Erledigt sich das Thema Ransomware von selbst?

von Udo Schneider, Security Evangelist DACH


Ransomware hat sicher das Ende der Fahnenstange noch nicht erreicht. Allein aufgrund der Tatsache, dass das Geschäftsmodell offensichtlich funktioniert und sich die Margen der Cyberkriminellen aufgrund von Optimierungen bei der Software und den dahinter liegenden Prozessen noch steigern lassen, rechnen viele nicht mit einem Abflauen der Bedrohung.

Allerdings gibt es einen schwachen Hoffnungsschimmer am Horizont. Dieser liegt weder in besseren Abwehrmaßnahmen noch in fallenden Margen der Cyberkriminellen. Es ist schlichtweg Gier, Trittbettfahrerei oder auch Dummheit – je nachdem wie man es betrachtet…

Konkret geht es um eine „Pseudo“-Ransomware namens „Ranscam“. Normalerweise baut Ransomware eine Drohkulisse auf – dies können z.B. angebliche Straftaten sein wie beim BKA-Trojaner oder auch das Verschlüsseln von Daten wie bei Locky. Diese wird dann genutzt, um von Opfern Geld zu erpressen. Zahlt das Opfer, wird der Zugriff zum PC wieder erlaubt bzw. die Daten entschlüsselt. Ranscam spart sich den zweiten Schritt: Denn die Schadsoftware löscht einfach unwiederbringlich alle persönlichen Daten und Executables zur Systemwiederherstellung, Schattenkopien und weitere, berichtet Cisco Talos. Das bedeutet, dass ein Opfer keine Dateien retten kann.

Auf den ersten Blick sieht das nach typischer Trittbettfahrerei aus. Anstatt Zeit und Ressourcen in die Entwicklung einer „richtigen“ Ransomware zu investieren, hoffen die Kriminellen auf Opfer, die einfach zahlen. Gedanken um die Wiederherstellung der Daten braucht sich der Schreiber von Ranscam nicht zu machen.

Sollte sich die Kunde von der doppelt betrügerischen  Ranscam-Masche weiter verbreiten, sinkt natürlich auch bei Opfern „normaler“ Ransomware die Bereitschaft zu zahlen, wenn die Daten sowieso verloren sind.

Das aber wäre dem Geschäftsmodell natürlich nicht förderlich. Eher im Gegenteil. Normale Ransomware gibt es inzwischen sogar mit eingebautem Support Chat und mit der Möglichkeit, einige Dateien zu entschlüsseln. So gesehen als Beweis des guten Willens. Diese „vertrauensbildenden Maßnahmen“ werden von Ranscam natürlich gnadenlos unterlaufen. Mit Ranscam geht es womögich um die Gefährdung eines ganzen (Untergrund-)Wirtschaftszweigs.

Vor diesem Hintergrund muss man sich als potenzielles Opfer, egal ob nun als Privatperson oder auch als Firma, nun auch die Frage stellen, wie man mit der Gefährdung durch Ransomware umgeht. Ein rein reaktiver Ansatz, auch „ducken und hoffen“ genannt, bei dem Unternehmen oder Einzelpersonen einfach darauf hoffen, nicht Opfer zu werden bzw. im Schadensfall auf Decrypt Tools zu setzen, ist schlichtweg fahrlässig. Ranscam zeigt sehr deutlich, dass es selbst nach Zahlung des Lösegelds keine Garantie für die Wiederherstellung der Daten gibt! Selbst wenn man, für den Fall der Fälle, schon Bitcoins zurückgelegt hat, garantiert das noch lange nicht die Wiederherstellung der Daten.

Ein proaktiver Ansatz, der sowohl das Infektionsrisiko vermindert als auch den Schaden im Eintrittsfall abschwächt, ist deutlich erfolgsversprechender. Aus Sicht der Risikobetrachtung ist Ransomware inzwischen ein Thema, das nicht mehr zu ignorieren ist. Abhängig vom Gefährdungsgrad, der Eintrittswahrscheinlichkeit und den anfallenden Kosten müssen entsprechende Gegenmaßnahmen auf der Prozess-, Aufklärungs- und technischen Ebene evaluiert und eingeführt werden. Dies können einfache Dinge wie das Blocken gefährlicher Dokumente oder der Aufbau einer integrierten Sandboxing- bzw. Breach Detection Lösung sein. Aber auch Awareness-Maßnahmen und Kampagnen zielen in diese Richtung.

Alle diese Maßnahmen vermindern das Risiko – sie beseitigen es nicht. Vor diesem Hintergrund bekommt die Frage nach Einführung eines strukturierten Backups natürlich wieder Auftrieb. Ganz abgesehen davon, dass ein funktionierendes Backup (und Restore!) aus Sicht des betrieblichen Kontinuitätsmanagement (Business Continuity Management, BCM)) auf jeden Fall sinnvoll ist, kommen mit dem Aufkommen von Ransomware und insbesondere Ranscam als „Disaster“ weitere gute Gründe hinzu.

Lösungen von Trend Micro

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ toppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*