Daten als Geiseln: Teil 1 des Interviews mit Kaspersky Lab-Experte Christian Funk

„Are you a Ransomware-Victim?!“ Bei der derzeitigen Entwicklung der Cyber-Kriminalität wird die Antwort „Ja!“ wohl keinen mehr wirklich überraschen. War das Risiko von Ransomware vor fünf Jahren noch deutlich geringer, muss heute fast schon von einer explosiven Evolution gesprochen werden; immer neue Variationen, immer neue Familien. Das Geschäft ist ein lukratives, zumal die Schadsoftware immer raffinierter wird, so dass es mit jedem Angriff noch schwieriger ist, die Daten wieder zu entschlüsseln.

Ein hoch brisantes und zugleich sehr komplexes Thema! Deshalb haben wir uns heute einfach mal einen echten Experten mit ins exali.de InfoBase-Boot geholt: Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab, hilft uns in einem zweiteiligen Interview auf die Ransomware-Sprünge.

Interview Teil 1 – die Grundlagen

Allein im letzten Jahr registrierte das Sicherheitsunternehmen Kaspersky Lab 7,2 Millionen Angriffe durch eine erpresserische Schadsoftware wie Ransomware. Die Cyber-Kriminellen scheinen immer einen Schritt voraus und entdecken ständig neue Angriffsziele. Wie groß die Gefahr tatsächlich ist, ins Visier zu geraten, und wie das bösartige Katz- und Mausspiel genau abläuft, verrät Christian Funk im ersten Teil des Interviews – mit spannenden Details und Beispielen aus der Praxis!

Herr Funk, wie nehmen Sie die Entwicklung der Cyber-Kriminalität wahr? Erkennen Sie generell einen Zuwachs an Gefahren oder würden Sie eher von einem „Umschwenken“ von anderen Gefahren auf Ransomware sprechen?

Ein Umschwenken ist das nicht, wir verzeichnen einen generellen Anstieg an Gefahren. Allerdings war insbesondere die Ransomware eine Nische im Malwarebereich, die sich über die Jahre stetig entwickelt hat; das Genre an sich gibt es schon seit Ende 2005/Anfang 2006. Mittlerweile ist Ransomware eines der größten Genres im Bereich der Malware. Die Evolution, die stattgefunden hat, ist sehr groß.

Was genau ist diese gefährliche Ransomware?

Die erpresserische Software unterschiedet zwei Subgenres: Locker und Encrypter. Locker versperren den Zugriff zu Daten oder Rechnern, d.h. sie setzen ein Passwort, das beim Starten eingegeben werden muss; Encrypter hingegen verschlüsseln die Daten auf Datenträgern und halten sie als Geiseln. Verschlüsselt wird dabei alles, was von diesem Rechner (Account) aus zugänglich ist; das schließt beispielsweise auch externe Datenträger, irgendwelche USB-Sticks und USB-Festplatten mit ein. Das heißt: Falls ich ein NAS-System oder eine sonstige Webshare im Netzwerk habe, auf die ich zugreifen kann und die zum Zeitpunkt der Infektion in meinem Account geöffnet sind, dann ist das Risiko sehr, sehr hoch, dass die Ransomware auch diese Daten befallen und verschlüsseln wird. In beiden Fällen (Locker und Encrypter) muss ein bestimmter Obulus bezahlt werden, um den Rechner bzw. die Daten weiter verwenden zu können.

Locker sind wesentlich einfacher zu programmieren, allerdings geht auch das Freischalten hier relativ simpel über ein Tool vonstatten, so dass meist am gleichen Tag noch weitergearbeitet werden kann. Die Lukrativität geht verloren! Heutzutage arbeiten Cyber-Kriminelle deshalb fast nur noch mit Encrypter. Hier sieht das Ganze nämlich schon anders aus: Die Daten werden als Geiseln gehalten! Das schüchtert den Anwender zum einen wesentlich mehr ein, als wenn nur der Zugriff versperrt ist. Zum anderen ist dadurch nicht nur die Produktivität gestört, sondern es treten auch Probleme rechtlicher Natur auf. Was ist zum Beispiel mit einem Unternehmer, der die Pflicht hat, Daten für eine gewisse Zeit aufzubewahren? Die Wahrscheinlichkeit, dass die Anwender bezahlen, um ihre Daten wiederzubekommen, ist so wesentlich höher.

Wie bahnt sich das Schadprogramm seinen Weg? D.h. wie arbeitet Encrypter?

Wie gesagt, die Daten werden verschlüsselt. Wenn die Schadsoftware einmal erfolgreich auf dem Rechner platziert wurde, wird sie dort normalerweise sofort ausgeführt, um die Zeit zu nutzen, in der das Antiviren-Programm die Schadsoftware noch nicht erkennt. Dann sieht die Malware nach, welche Datenträger überhaupt für sie verfügbar sind und welche Dateiarten verschlüsselt werden sollen. Natürlich soll nicht alles verschlüsselt werden, sonst würde das ganze System streiken und der Betroffene könnte die geforderte Lösegeldsumme nicht mehr bezahlen. Das ist schlecht für’s Geschäft ;-) Deshalb werden nur bestimmte Dateiarten wie Bilder, Office-Dokumente verschiedener Versionen, PDF-Dateien, Bilder, Datenbanken, sofern vorhanden, usw. verschlüsselt. Ganz kritisch sind auch Zertifikate auf dem Rechner, vor allem für Webseitenbetreiber oder Entwickler. Erst kürzlich habe ich mit einem Kollegen eine Ransomware analysiert, die sage und schreibe 185 Dateiformate im Visier hatte; eine ganz schöne Menge, oder?

Alles, was ich bisher geschildert habe, passiert im Hintergrund. Erst wenn alle beabsichtigten Daten verschlüsselt sind, werden die Betroffenen mit einer Meldung konfrontiert, die entweder in einem extra Fenster oder als Wallpaper erscheint und in der es heißt: „Ihre Daten sind jetzt verschlüsselt!"

So kann ein Erpresserschreiben beispielsweise aussehen. © Bild: Kaspersky Lab – CoinVault-Erpressersoftware auch im deutschsprachigen Raum aktiv

Ransomware ist die einzige Schadsoftware, die einen solchen psychologischen Aspekt einbringt, indem die Angreifer ihre Opfer persönlich ansprechen: Ich habe deine Daten; wenn du sie wieder haben möchtest, dann kostet dich das zwischen 15 und 2.500 Dollar! Teilweise auch ein Vielfaches, wenn die Angreifer herausfinden, dass es sich um einen Firmenrechner handelt...

Stichwort Browser: Bin ich als User bei Chrome oder Firefox tatsächlich sicherer als beim Internet Explorer?

Es werden stetig neue Schwachstellen gefunden, bei manchen Browsern mehr als bei anderen – das ist richtig. Allerdings ist es so, dass die meisten Drive-by-Downloads, Exploits oder Schwachstellen, die ausgenutzt werden, sich nicht im Browser befinden, sondern in den Browser-Plugins, also in Java, Flash oder wenn PDF-Dokumente im Browser geöffnet werden. D.h. der Befall läuft oftmals über Plugins ab und ist damit unabhängig vom verwendeten Browser.

Sieht’s da beim Betriebssystem anders aus? Viele Unternehmen schwören auf Linux und beteuern, dass nur Windows so anfällig ist. Wahrscheinlich sind weniger Sicherheitsrisiken im Linuxbereich bekannt, aber vermutlich gibt es welche, oder?

Die gibt es durchaus. Auch Linux bleibt nicht von Sicherheitslücken verschont. Auch Konfigurationsfehler spielen hier – vor allem im Serverbereich – eine große Rolle. Die klassische Antwort ist hier aber erstmal den Bereich zu betrachten: Wie ist der Markt beschaffen? Windows ist definitiv am meisten vertreten, dementsprechend ist es die größte Zielscheibe für den klassischen Cybercrime; dort ist am meisten zu holen, dort ist die Wahrscheinlichkeit am höchsten, dass ich als Angreifer möglichst viele Opfer erwische – deshalb Windows. Für Apple gibt es auch Schadsoftware aber um eine ganze Dimension weniger. Und nochmal weniger gibt es dann eben für Linux. Linux als solches ist nicht ganz befreit von Schadsoftware, aber es ist eine andere Art von Angriffen, denn wo wird Linux am häufigsten eingesetzt? Im Serverbereich; im Desktopbereich sind wir mit Linux weit unter fünf Prozent. Von dem her gibt es keine Schadsoftware für den Consumer-Bereich, die ein ähnliches Gebaren aufweist wie Ransomware.

Wenn ein bei uns versicherter IT-Freelancer in ein Unternehmen geht und auf seinem Laptop Linux verwendet, wäre das also schon mal die halbe Miete, oder?

Das Risiko mit Linux ist in der Tat sehr niedrig, aber auch hier ist Vorsicht geboten: Was ist zum Beispiel mit Exploits in Dateiformaten wie PDF- oder Office-Dokumenten, die auf dem Rechner gespeichert sind? Diese sind auf AdobeReader oder Microsoft Office ausführbar und kommen dort zum Tragen, d.h. dort entfaltet die Ransomware erst ihre schädliche Wirkung. Da Exploits sich bei Linux nicht auswirken, weiß man ja nicht, ob in der aufbewahrten Datei etwas Gefährliches steckt oder ob man gerade nur Glück hat, weil man das richtige bzw. falsche Betriebssystem nutzt. Wer aber kann sicher sein, dass diese Datei nicht doch irgendwann zwei Monate, ja vielleicht sogar erst zwei Jahre später auf einen Windows-Rechner kommt, auf dem sich die Schädlichkeit entfaltet? Linux und OS X sind in dieser Hinsicht nur eine Art „Durchlauferhitzer“ – ein kleiner „Schläfer“. Das ist zum einen ein rechtliches Problem, zum anderen aber ein riesiges Reputationsproblem, das Unternehmer um jeden Preis verhindern sollten!

So geht’s weiter: Ausblick auf Teil 2 des Experten-Interviews

Nachdem Christian Funk nun aus seiner Praxiserfahrung heraus sehr ausführlich und detailliert erzählt hat, wie sich Ransomware einen Weg durch den PC bahnt, interessiert die Opfer jetzt natürlich, wie sie sich im Fall der Infektion richtig verhalten und welche Maßnahmen schon im Voraus zum Schutz beitragen. Funk gibt im zweiten Teil des Interviews deshalb exklusiv seine Top-Tipps preis – auch für Ransomware-Füchse ist da sicherlich noch allerhand Wissenswertes dabei!

Über unseren Interview-Partner Christian Funk

Christian Funk arbeitet als Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. Der 1984 geborene Christian Funk kam im Jahr 2007 zu Kaspersky Lab und wurde ein Jahr später zum Virus Analyst für Central Europe ernannt. Seine Spezialgebiete sind die Webseiten sozialer Netzwerke, die Analyse von Internetbetrug sowie die Beobachtung des Schwarzmarkts im Bereich Online-Gaming. Zu seinen weiteren Aufgaben zählen die Durchführung von Mitarbeiterschulungen sowie die Erstellung von Statistiken im Bereich IT-Sicherheit. Christian Funk studierte an der Fachhochschule Ingolstadt Informatik mit der Fachrichtung Informationsmanagement.