichtig sicherzustellen, dass Programme und Nutzer des Computers nur die Mindestpriviligien
haben, die für die Durchführung einer Aufgabe erforderlich sind.
BEST PRACTICES: KONFIGURATION VON TREND MICROS LÖSUNGEN
Als Best Practices zur Vermeidung von Ransomware-Infektionen bietet Trend Micro OfficeScan und Worry-Free
Business Security/Services (WFBS/WFBS-SVC). Trend Micro liefert auch Best Practices für das Konfigurieren des
Malware-Schutzes in OfficeScan und Worry-Free Business Security/Services (WFBS/WFBS-SVC).
Unternehmen, die eine dieser beiden Lösungen im Einsatz haben, können die folgenden Einstellungen vornehmen:
• IT-Admins aktivieren die Funktion Ransomware Protection, die in OSCE 11 SP1 vorhanden ist, um bekanntes
Ransomware-artiges Verhalten in der Umgebung des Clients zu vermeiden.
• Für Mail-Anhänge gilt, dass häufig bestimmte in den Anhängen als JS- oder HTML-Datei vorhanden sind. Es ist
dringend zu empfehlen, diese Dateien zu blocken, entweder über True File Type oder über den Extension-Namen
(eg. *.js, *.jse, *.htm, oder *.html).
• Im Fall von anderen Arten der Malware-Anhänge gibt es Anleitungen, wie die Anhänge mit Trend Micros MessagingProdukten gefiltert und geblockt werden können.
• Für Nutzer von ERS Advance Service (IP-Reputation) lässt sich sicherstellen, dass diese Funktion aktiviert ist und
dass QIL mindestens auf Level 2 gesetzt ist.
• Für zusätzlichen Schutz vor Social Engineering-Angriffen dient Trend Micros Social Engineering Attack ProtectionFunktion, die in Trend Micros InterScan Messaging Security und Hosted Email Security-Produkte integriert ist.
• IMSVA-Nutzern und für den Fall einer Infektion empfiehlt Trend Micro Kunden, eine Policy zu erstellen, in der
festgelegt ist, dass die Executables (oder einen bestimmten Dateitypus/Extensions, die für die Übertragung von
bestimmter Malware bekannt sind) blockiert und Dokumente sowie zip-Dateien archiviert werden, um sie für
weitere Analysen an den Support zu übermitteln:
• Blocken von ausführbaren Dateien
• Archivieren von doc- und zip-Dateien
• Obige Policies werden üblicherweise nach folgenden Regeln aufgesetzt:
• Spam-Regel
• Antivirus-Regel
• Weitere eigene Regeln des Kunden (optional)
Ziel ist es, alle bekannten Spam-Mails und bekannte Schadsoftware gleichzeitig zurückzuweisen, eine hochvertrauliche
Sample-Datei zu erhalten, die für weitere Analysen an den Support übermittelt wird.
Des Weiteren unterstützen verschiedene Versionen von Trend Micros Tool AntiRansomware bei der Erkennung und
Beseitigung von Ransomware-Varianten:
• AntiRansomware Tool für Geschäftsanwender
• Threat Cleaner for GOZ and CryptoLocker for 32-bit systems
• Threat Cleaner for GOZ and CryptoLocker for 64-bit systems
• AntiRansomware Tool für Endanwender
• AntiRansomware Tool 3.0 mit USB für Privatanwender
• Housecall (Free Online Virus and Spyware Scan)
• Trend Micro Titanium Internet Security (fortschrittlicher Schutz für Privatanwender)
Seite 7 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten
RESSOURCEN
[1] „Ransomware-Dienstleistung für
10% Provision“, 9. November 2015,
http://blog.trendmicro.de/ransomwaredienstleistung-fuer-10-provision/
FAZIT
Der rasante Anstieg der Angriffe mit Ransomware auf Einzelpersonen und auf
Unternehmen in der letzten Zeit deutet darauf hin, dass Online-Erpressung zu der
bevorzugten Verdienstmethode der Cyberkriminellen mutiert ist. Auch zeigen
die Zahlen, dass Ransomware nahezu die Hälfte der Schadsoftwareangriffe
des letzten Jahres ausmachten. Für Verbraucher sind diese Angriffe sehr
unangenehm, für Unternehmen können die Auswirkungen zum Desaster
werden, weil sie zur Unterbrechung der Geschäftstätigkeiten führen und mit
potenziell hohen Kosten verbunden sind.
Die gute Nachricht: Ransomware ist kein Schicksalsschlag, und Einzelne wie
auch Unternehmen können sich wehren, wenn sie zum Einen bestimmte
Regeln im Umgang mit ihrer IT beachten und wenn sie zum Anderen effiziente
Sicherheitslösungen einsetzen. Wichtig dabei ist ein hoher Integrationsgrad
zwischen verschiedenen Teilaspekten einer Lösung (z.B. die Endpoint-Produkte
kommunizieren in Echtzeit mit einem Breach Detection System und einer
Firewall und verhindern somit Datenabfluss oder Ausbreitung im Netzwerk).
[2] „Ransomware Being Used to Target
Specific Data Types“, 26. Januar 2016,
http://www.infosecurity-magazine.com/
news/ransomware-being-used-to-target/
[3] Sicherheitsvorhersagen für 2016: Der
schmale Grat“, http://www.trendmicro.
de/sicherheitsinformationen/forschung/
sicherheitsvorhersagen-2016/index.html
[4] „Ransomware-Virus legt
Krankenhaus lahm“, 12. Februar 2016,
http://www.heise.de/security/meldung/
Ransomware-Virus-legt-Krankenhauslahm-3100418.html
[5] „Ransomware Attack Holds Hollywood
Hospital Records Hostage for $3.6M“, 15.
Februar 2016 http://www.trendmicro.
com/vinfo/us/security/news/cyber-attacks/
ransomware-attack-holds-hollywoodhospital-records-hostage-for-3-6m
[6] „Neue Crypto-Ransomware Locky
nutzt verseuchte Word-Makros“, 19.
Februar 2016, http://blog.trendmicro.
de/neue-crypto-ransomware-lockynutzt-verseuchte-word-makros/
[7] „Neue Virenwelle: Krypto-Trojaner
Locky tarnt sich als Fax“, 24. Februar 2016,
http://www.heise.de/security/meldung/
Neue-Virenwelle-Krypto-Trojaner-Lockytarnt-sich-als-Fax-3117249.html
[8] „Ransomware Crosses Over from
WordPress to Joomla“, 23. Februar 2016,
http://www.trendmicro.com/vinfo/us/
security/news/cybercrime-and-digitalthreats/ransomware-crosses-over-fromwordpress-to-joomla
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Deutschland
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Schweiz
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Schweiz
www.trendmicro.com
© 2016 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated.
Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
Seite 8 von 8 | Trend Micro White Paper
Crypto-Ransomware: Geld oder Daten