Ransomware: Erpressung als Business
Es ist Ende Juli 2020, die Services der Firma Garmin sind vom Netz. Die Smartwatches funktionieren nur noch eingeschränkt. Die Webseite ist nicht verfügbar? Was ist passiert?
Schon lange ist die Computerkriminalität ein einträgliches Geschäft. Hacker versuchen, dabei an Informationen zu gelangen, die sie gewinnbringend weiterverkaufen oder sie preisen ihre Dienste an, um Schaden zu verursachen.
Auch die Geheimdienste sind an diesem Spiel kräftig beteiligt: Sicherheitslücken werden schamlos ausgenützt, militärische Geheimnisse und geistiges Eigentum entwendet, Unwahrheiten und Halbwahrheiten verbreitet oder Wahlen manipuliert.
Dabei gelangt nur die Spitze des Eisbergs an die Öffentlichkeit. Das meiste bleibt verborgen.
Ein wichtiges Werkzeug der Cyberkriminellen ist Malware. Der Überbegriff Malware, auch Schadsoftware, wird oft fälschlicherweise mit dem Begriff Virus gleichgesetzt. Malware ist die Bezeichnung für sämtliche bösartige, Software, die in Computer eindringen kann. Viren gehören dazu. Aber auch Würmer, Trojaner, unter anderem Ransomware, sind Teil dieser Familie.
Die ersten Viren waren nicht sehr gefährlich, eher eine Spielerei. Im Zuge der Professionalisierung ist daraus ein lukratives Geschäftsmodell entstanden.
Erfolgreiches Ransomware-Jahr 2020
Das Jahr 2020 geht als das bisher „erfolgreichste“ in die Geschichte von Ransomware ein. Gemäss SonicWall’s jährlichem „Cyber Threat Report“ sind zwar Malware-Angriffe insgesamt um 43% zurückgegangen, aber die Anzahl der Ransomware[J(1] [TB2] [TB3] -Angriffe, als Teil der Malware-Angriffe, ist in der gleichen Zeit um 62% angestiegen!
Auch die Firma Garmin wurde Opfer von Ransomware. [J(4]
Als die „Wastedlocker“-Attacke von Garmin-Mitarbeitenden entdeckt wurde, hat die IT sofort versucht, sämtliche Computersysteme im Netz herunterzufahren, um eine weitere Verschlüsselung der Daten zu verhindern, was jedoch nicht funktionierte. Daraufhin wurden alle Mitarbeitenden aufgefordert, ihre Systeme herunterzufahren. Auch die Serversysteme in den Rechenzentren wurden abgeschaltet, was zu einem Ausfall von Garmin Connect, flyGarmin und weiteren Diensten führte.
Die Wiederherstellung der Services verlief sehr langsam. Nach zwei Tagen Totalausfall bezahlte Garmin – nach unbestätigten Angaben – etwa 10 Millionen Dollar an Lösegeld . Der Imageschaden kann nicht beziffert werden.
Das Beispiel der Firma Garmin steht stellvertretend für viele andere, die ebenfalls Opfer von Ransomware-Attacken wurden. Tatsache ist leider, dass eine grosse Zahl von Firmen Lösegelder bezahlt hat, um ihre Daten wiederherzustellen. Für das einzelne Unternehmen mag es betriebswirtschaftlich Sinn ergeben, Lösegeld zu bezahlen. Generell wird jedoch davon abgeraten. Viele Opfer konnten ihre Daten trotz Lösegeld nicht wiederherstellen.
Ausblick ins 2021
Es ist davon auszugehen, dass der Siegeszug von Ransomware weitergehen wird. Zu verlockend sind die Gewinne, zu einfach ist es dank Kryptowährungen das Geld zu transferieren.
Cyberkriminelle können im Darknet auf einen grossen Fundus von Malware inkl. Bauanleitungen zurückgreifen, um Kaskaden von Malware zu erstellen. Emotet z. B., war so zerstörerisch, weil sie aus einer Kaskade von Schadprogrammen (bestehend aus Emotet, Trickbot und Ryuk) gebaut wurde.
Es ist mittlerweile sogar möglich, Ransomware as a Service aus der Cloud zu beziehen.
Mit der Digitalisierung ganzer Wirtschaftszweige (wie z. B. Health, Government usw.) wird auch der Raubzug der Cyberkriminellen nicht abreissen. Oft sind dort das Know-how, die Sensibilität und die Einsicht der Notwendigkeit, sich von Beginn weg zu schützen, nicht vorhanden.
Schutz vor Ransomware
Nur ein umfassender Schutz (IT und Benutzer) kann das Eindringen von Malware eindämmen. Folgende vier Schutzmassnahmen können einen totalen Datenverlust, basierend auf einer Ransomware-Attacke, minimieren:
- Updates und Patches: Es muss sichergestellt werden, dass das Betriebssystem und die Anwendungen auf dem neusten Stand sind. [TB5] [J(6]
- Offline-Datensicherung: Damit Ransomware keine Originaldateien und deren Sicherungen verschlüsseln kann, müssen die Sicherungen auf einem externen Speichermedium erfolgen, das in der Regel nicht mit dem Computer-System verbunden ist.[TB7] [J(8]
- Netz-Segmentierung: Durch Segmentierung der Netztopologie kann eine rasche Verbreitung der Malware verhindert werden.
- Anti-Ransomware: Durch den Einsatz von Sicherheitslösungen (mit dezidierter Anti-Ransomware) kann eine Infizierung des Systems im Ansatz verhindert werden.
- Bewusstsein: Die essenziellste Schutzmassnahme ist die Aufklärung der Benutzerinnen. Es zeigt sich immer wieder, dass das häufigste Einfallstor für Ransomware der Benutzer ist. Darum merke:
- Keine Links in nicht vertrauenswürdigen E-Mails anklicken
- Keine Anhänge in E-Mails von unbekannten Personen öffnen
Absolute Sicherheit gibt es nicht! Jedes Unternehmen kann Opfer eines Ransomware-Angriffs werden. Wichtig ist die richtige Vorbereitung auf solche Ereignisse.
Es braucht einen Notfallplan, um weitere Schäden einzudämmen. Regelmässige Notfallübungen sind unabdingbar, um Lücken zu entdecken und Verbesserungen in den Notfallplan einfliessen zu lassen.
Zusätzlich ist es entscheidend, die Mitarbeitenden in diesem Bereich zu schulen und zu sensibilisieren. Denn die besten Schutzmassnahmen sind nur so gut, wie das schwächste Glied in der Kette
[J(9] Ein wichtiges Ziel ist es, das Bezahlen von Lösegeldern möglichst zu verhindern, um so der Ransomware-Mafia den Nährboden zu entziehen.
Literaturquellen / Links / Tools
https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/
SonicWall Cyber Threat Report 2021
BSI, Schadprogramme-Fragen und Antworten
Autorenteam:
Daniel Jutzi, Swisscom (Schweiz) AG
Thomas Bürgis, Branax AG
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)