Werdegang von Ransomware: Vergangenheit, Gegenwart und Zukunft

Wir werfen einen Blick auf den Werdegang von Ransomware und wie sie sich im Laufe der Jahre entwickelt hat. Teilen

Der umfassende Angriff der Malware WannCry im Mai 2017 hat es weltweit in die Schlagzeilen geschafft. Damit war plötzlich auch ein Begriff allgegenwärtig – Ransomware.

In Kreisen der Cybersicherheit und Technikexperten spricht man allerdings schon lange über Ransomware. Im vergangenen Jahrzehnt war es tatsächlich so, dass Ransomware wohl die erfolgreichste und weit verbreitetste Cyber-Gefahr darstellte. Laut Angaben der US-Regierung haben seit 2005 die Angriffe mit Ransomware die Online-Einbrüche überholt.

Möglicherweise ist Ransomware so lange unter dem Radar geflogen, weil es bisher keine Angriffe mit globalen Ausmaßen gab. Somit hat die breite Öffentlichkeit davon nichts mitbekommen. WannaCry hat alles verändert. Weltweit waren mehr als 300.000 Computer betroffen. WannaCry hat Schlagzeilen gemacht, indem die Malware einige große Institutionen wie zum Beispiel den NHS (National Health Service) in Großbritannien lahmgelegt hat.

Wenn WannaCry der großangelegte Cyberangriff war, der die Welt wachgerüttelt hat, dann könnte das der Anfang von einer signifikanten Veränderung sein. Die Würmer, die Ransomware verbreiten, werden immer ausgefeilter und die Methoden zur Verteilung immer effizienter. Die Wahrscheinlichkeit von immer größeren Angriffen steigt daher stets.

In diesem Artikel sehen wir uns den Werdegang von Ransomware an. Wir betrachten die Entwicklung bis zum Zeitpunkt, an dem sie ins Rampenlicht trat und zur größten Cyberbedrohung des 21. Jahrhunderts wurde. Wir besprechen besondere Vorfälle und die verschiedenen Methoden, die verwendet werden. Weiterhin zeigen wir die wichtigen Erfindungen, die zur jüngsten Flut der globalen Angriffe führten. Außerdem wagen wir einen Blick in die Zukunft und was auf uns zukommen könnte.

Was ist Ransomware?

Fangen wir mit einigen Definitionen an. Ransomware ist eine Malware, mit der Profit gemacht werden soll. Anders als Viren, die für das Hacken von Computern oder IT-Systemen verwendet werden, ist Ransomware nicht für Datendiebstahl entworfen. Das Opfer soll auch nicht getäuscht werden, wie wir es von falscher Antiviren-Scareware und den bekannten Betrügereien mit Phishing kennen.

Zum Unglück für die Betroffenen ist Ransomware leider nur zu echt.

Ransomware funktioniert so, dass sie den Betrieb eines Computer-Systems stört und es unbrauchbar macht. Die Täter schicken dann einen Erpresserbrief an die Besitzer und verlangen Geld, um die Änderungen rückgängig zu machen.

Die meisten Beispiele von Ransomware lassen sich in eine von zwei Kategorien einteilen. Einige Ransomware-Viren sperren den Anwender aus seinem Gerät aus. Sie belegen die CPU, übernehmen das System für die Anmeldung oder etwas in der Art. Andere Arten von Ransomware verschlüsseln hingegen die Massenspeicher und deren Inhalte. Danach können Sie keine Ordner und Dateien öffnen oder Programme ausführen. Man nennt diese Exemplare deswegen auch Krypto-Ransomware.

Sobald eine Ransomware auf einem System zuschlägt, wird meist auch gleich der Erpresserbrief angezeigt. Möglicherweise ist es ein spezieller Bildschirm, der auf einem gesperrten Gerät erscheint. Im Falle eines Angriffs mit Verschlüsselung erhält das Opfer vielleicht auch eine E-Mail oder eine Sofortnachricht über einen Instant Messenger.

Vorgeschichte der Ransomware

AIDS-Trojaner

Der erste weithin anerkannte Vorfall mit Ransomware fand im Jahre 1989 statt und damit zirka zwei Jahrzehnte vor der Zeit, als sie zum Online-Problem wurde. Der Harvard-Student Jospeh L Popp hat bei einer Konferenz der World Health Organization zum Thema AIDS teilgenommen. Als Vorbereitung verschickte er 20.000 Disketten an relevante Delegierte. Die Datenträger waren mit „AIDS information – Introductory Diskettes“ beschriftet.

Die Delegierten ahnten nicht, dass sich auf den Disketten ein Computer-Virus befand. Sobald die Anwender auf die Inhalte zugriffen, hat sich der Virus auf dem Computer eingenistet, sich aber zunächst auch bedeckt gehalten. Nach 90 Neustarts erwachte der Schadcode zum Leben und hat Dateien sowie Ordner verschlüsselt. Im Anschluss wurde eine Nachricht angezeigt, dass der Computer in seinen Ausgangszustand zurückgesetzt werde, nachdem der Nutzer 189 US-Dollar an ein Postfach in Panama schickt.

Das Genie von Dr. Popp war seiner Zeit voraus und es hat 16 Jahre lang gedauert, bis jemand anderes die Idee seiner Ransomware ebenfalls verwendete. Popp wurde verhaftet, aber wegen schlechter psychischer Verfassung niemals vor Gericht gestellt.

2005: Das Jahr Null

Als die nächsten Exemplare der Ransomware auf die Bühne traten, war Dr. Joseph L Popp schon lange in der Versenkung verschwunden. Die Welt der Computerei hatte sich durch das Internet nachhaltig verändert. Trotz all seiner Vorzüge hat das Internet die Verteilung aller möglicher Malware wesentlich einfacher gemacht und damit Cyberkriminellen in die Hände gespielt. In der Zwischenzeit haben Programmierer auch viel bessere Verschlüsselungsmethoden als die von Dr. Popp benutzte entwickelt.

GPCoder

Eines der ersten Exemplare von Ransomware, die online verteilt wurde, war der im Jahre 2005 entdeckte Trojaner GPCoder. Der Schadcode GPCoder hat Windows-Systeme infiziert und Dateien mit diversen Endungen im Visier gehabt. Eine verschlüsselte Kopie entsprechender Dateien wurde auf dem System angelegt und die Originale gelöscht. Die neuen, verschlüsselten Dateien waren unlesbar. Eine starke Verschlüsselung mit RSA-1024 stellte sicher, dass ein Entschlüsseln sehr wahrscheinlich nicht funktionierte. Dem Anwender wurde auf seinem Startbildschirm eine Nachricht gezeigt, die auf eine .txt-Datei auf dem Schreibtisch verwies. Dort waren Details hinterlegt, wie das Lösegeld zu zahlen ist und wie man die betroffenen Dateien wieder entschlüsseln kann.

Archievus

Im selben Jahr, in dem GPCoder entdeckt wurde, ist ein weiterer Trojaner mit einer starken 1024-Bit RSA-Verschlüsselung aufgetaucht. Sein Fokus lag aber nicht auf bestimmten ausführbaren Dateien und anderen Dateiendungen. Archievus hat ganz einfach alles im Ordner Dokumente verschlüsselt. Damit konnte der Anwender den Computer und die installierten Programme weiterhin benutzen. Allerdings speichern sehr viele Leute die wichtigsten Dateien und auch Arbeitsunterlagen per Standard im Ordner Dokumente. Deswegen hatte der Trojaner durchaus einen lähmenden Effekt.

Um Archievus wieder loszuwerden, mussten Opfer eine Website besuchen und ein 30-stelliges Passwort kaufen. Durch Raten kommen Sie an dieser Stelle nicht weit.

2009 – 2012: Reibach machen

Es hat eine Weile gedauert, bis diese frühen Formen von Ransomware die Aufmerksamkeit der Cybercrime-Unterwelt auf sich zogen. Die Gewinne von GPCoder und Archievus waren relativ gering. Ein Grund war, dass Antiviren-Software den Schadcode leicht erkennen und entfernen konnte. Die Lebensspanne war also relativ kurz und somit auch die Zeit, in der sich Geld damit machen ließ.

Der Großteil der Cyber-Gangs hat sich weiterhin mit Hacken, Phishing und Antiviren-Betrügereien beschäftigt.

Die ersten Anzeichen einer Änderung gab es im Jahr 2009. In diesem Jahr hat ein bekannter „Scareware“-Virus mit Namen Vundo seine Taktik in Richtung Ransomware geändert. Vundo hatte bis zu diesem Zeitpunkt Computer-Systeme infiziert und dann eigene Warnmeldungen ausgegeben, dass Anwender ein angebliches Problem beheben sollten. Im Jahre 2009 haben Analysten festgestellt, dass Vundo mit der Verschlüsselung von Dateien auf den Computern der Opfer angefangen hat. Dem Besitzer wurde dann ein Gegenmittel für ein Lösegeld verkauft.

Das war das erste Anzeichen, dass Hacker den Eindruck gewannen, mit Ransomware lässt sich durchaus Geld machen. Die verschiedenen und anonymen Online-Bezahlsysteme halfen ebenfalls, denn es war einfacher, Lösegeld im großen Umfang zu erhalten. Selbstverständlich wurde auch die Ransomware selbst immer ausgefeilter.

2011 wurde aus einem Rinnsal ein Fluss. Im ersten Quartal dieses Jahres wurden 60.000 neuen Angriffe mit Ransomware registriert. Im ersten Quartal 2012 waren es bereits 200.000. Ende 2012 haben Experten von Symantec geschätzt, dass der Schwarzmarkt für Ransomware einen Wert von fünf Millionen US-Dollar hatte.

Trojaner WinLock

2011 hat sich eine neue Form von Ransomware entwickelt. Der Trojaner WinLock wird als das erste Exemplar einer sogenannten „Locker“-Ransomware bezeichnet, das sich weit verbreitet hat. Die Malware hat keine Dateien verschlüsselt, sondern ganz einfach das komplette Gerät gesperrt. Der Anwender kann sich in so einem Fall nicht mehr anmelden.

Der Trojaner WinLock hat einen Trend bei Ransomware gestartet, die echte Produkte imitierten. Die alte Taktik mit Scareware wurde wieder benutzt. Der Schadcode hat Windows-Rechner infiziert und dann das System zur Aktivierung von Windows kopiert. Anwender wurden auf diese Weise solange ausgesperrt, bis sie einen Aktivierungsschlüssel kauften. Die Ironie an dieser Art Angriff war, dass die Nachricht einen gefälschten Bildschirm der Aktivierung zeigte und den Opfern mitteilte, dass das Windows-Konto wegen Betrug neu aktiviert werden müsse. Danach bekam der Anwender eine internationale Telefonnummer mitgeteilt, über die er das Problem lösen konnte. Die Nummer war als gebührenfrei angegeben, kostete in Wirklichkeit aber einen hohen Betrag. Das Geld für den Anruf wanderte mit hoher Wahrscheinlich in die Taschen der Cyberkriminellen.

Reveton und „Police“ Ransomware

Eine Variante bei der Imitation von Software war die sogenannte „Police“ Ransomware. Damit wurden Anwender mit gefälschten Abonnements ausgetrickst. Bei diesen Angriffen hat die Malware Systeme infiziert und dann Meldungen ausgegeben, die angeblich vom Gesetzgeber oder der Polizei und so weiter stammen. Es lägen Beweise vor, dass das Gerät für illegale Aktivitäten benutzt worden sei. Das Gerät würde aus diesem Grund so lange gesperrt, bis die entsprechende Strafe bezahlt ist.

Solche Exemplare wurden häufig über Websites mit pornografischen Inhalten, File-Sharing-Diensten und andere Auftritte verteilt, die potenziell illegale Zwecke verfolgten. Der Plan war ohne Zweifel, die Opfer zu verängstigen, damit sie die Strafe zahlen, bevor sie einen klaren Gedanken fassen konnten, ob die Aufforderung echt oder nicht ist.

Um diese Angriffe noch authentischer und bedrohlicher wirken zu lassen, wurde Police Ransomware oftmals an den Standort des jeweiligen Opfers angepasst. Die IP-Adresse wurde gezeigt und in einigen Fällen sogar ein Live Stream von der Webcam des Systems. Damit sollte angedeutet werden, dass die Opfer aufgezeichnet werden und unter Beobachtung stehen.

Eine sehr bekannte Variante einer Police Ransomware war als Reveton bekannt. Anfänglich schwirrte Reveton in Europa umher, hat sich dann aber global verbreitet und auch den Weg in die USA gefunden. Dort erzählte man den Opfern, dass sie unter der Beobachtung des FBI stehen und 200 US-Dollar zahlen müssen, damit das Gerät wieder entsperrt wird. Die Bezahlung lief über elektronische Pre-Paid-Services wie zum Beispiel MoneyPak oder Ukash. Diese Taktik machten sich noch andere Police-Ransomware-Programme wie zum Beispiel Urausy und Kovter zunutze.

2013 – 2015: Zurück zur Verschlüsselung

In der zweiten Hälfte 2013 hat sich eine neue Variante einer Krypto-Ransomware gezeigt, die neuen Maßstäbe in Sachen Cybersecurity setzte. CryptoLocker hat Ransomware auf verschiedene Weise beeinflusst. Zunächst einmal hat sich die Software nicht mit grafischen Kinkerlitzchen wie Scareware oder Police Ransomware aufgehalten. Die Entwickler von CryptoLocker waren sehr präzise und haben nicht um den heißen Brei geredet. Sie haben den Opfern ehrlich erzählt, dass alle ihre Dateien verschlüsselt wurden und sollte das Lösegeld nicht binnen drei Tagen bezahlt sein, werden sie gelöscht. Weiterhin hat CryptoLocker die Macht von Verschlüsselung eindrucksvoll demonstriert. Die Kryptografie war wesentlich stärker als zirka ein Jahrzehnt früher. Mithilfe von C2-Servern im verborgenen Tor-Netzwerk haben die Programmierer von CryptoLocker Schlüsselpaare (Private / Public Keys) mit 2048-Bit RSA generiert, um Dateien mit speziellen Endungen zu infizieren. Dabei wurden mehrere Fliegen mit einer Klappe geschlagen. Die öffentlichen Schlüssel als Basis für eine Entschlüsselung konnten nicht gefunden werden, da sie im Tor-Netzwerk versteckt waren. Zusätzlich haben die Programmierer die sehr starken privaten Schlüssel in Händen gehalten.

Außerdem hat CryptoLocker neue Maßstäbe bei der Verbreitung gesetzt. Die Ransomware hat sich über das Gameover Zeus Botnet verteilt. Dabei handelt es sich um ein Netzwerk an „Zombie“-Computern, das speziell für die Verbreitung von Malware über das Internet ins Leben gerufen wurde. CryptoLocker war damit die erste Ransomware, die sich über infizierte Websites verbreitet hat. Allerdings wurde CryptoLocker auch via Spear Phising verteilt, in erster Linie durch E-Mail-Anhänge. Die Nachrichten wurde an Geschäfte geschickt und als Beschwerden von Kunden getarnt.

All diese Funktionen finden Sie bis heute in Angriffen mit Ransomware. Der große Erfolg von CryptoLocker wurde zum Vorbild. 300 US-Dollar hat es gekostet, ein System wieder zu entsperren. Man nimmt an, dass sich die Entwickler zirka drei Millionen US-Dollar ergaunert haben.

Onions und Bitcoins

CryptoLocker wurde eigentlich 2014 ausradiert, als dem Gameover Zeus Botnet das Handwerk gelegt wurde. Es hat aber viele Nachahmer gegeben und der bekannteste Nachfolger war CryptoWall. Auch diese Ransomware hat mit dem Tor-Netzwerk und einem RSA-Schlüsselpaar funktioniert. Eine Verteilung fand via Phishing statt.

The Onion Router, auch als Tor bekannt, spielte eine immer größere Rolle bei der Entwicklung und Verbreitung von Ransomware. Tor ist ein Projekt für Anonymität. Der Name des Projekts spiegelt die Funktion wider, auf welche Weise der Internet-Datenverkehr durch ein komplexes Netzwerk an Servern geroutet wird. Das lässt sich mit den Schichten einer Zwiebel vergleichen. Eigentlich dient das Projekt dem Schutz der Privatsphäre, es hat leider aber auch Cyberkriminelle angelockt, die natürlich für das Auge des Gesetzes unsichtbar bleiben wollen. Deswegen spielt auch Tor eine Rolle in der Geschichte von Ransomware.

CryptoWall hat weiterhin die immer größer werdende Rolle von Bitcoin bei Angriffen mit Ransomware klar gemacht. Seit 2014 ist die Krypto-Währung die Zahlungsmethode der Wahl. Pre-Paid-Systeme waren anonym, aber es war schwierig, ohne Geldwäsche an die Moneten zu kommen. Bitcoin hingegen lässt sich online wie eine normale Währung nutzen und damit können Sie Transaktionen direkt und schnell durchführen.

Man schätzt das CryptoWall inklusive 2015 mehr als 325 Millionen US-Dollar Umsatz gemacht hat.

By 2015, CryptoWall alone was estimated to have generated $325 million.

Angriffe auf Android

Ein weiterer großer Schritt in der Geschichte von Ransomware war die Entwicklung von Versionen für mobile Geräte. Anfangs haben die Entwickler ausschließlich Android-Geräte im Visier gehabt und den offenen Quellcode von Android dafür ausgenutzt.

Das erste Exemplar ist im Jahre 2014 aufgetaucht und hat das Format der Police Scareware kopiert. Sypeng hat eine gefälschte Update-Nachricht für Adobe Flash genutzt und Geräte auf diese Weise infiziert. Danach wurden der Bildschirm gesperrt und über eine falsche FBI-Nachricht 200 US-Dollar gefordert. Koler war ein ähnlicher Virus, der sich als erste Version eines Ransomware-Wurms einen Namen machte. Die Malware hat sich selbst repliziert und eigene Verteilungswege gesucht. Koler hat jeder Person aus der Kontaktliste eines infizierten Geräts eine Nachricht geschickt. Darin befand sich ein Link, worüber der Wurm heruntergeladen wurde.

Trotz seines Namens war SimplLocker eine frühe Form von Krypto-Ransomware für Mobilgeräte. Die Mehrzahl der anderen hat sich auf das Sperren konzentriert. Eine weitere Innovation im Zusammenhang mit Android Ransomware war die Entstehung von Selbstbausätzen. Wer als Cyberkrimineller tätig werden wollte, konnte den Bausatz kaufen und selbst konfigurieren. Ein frühes Beispiel war ein Bausatz, der auf dem Pleton Trojaner basierte und online für 500 US-Dollar zu haben war.

2016: Die Bedrohung wir größer

Das Jahr 2016 war für Ransomware bahnbrechend. Es gab neue Wege für die Auslieferung, neue Plattformen und neue Formen von Malware. Unterm Strich hat die Bedrohung stark zugenommen und es wurde das Fundament für die bald folgenden, globalen Angriffe gelegt.

Evolution von CryptoWall

Die meisten Ransomware-Varianten haben ihre fünf Minuten im Rampenlicht und verschwinden danach oder werden durch einen Fix neutralisiert. Die Bedrohung durch CryptoWall hat sich hingegen nie aufgelöst. Durch vier verschiedene Stufen hat sich CryptoWall entwickelt und war Vorreiter für Techniken, die von anderen Malware-Varianten kopiert wurden. Dazu gehören zum Beispiel Duplikate von Registry Keys, damit sich die Malware bei jedem Neustart automatisch lädt. Das ist sehr schlau, denn die Malware führt sich nicht sofort aus. Sie wartet, bis sie sich mit einem außenstehenden Server verbinden kann, der den relevanten Schlüssel vorhält. Ein automatisches Laden beim Neustart maximiert die Chancen der Angreifer.

Locky

Locky hat sich aggressiv, sehr schnell sowie flächendeckend via Phishing verbreitet und gilt damit als Vorbild für Varianten wie WannaCry. Man nimmt an, dass die Ransomware zu seinen besten Zeiten bis zu 100.000 Systeme pro Tag infizieren konnte. Dafür hat es das Franchise-System benutzt, das zunächst von Android-Systemen eingesetzt wurde, um damit immer mehr Kriminelle zum Mitmachen zu animieren. Ebenso wurde an dieser Stelle schon angedeutet, was später mit WannaCry folgte. Auch Locky hat die Gesundheitsbranche angegriffen und damit war sehr schnell klar, dass öffentliche Dienste rasch bereit sind, Lösegeld zu bezahlen, damit ihre Systeme ohne große Unterbrechung wieder einsatzfähig sind.

Multi-Plattform

In 2016 tauchte auch das erste Ransomware-Skript auf, das Mac-Systeme angriff. KeRanger war ziemlich gemein, weil damit sowohl herkömmliche Mac-Dateien als auch die Time Machine Backups verschlüsselt wurden. Somit konnten Mac-Anwender nicht einfach eine frühere Version der jeweiligen Datei nutzen. Diese Möglichkeit haben sie normalerweise, sollten Probleme auftreten.

Kurz nach KeRanger wurde die erste Ransomware gesichtet, die mehrere Betriebssysteme infizieren konnte. Ransom32 war in JavaScript geschrieben und lief theoretisch unter Windows, macOS und Linux.

Bekannte Bedrohungen und Schwachstellen

Sogenannte „Exploit Kits“ sind Übertragungsprotokolle für Malware, die bekannte Schwachstellen in populären Software-Systemen ausnutzen, um Viren zu installieren. Das Angler Kit ist ein Beispiel, mit dem seit mindestens 2015 Angriffe mit Ransomware durchgeführt wurden. 2016 hat sich die Sache intensiviert und einige namhafte Ransomware-Viren haben Schwachstellen in Adobe Flash und Microsoft Silverlight ausgenutzt. Unter den Angreifern befand sich auch CryptoWall 4.0.

Krypto-Würmer

Krypto-Würmer haben sich am Koler-Virus ein Beispiel genommen und wurden 2016 zum Mainstream. Ein Beispiel ist der Wurm ZCryptor, den Microsoft erstmalig gemeldet hat. Anfänglich erfolgte die Auslieferung über Phising-Angriffe mit Spam. Danach konnte sich ZCryptor automatisch über Netzwerk-Geräte verteilen, indem sich die Malware selbst repliziert und ausgeführt hat.

2017: Der Durchbruch von Ransomware

Im Jahre 2016 haben Raffinesse und Ausmaß von Ransomware-Angriffen stark zugenommen. Deswegen glaubten Experten damals schon, dass ein globaler Angriff nur eine Frage der Zeit ist, der zu den größten Hacking-Angriffen und Datenschutzverletzungen gehören wird. WannaCry hat diese Befürchtungen dann bestätigt und weltweit Schlagzeilen gemacht. WannaCry ist aber nicht die einzige Ransomware, von der Computer in diesem Jahr bedroht werden.

WannaCry

Am 12. Mai 2017 hat ein Ransomware-Wurm zuerst in Spanien zugeschlagen, der später weltweit als WannyCry bekannt wurde. Innerhalb weniger Stunden hat sich die Malware auf hunderte Computer in dutzenden Ländern ausgebreitet. Ein paar Tage später waren es zirka eine Viertelmillion und WannaCry war damit der größte Ransomware-Angriff aller Zeiten. Damit hatte man sich weltweit Gehör verschafft und alle informierten sich über die Bedrohung.

WannaCry ist die Kurfassung von WannaCrypt, was darauf hinweist, dass es sich bei WannaCry um eine Krypto-Ware handelt. Genauer gesagt ist es ein Krypto-Wurm, der sich replizieren und eigenständig verbreiten kann.

WannaCry war so effizient, weil sie sich auf ganz besondere Weise verbreitete. Deswegen reagierte die Öffentlichkeit auch entsprechend schockiert. Es gab keine Phishing-Angriffe und keine Downloads über kompromittierte Botnet Websites. Stattdessen hat WannaCry eine neue Phase eingeläutet, wie sich bekannte Schwachstellen auf Computern ausnutzen lassen. Die Malware war so programmiert, nach Computern im Netzwerk zu suchen, auf denen eine ältere Version von Windows Server lief. Darin befand sich eine bekannte Sicherheitslücke und die Software hat sie ausgenutzt sowie die Computer infiziert. Sobald ein Rechner in einem Netzwerk verseucht war, hat sich WannaCry auf die Suche nach weiteren Computern mit der gleichen Schwachstelle gemacht. Die wurden dann ebenfalls infiziert.

Auf diese Weise konnte sich WannaCry so schnell ausbreiten. Gerade in Systemen von großen Unternehmen war der Schadcode besonders erfolgreich. Betroffen waren Banken, Verkehrsbehörden, Universitäten und der Gesundheitssektor wie zum Beispiel der NHS in Großbritannien. Auch aus diesem Grund hat der Angriff Schlagzeilen gemacht.

Der echte Schocker war allerdings, dass die von WannaCry genutzte Sicherheitslücke schon vor Jahren von der US National Security Agency (NSA) entdeckt wurde. Anstatt die Welt aber zu warnen, hat die NSA lieber geschwiegen und einen eigenen Exploit entwickelt, der sich als Cyber-Waffe nutzen lässt. In Wirklichkeit wurde WannaCry damit auf einem System eines Geheimdienstes entwickelt.

Petya

Auf dem Fuße von WannaCry folgte ein weiterer weltweiter Angriff mit Ransomware, der mehrere tausend Computer auf allen Kontinenten betraf. Diese Malware ist als Petya bekannt und es ist durchaus bemerkenswert, dass die gleiche Schwachstelle in Windows wie bei WannaCry benutzt wurde. Das zeigte eindrucksvoll, welches Potenzial die geplante Cyber-Waffe der NSA hatte. Obwohl im Rahmen des WannaCry-Angriffs ein Patch zur Verfügung gestellt wurde, zeigt das dennoch, wie schwierig es ist, die Anwender zeitnah mit den neuesten Sicherheits-Updates zu versorgen.

LeakerLocker

Um zu demonstrieren, wie stark die Bedrohung durch Ransomware ist, blicken wir auf die Zeiten von Scareware und Erpressung zurück. Damals fand eine der großflächigsten Angriffe statt, die ebenfalls Schlagzeilen gemacht hatte. Der Angriff war aber mit einer interessanten Wendung behaftet. LeakerLocker hatte es auf Android-Geräte abgesehen und damit gedroht, den kompletten Inhalt des Geräts mit allen in der Kontaktliste zu teilen. War etwas Peinliches oder Bloßstellendes auf dem Mobilgerät, dann haben Sie wohl lieber gezahlt. Ansonsten wären Freunde, Kollegen und Verwandte in Ihre Geheimnisse eingeweiht worden.

Was wird die Zukunft in Sachen Ransomware bringen?

Die Umsätze der Cyberkriminellen, die mit Ransomware ergaunert wird, wachsen rasant. Deswegen kann man wohl damit rechnen, dass wir in Zukunft mehr davon sehen werden. Der Erfolg von WannaCry in Kombination mit der replizierenden Wurm-Technologie und dem Ausnutzen bekannter Schwachstellen in Systemen hat möglicherweise einen Trend ausgelöst. Kurzfristig könnten andere auf diesen Zug aufspringen und ähnliche Angriffe starten. Es wäre aber sehr naiv zu denken, dass die Entwickler von Ransomware nicht schon mit der Planung der Zukunft beschäftigt sind. Sie tüfteln sicher an neuen Möglichkeiten, mit ihrer Malware Systeme zu infizieren, Schadcode zu verbreiten und daraus Profit zu schlagen.

Was können wir also erwarten?

Eine große Sorge ist die Möglichkeit, dass Ransomware möglicherweise auch andere digitale Geräte außer Computer und Smartphones angreift. Das Internet der Dinge wird immer beliebter und mehr und mehr Equipment aus unserem täglichen Leben ist digital und mit dem Internet verbunden. Dadurch entsteht ein riesiger neuer Markt für Cyberkriminelle. Möglicherweise können die Angreifer Leuten den Zugang zu ihrem Auto verweigern oder die Zentralheizung in Wohnungen abstellen. Normalität gibt es dann bei Bezahlung des Lösegelds. Ransomware könnte in diesem Fall unser tägliches Leben direkt beeinflussen.

Eine weitere Option ist, dass sich der Fokus von Ransomware verschiebt und das Ziel nicht mehr individuelle Geräte und deren Anwender sind. Statt die Dateien auf einem Computer zu kompromittieren, könnte Ransomware mithilfe von SQL-Einspeisung ganze Datenbanken auf einem Server im Netzwerk verschlüsseln. Das Resultat hat unter Umständen verheerende Auswirkungen. Die komplette Infrastruktur eines Unternehmens könnte mit nur einem Schachzug betroffen sein oder ein kompletter Internet-Service lahmgelegt werden. In so einem Fall wären mehrere hunderttausend Anwender betroffen.

Wie auch immer sich die Sache entwickelt, sollten wir uns darauf einstellen, dass Ransomware in den kommenden Jahren eine echte Bedrohung ist. Passen Sie also beim Öffnen von E-Mails, beim Besuch von Websites und so weiter auf und spielen Sie immer die aktuellen Sicherheits-Updates ein. Ansonsten werden Sie auch eines der vielen Opfer, die Ransomware schon heimgesucht hat.

Kann ein VPN vor Angriffen mit Ransomware schützen?

Die Verwendung eines VPNs schützt nicht vor Angriffen mit Malware, allerdings wird das Sicherheitsniveau Ihres Systems verbessert. Ein VPN bietet viele Vorteile.

  • Benutzen Sie ein VPN, wird Ihre IP-Adresse verschleiert und Sie können anonym auf das Web zugreifen. Aus diesem Grund ist es für Malware-Entwickler schwieriger, Ihren Computer zu erreichen. In der Regel halten Sie Ausschau nach anfälligeren Anwendern.
  • Teilen Sie Daten oder greifen auf solche online mit einem VPN zu, dann sind die Daten verschlüsselt und bleiben somit außerhalb der Reichweite von Malware-Schreibern.
  • Ein zuverlässiger VPN-Dienst blockiert außerdem bedenkliche URLs.

Aufgrund dieser Faktoren sind Sie durch die Verwendung eines VPNs besser vor Malware und natürlich auch Ransomware geschützt. Es gibt jede Menge VPN-Anbieter, für die Sie sich entscheiden können. Stellen Sie sicher, dass der VPN-Anbieter der Wahl einen guten Ruf und auch die notwendige Expertise im Bereich Online Security hat.

Sind Sie auf der Suche nach einem VPN, dann hilft Ihnen unser Artikel mit den am meisten empfohlenen VPNs unserer Anwender.

War dies hilfreich? Teil Sie es mit anderen!
Auf Facebook teilen
0
Diesen Artikel twittern
0
Teilen Sie den Artikel, wenn Sie der Ansicht sind, dass Google nicht genug über Sie weiß
0