News Ticker

Warum Ransomware so schädlich und schwer zu stoppen ist – Palo Alto Networks vermittelt Grundlagen

Dass Cyberattacken für Unternehmen immer teurer werden, belegt eine aktuelle Studie von  Accenture und dem Ponemon Institute. So stiegen die Schäden durch Cyberattacken in den vergangenen fünf Jahren um 62 Prozent. Als einen wesentlichen Grund nennt die Studie die weitreichenden  Ransomware-Attacken aus 2017. Demnach haben WannaCry and Petya bei Unternehmen Umsatzausfälle von mehreren hundert Millionen Euro verursacht. Vergleichbare Beobachtungen macht Palo Alto Networks. Deshalb hält es das Unternehmen für unverzichtbar, breit über das Thema „Ransomware“ aufzuklären.

Im jüngsten Bericht über Ransomware von Unit 42, dem Anti-Malware-Team von Palo Alto Networks, stellt Bryan Lee fest: „Im Jahr 2016 dachte man, dass es weniger als einhundert aktive Ransomware-Varianten in freier Wildbahn gibt. Heute beträgt die Anzahl der gesamten Ransomware-Varianten mindestens über 150, wenn nicht sogar Hunderte mehr.“

Es ist sinnvoll zu fragen, warum Ransomware nicht nur existiert, sondern regelrecht gedeiht. Die erste Antwort darauf ist, wie im Bericht dargelegt, dass Ransomware ein lukratives Geschäftsmodell für Cyberkriminelle ist. Neben dem Faktor Mensch gibt es jedoch technische Gründe. Insbesondere gibt es drei Dinge, die Ransomware zu einer besonders starken Bedrohung auf technischer Ebene machen:

  1. Ransomware nutzt sehr effektiv das Vertrauen aus, das Benutzer in das Microsoft Windows-Betriebssystem setzen.
  2. Ransomware zielt speziell auf Dateitypen und Speicherorte ab, die für die Benutzer wertvoll sind.
  3. Ransomware arbeitet schnell und vereitelt so die rechtzeitige Reaktion durch Post-Compromise-Tools.

In gewisser Weise sind diese drei Punkte offensichtlich. Die vollständigen Auswirkungen und warum diese Ransomware schwer zu stoppen ist, werden jedoch nicht immer diskutiert.

Die Art und Weise, wie Ransomware funktioniert, ist gut dokumentiert. Dennoch fasst Palo Alto Networks zusammen:

Ransomware wird in das System eines Benutzers heruntergeladen und darauf ausgeführt. Die Art und Weise, wie die Angreifer die Ransomware auf das System bringen, ist unterschiedlich: Dies kann durch ungepatchte Sicherheitslücken, Social Engineering oder beides geschehen. Die häufigste Methode, mit der Ransomware-Betreiber Angriffe verüben, ist das Aufrufen von böswilligen oder kompromittierten Websites aus der E-Mail heraus oder über die Web-Browsing-Funktion durch den Benutzer. Die deutliche Mehrheit der Ransomware-Angriffe richten sich gegen Microsoft Windows-Systeme. Sobald Malware auf dem System des Benutzers ausgeführt wird, sucht und verschlüsselt es Dateien und Ordner, die für den Benutzer wichtige Informationen enthalten, wie z.B. Dokumente, Geschäftsanwendungen oder sogar Datenbankdateien. In einigen Fällen ist die Ransomware so ausgereift, dass sie bestimmte Anwendungsdateien ansprechen kann. Ransomware wird mit den Privilegien des kompromittierten Benutzers ausgeführt, so dass der Angreifer auf jede Datei, einschließlich Netzwerkfreigaben und Backups Zugriff hat, wie der legitime Benutzer.

Es ist dieser letzte Punkt, warum Ransomware so gefährlich ist. Aus Sicht des Betriebssystems ist die Ransomware der Benutzer. Obwohl Microsoft Windows heute über ein robustes Benutzerzugriffskontrollsystem verfügt, hat dieses System inhärente Einschränkungen. In den frühen Tagen von Windows Vista ermöglichte Microsoft eine aggressive Sicherheitsüberprüfung, um sicherzustellen, dass vom Benutzer initiierte Aktionen legitim waren. Das war gut gemeint, aber letztendlich fehlgeschlagen: Die Benutzer hatten es satt, auf die „Sind Sie sich sicher?“-Dialogfelder zu klicken und deaktivierten bald diese Funktion oder klickten einfach jedes Mal, wenn sie sie sahen, gedankenlos auf „OK“. Microsoft hat angemessene Anpassungen vorgenommen, so dass diese Warnmeldungen jetzt sparsam eingesetzt werden. Obwohl diese Funktion nie aktiviert wurde, um Benutzerdatendateien als Ransomware-Ziele zu schützen, gibt es eine klare Lektion aus der Erfahrung: zu viele Sicherheitsüberprüfungen der Benutzeraktivitäten scheitern am Ende.

Die einzige Möglichkeit, das Betriebssystem vor Ransomware zu schützen, wäre, die „Sind Sie sich sicher?“-Dialogfelder für alltägliche Operationen gegen die Arten von Dateien, auf die Ransomware abzielt, hervorzuheben. Und hier kommt der zweite Punkt zum Tragen.

Im Gegensatz zu anderen Formen von Malware ist Ransomware sehr zielgerichtet. Sie sucht nach den Dateien, die für den Benutzer wohl am ehesten interessant sind. Dies sind auch Dateien, die Benutzer am ehesten verwenden oder die für den Betrieb eines Unternehmens von entscheidender Bedeutung sind. Zusätzliche Schutzschichten für diese Dateien wären sehr beschwerlich. Schwer vorzustellen, dass Anwender für jedes Dokument oder Bild, das sie an einem Tag geöffnet haben, durch die Dialogfelder „Sind Sie sicher?“ klicken.

Aus technischer Sicht erhöht diese einzige, zielgerichtete Jagd auf Dateien, die von Bedeutung sind, die Chancen des Erfolges von Ransomware erheblich.

Hieraus folgt der dritte Punkt: Es wird wenig Angriffszeit auf Dateien verschwendet, die für das Opfer unwichtig sind. Sogar ein erfolgreicher Ransomware-Angriff, der von der Sicherheitssoftware frühzeitig gestoppt wird, wird einen gewissen Schaden anrichten – und damit genug, um das Opfer in die Lage zu versetzen, das Lösegeld zu bezahlen, um die Dateien zurückzubekommen. Wenn user32.dll verschlüsselt und unbrauchbar wäre, wäre das ein Problem. Aber wenn der gesamte Buchhaltungs- und Prüfungsbericht des Unternehmens vor dem wichtigen Termin nicht verfügbar ist, ist das katastrophal.

Das Gesamtergebnis dieser drei Punkte ist, dass Ransomware eine erhebliche Bedrohung darstellt, so dass der Schwerpunkt auf Prävention liegen muss. Es gibt keine effektive Lösung für Ransomware auf Betriebssystemebene, wie oben beschrieben. Und im Gegensatz zu anderen Angriffen können Ransomware-Angriffe nicht „nur ein bisschen“ erfolgreich sein. In einigen Fällen ist eine verlorene einzelne Datei mehr als genug, um als vollständig erfolgreicher Angriff zu zählen.

In gewisser Weise ist Ransomware eine Bedrohung wie keine andere. Ihre Wirkung und ihr Umfang sind sowohl breit als auch tiefgreifend und einzigartig. Daher muss Ransomware aus Sicht der Risikobewertung in eine Klasse für sich genommen werden, was die Anerkennung der Tatsache miteinschließt, dass die Risiken eines erfolgreichen Angriffs in jedem Fall sehr hoch sind.