Als wenn es die TELI geahnt hätte: „Digitale Erpressung aus dem Internet – was gegen Ransomware wirklich schützt“. So der Titel des TELI-Jour-fixe am 28. März in München. Wer den Abend besuchte, wusste spätestens danach um die Bedrohung. Wenige Wochen später schlugen Cyber-Kriminelle am 12. Mai 2017 zu und attackierten weltweit unzählige Systeme. Nach letzten Zahlen von Europol haben die Internet-Erpresser in über 150 Ländern zugeschlagen. Der Trojaner, der „Wanna Decryptor“ oder „Wanna Cry“ genannt wird, befiel binnen weniger Stunden bereits etwa 200.000 Windows-Computer: Beginnend in Krankenhäusern in Großbritannien, meldeten wenig später auch Telefonica in Spanien, die Autobauer Renault und Nissan Vorfälle und selbst die Deutsche Bahn hat mit Ausfällen zu kämpfen.
Ransomware – Erpresser blockieren mit eingeschleusten Schadprogrammen Computer und “versprechen”, sie nach dem Bezahlen einer gewissen Summe wieder zu entschlüsseln. Ein immer größer werdendes Problem. Darauf verwiesen Martin Zeitler, Manager Systems Engineering bei Palo Alto Networks Deutschland, und Udo Schneider, Security Evangelist bei Trend Micro, beim TELI-Jour-fixe im März.
Die Erpresser aus dem Web wollen mit ihren Taten meist nur an Geld kommen, um damit “ihren Kühlschrank zu füllen und den Schulbesuch der Kinder finanzieren.” Auch bei den aktuellen Gangstern ging es um Geld, wie der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, in einem Fernsehinterview feststellte. Keine Spur von Terrorismus also. Doch die Gangster vom Wochenende wollten mit ihrer globalen Attacke nicht nur ihre Kühl- sondern auch ihre Geldschränke füllen. Freilich: Eine Ransomware-Attacke dieser Größenordnung habe es noch nicht gegeben, meldeten Fachleute in den Medien.
Schwachstelle Mensch
Die TELI-Referenten hatten es schon darauf aufgezeigt und beim aktuellen Fall hat es sich aufs Neue bewahrheitet: Das Einfallstor für solche Attacken sind E-Mails, speziell solche mit Anhängen. Darauf wies unter anderem das BSI hin. Und auch der Vorstandsvorsitzende der Deutschen Bahn AG, Richard Lutz, nannte die gleiche Ursache. Bei der Bahn hatte der Trojaner unter anderem die Fahrtzielanzeigen und Abfahrttafeln erfasst. Sie fielen aus und waren nur mühsam wieder zu starten, da die DB dafür keinen zentralen Server vorhält. Allerdings, so beteuert die Bahn, seien keine sicherheitsrelevanten Bereiche betroffen gewesen. Das Früherkennungssystem hätte gegriffen und der Zugverkehr sei störungsfrei verlaufen.
Aber nicht nur direkte E-Mail-Anhänge sind problematisch. Oft kommen die Trojaner mittlerweile über Download-Links zu MS-Office-Dokumenten oder PDFs, wie sie beispielsweise gerne unter dem Deckmantel einer Bewerbung an Personalabteilungen verschickt werden. Auf diesem Weg gelangen die Trojaner ins System, wo sie dann auf den Firmenrechnern Ransomware installieren.
Ransomware – eine Branche auf der Suche nach neuen Einnahmequellen
Inzwischen gebe es aber “verbesserte” Attacken, sagten sie. Ein Beispiel ist “Doxware”, mit der die Cyber-Kriminellen eine weitere Einnahmequelle aufmachen: Diese Schädlinge beschränken sich nicht mehr nur darauf, Dateien zu verschlüsseln und so Rechner bzw. ganze Datenbanken zu blockieren, sondern stehlen gleichzeitig Daten. Selbst wenn man zahlt und tatsächlich einen funktionierenden Entschlüsselungscode erhält, hat man also keine Sicherheit, dass die abgeflossenen Daten nicht an interessierte Dritte “weitergereicht” werden – gegen entsprechendes Entgelt.
Das “Lösegeld” verlangen die Erpresser meist in der Digitalwährung Bitcoin. Zum Geldtransfer nutzen die Gauner die verschiedensten digitalen Pfade und zerlegen die Summe in kleinste Portionen. So ist der endgültige Geldempfänger nur sehr schwer zu identifizieren. Am Ende fasst der dann die zerstückelten Zahlungsströme wieder zusammen und kassiert, erfuhr man bei der TELI. Die Gangster vom Wochenende verfuhren Medienberichten zufolge wohl nach diesem Schema. Europol rechnet mit einer “komplexen internationalen Untersuchung”, meldete der ARD-Text.
Ransomware-Täter greifen aber nicht nur PCs und Server an. Auch Mobilgeräte, mit dem Internet verbundene Fernsehgeräte und das Internet der Dinge (IoT), darunter womöglich auch industrielle IoT-Geräte, sind den Attacken ausgeliefert. Einmal im System angekommen, könnte ein Cyber-Krimineller so ganze Fabriken stilllegen oder auch nur damit drohen, falls nicht gezahlt wird. Selbst das oftmals als Allheilmittel gegen Viren und sonstige Schädlinge eingesetzte Betriebssystem UNIX schütze nicht, so die IT-Experten beim TELI-Abend. Denn: “Auch UNIX hat Schwächen.” Windows mit seinen vielen Apps sei aber gefährdeter. Eine seit Anfang des Jahres bekannte Lücke im Windows-Betriebssystem soll nach aktuellem Ermittlungsstand das Einfallstor für “Wanna Cry” gewesen sein. Zwar hätte Microsoft das Sicherheitsloch auf aktuell noch unterstützten Betriebssystemen schon vor einiger Zeit gestopft, aber nicht alle PC-Nutzer hätten das Update aufgespielt, meldet unter anderem das BSI. Dazu kommt, dass es nach wie vor unzählige Systeme gibt, die mit Betriebssystem-Versionen laufen, die von Microsoft nicht mehr gepatcht werden. Dabei gilt Trojaner “Wanna Cry” als sehr gefährlich, da er sich automatisch weiter verbreiten soll und so ganze Netzwerke befallen kann. Dem soll ein taufrisches Sicherheits-Update von Microsoft einen Riegel vorschieben, das Microsoft aufgrund der Brisanz sogar noch für ältere Software-Versionen zur Verfügung stellt.
Geheimdienste als Mitschuldige
“Die Kriminellen erpressen meist auf einem Niveau, bei dem der Geschädigte zähneknirschend zahlt, aber keinen Ärger macht, also nicht die Polizei verständigt.” So hieß es noch beim TELI-Jour-fixe. Mit der aktuellen Attacke scheinen die Cyber-Kriminellen zeigen zu wollen, dass sie weder BKA, Europol oder Geheimdienste fürchten und weltweit zuschlagen. Gerüchte, die Hacker stammten aus Regierungskreisen und die Attacke hätte einen terroristischen Hintergrund, werden von vielen Seiten dementiert. Eher wird ein Zusammenhang mit der internationalen organisierten Kriminalität angenommen. Und dennoch gibt Brad Smith, Präsident und Chefjustiziar, in einem Blog-Beitrag den US-Geheimdiensten zumindest eine Mitschuld an der jüngsten Attacke. Sie horteten Sicherheitslücken um sie selbst zur Ausspähung zu nutzen, anstatt sie an die betroffenen Unternehmen zu melden. Manches davon ist erst vor kurzem durch die unter dem Namen “Vault 7” öffentlich bekannt geworden.
Erpressen leicht gemacht dank Dienstleistern
Schwierig sei das Erpressen nicht, so die TELI-Referenten: Im Darknet bekomme man für kleines Geld Tools, mit denen man Ransomware basteln kann. Es gebe sogar Dienstleister, die das “Geschäft” für den Erpresser erledigten – gegen einen Anteil am “Gewinn”. Gegen die Attacken aus dem Netz gebe es kein Allheilmittel, so die Referenten. Aber Segmentierung und Firewalls zum Beispiel könnten vorbeugen. Und natürlich aktuelle Software nebst Updates. Und sollte doch einmal etwas passiert sein, helfen sogenannte “kalten Backups”. Darunter versteht man Backups, bei denen das Backup-Medium nach der Sicherung jeweils vom Rest-System abgekoppelt wird. Dadurch hat Ransomware keine Chance, auch diese Daten zu verschlüsseln. Sicherungen auf Netzwerkspeicher, die am System angeschlossen bleiben, helfen in dem Fall nicht, weil auch diese Dateien für einen Schädling erreichbar sind.
Dass “Wanna Cry” nun offenbar nicht mehr wütet, ist anscheinend einem englischen Blogger zu verdanken. Der Betreiber von “MalwareTech” entdeckte im Schadcode einen Aufruf einer nicht registrierten Domain und registrierte diese, um das Verhalten des Schädlings weiter verfolgen zu können. Damit hat er durch Zufall anscheinend den Schalter gefunden, der die weitere Verbreitung des Trojaners verhinderte. Denn anders als die meisten bisherigen Ransomware-Attacken hat diese Schadsoftware neben dem Trojaner und der Verschlüsselungskomponente noch einen Wurm integriert, durch den sie sich selbst weiterverbreitet hat.
Nun bittet das BSI Geschädigte, sich zu melden. Präsident Schönbohm setzt auf der Amts-Homepage nach: “Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.”
Auch wenn der Trojaner momentan gestoppt ist, können wir davon ausgehen, dass in der nächsten Zeit verbesserte Varianten in Umlauf kommen werden. Auch wenn Trend Micro eine Abflachung bei der Zunahme der Ransomware-Varianten vorhergesagt hat, bedeutet das in keinem Fall Entwarnung. Wir können davon ausgehen, dass die Methoden erfolgreicher werden und solche “dummen Fehler” wie im Fall “Wanna Cry” eine Ausnahme bleiben.
Die Folien zum Vortrag von Udo Schneider finden Sie hier.