Es gibt zwei Arten von Ransomware. Bei der am weitesten verbreiteten Art von Ransomware handelt es sich um Verschlüsselungssoftware. Solche Programme chiffrieren die Daten auf dem Gerät des Opfers und verlangen Geld als Gegenleistung für das Versprechen, die Daten wiederherzustellen. Die den Bildschirm blockierenden Programme hingegen beeinträchtigen die auf dem Gerät gespeicherten Daten nicht. Dafür verhindern sie, dass das Opfer auf sein Gerät zugreifen kann. Die auf dem gesamten Bildschirm angezeigte Lösegeldforderung kommt typischerweise als Nachricht irgendeiner Strafverfolgungsbehörde daher, in der es heisst, das Opfer habe auf illegale Webinhalte zugegriffen und müsse nun ein Verwarnungsgeld zahlen.
Ransomware-as-a-Service-Geschäftsmodelle sind bei Cyberkriminellen, bei denen es selbst an Fähigkeiten, Ressourcen oder Eigenentwicklungen fehlt, beliebter zu werden. Das Schema: Code-Entwickler bieten Ransomware-Schädlinge – oft als einzigartig modifizierte Version – auf Kommissionbasis zum Kauf und zur anschliessenden Weiterverbreitung über Spam-E-Mails oder Webseiten an. Der Entwickler erhält vom Cybererpresser eine entsprechende Kommission. Ein Beispiel: Im Falle des Schädlings ,Petya‘ bleiben einem Angreifer von 125 in der Woche erpressten Bitcoins nach Abzug der Kommission 106,25 Bitcoins Gewinn übrig.
Wie auch in anderen Cybercrime-Bereichen hat sich im Ransomware-Umfeld ein klassisches Partnermodell bei Kaspersky Lab als effektiv erwiesen. Viele Opfer sind bereit, das geforderte Lösegeld zu bezahlen. Fliesst Geld durch das System tauchen zwangsläufig fast täglich neue Verschlüsselungsprogramme auf.
2016: Das Jahr der Ransomware
Attacken auf Unternehmen nahmen stark zu: Gemäss einer Umfrage von Kaspersky Lab lässt sich jeder fünfte Cybersicherheitsvorfall in einem Unternehmen auf eine Ransomware-Attacke zurückführen. Eines von fünf kleinen Unternehmen bekam auch nach der Zahlung des Lösegelds die verschlüsselten Daten nicht zurück.
Im Jahr 2016 gab es neue Methoden für Ransomware-Attacken. Dazu gehört Festplattenverschlüsselung, bei der Angreifer den Zugang blockieren, oder die gesamte Festplatte und nicht nur Daten und Ordner verschlüsseln, wie beispielsweise bei ,Petya‘. Der Schädling ‚Dcryptor‘ (auch als ‚Mamba‘ bekannt) geht noch einen Schritt weiter, indem er das gesamte Laufwerk eines Systems verschlüsselt, mittels Brute-Force-Angriffen auf Passwörter für den anschliessenden Fernzugriff auf die anvisierte Opfermaschinen.
Auch bei Billigware gab es einen Anstieg bei Ransomware-Trojanern mit geringer Qualität, die beispielsweise Software-Lücken und schlampige Fehler bei der Lösegeld-benachrichtigung aufwiesen. Dadurch sank die Wahrscheinlichkeit, dass Opfer ihre verschlüsselten Daten wiederherstellen konnten.
Prognose zur Evolution von Ransomware
Die Experten von Kaspersky Lab gehen davon aus, dass es wegen der starken Präsenz von Ransomware zu einem Vertrauensverlust zwischen Opfern und Angreifern kommen könnte. Der Grund: bisher haben sich viele Opfer nach einer Lösegeldzahlung auf die Freischaltung ihrer Daten durch die Angreifer noch oftmals verlassen können. Allerdings treten neue Cyberkriminelle in den Ransomware-Markt ein, darunter könnte die bisher gesehene Qualitätssicherung der Angreifer leiden; die Folge wäre ein Vertrauensverlust von Seiten der Opfer, wenn es um die Zahlung des geforderten Lösegelds geht.
Quelle: https://de.securelist.com/analysis/kaspersky-security-bulletin/72252/kaspersky-security-bulletin-2016-story-of-the-year/
Keine Kommentare:
Kommentar veröffentlichen