Das Jahr 2015 beginnt mit einem massiven Hackerangriff gegen Sony Pictures Entertainment, der weltweit für Schlagzeilen sorgt. Der Cyberangriff macht die Besessenheit und die Fähigkeiten der Hacker deutlich. Mit Ransomware haben solche Angreifer jetzt einen Weg gefunden, ihre verbrecherischen Attacken in finanziellen Gewinn zu verwandeln und ihren Opfern damit in doppelter Hinsicht zu schaden.
Ransomware-Trend bedroht Unternehmen
Ransomware-Kampagnen sind finanziell motiviert und jeder kommt als potenzielles Opfer in Frage. Die Hacker selbst sind nicht mehr von Ideologie getrieben und machen auch keine Unterschiede mehr zwischen privaten Computern und den Servern eines großen Unternehmens. In beiden Fällen drohen den Betroffenen nicht nur erhebliche Datenverluste.
"Cryptowall 3.0" ist nur ein Beispiel für den Schaden, der durch Ransomware angerichtet werden kann: Alleine in den Monaten Juni und Juli 2015 stieg die Zahl der mit "Cryptowall" infizierten Unternehmen um rund 50 Prozent (verglichen mit Mai und April desselben Jahres). Die von Ransomware verwendeten Kommunikationsprotokolle waren in der Vergangenheit lange Zeit relativ konstant. Heutzutage verändern sie sich ständig, um die signaturbasierte Erkennung der Kommunikation zu umgehen. Es lässt sich festhalten, dass Ransomware deutlich raffinierter geworden ist.
Zu Beginn nutzen Ransomware-Schreiber lineare Verschlüsselungsmethoden, inzwischen sind sie zur Verwendung von - Lauschangriffen und Forensik gegenüber resistenteren - asymmetrischen Verschlüsselungsverfahren übergegangen. Ein weiterer Entwicklungssprung folgt als die Hacker erkennen, dass der Weg der Schlüsselaustauschphase durchkreuzt worden ist: Nun greifen die Cyberkriminellen auf den "Diffie-Hellman"-Schlüsselaustausch zurück. Bei diesem ist für die Erpressung keine echte Kommunikation zwischen Client und Server erforderlich.
Exploit-Kits: Hacking für Jedermann
Durch den Einsatz von Exploit-Kits hat sich die Situation noch verschlimmert, denn sie ermöglichen die Entwicklung neuer Malware (darunter auch Ransomware) - selbst mit sehr eingeschränkten IT-Fähigkeiten. Ein gutes Beispiel ist das "Angler Exploit-Kit", das Schwachstellen in Adobe Flash ausnutzt. Durch dieses Kit wird Ransomware wie "TeslaCrypt" und "Cryptowall" verbreitet.
Während die Erstellung von Malware sehr viel einfacher geworden ist, wird es für Unternehmen und Privatpersonen immer schwieriger, sich gegen die steigende Zahl der Hackerangriffe zu schützen. Doch es gibt verschiedene Mittel und Wege, wie Sie sich auf die wandelnde Bedrohungslandschaft vorbereiten und reagieren. In einem ersten Schritt erklären wir Ihnen die Angriffsvektoren bei einer Ransomware-Attacke. In unserer Bildergalerie am Ende des Artikels geben wir konkrete Handlungsanweisungen, wie Sie sich vorbeugend gegen erpresserische Hacker schützen können und vor allem was Sie tun können, wenn der Angriff bereits erfolgt ist.
Zum Video: Die richtigen Mittel gegen Ransomware
Auffinden des Chiffrierungsschlüssels
Wie die Dateien der Opfer genau verschlüsselt werden, ist von Malware zu Malware unterschiedlich. Zunächst einmal könnte es sein, dass der Malware-Autor nicht einmal über Grundkenntnisse der Verschlüsselung verfügt und daher katastrophale Fehler macht, wie den Schlüssel deutlich sichtbar an den codierten Dateien angehängt zurückzulassen. Im Regelfall haben Malware-Autoren aber zumindest geringe Kenntnisse über die korrekte Anwendung der Verschlüsselung. In diesem Fall wäre folgender Ablauf zu erwarten: Sobald die Malware ausgeführt wird, erzeugt sie einen zufälligen AES-256-Schlüssel, nutzt ihn zur Verschlüsselung der Dateien des Opfers, sendet ihn an den C&C-Server und löscht ihn dann. Der Punkt dabei ist, dass der Malware-Autor mit minimalen Kenntnissen über die richtige Anwendung von Verschlüsselung keine alternative Vorgehensweise kennt.
Zunächst einmal können Spuren des Schlüssels im Host-System zurückbleiben. Selbst wenn die Malware dafür sorgt, dass all diese Spuren gelöscht werden, hat buchstäblich jedes Teil des Netzwerks den Schlüssel auf dem Weg zwischen dem Endgerät des Opfers und dem C&C-Server gesehen. Das ist nicht sehr sicher, denn der Schlüssel könnte leicht über ein Kommunikationsprotokoll wiederhergestellt werden. Auch wenn die Kommunikation selbst verschlüsselt ist, könnte diese Verschlüsselung geknackt werden - insbesondere dann, wenn ein gezielter Versuch unternommen wird die Malware-Programmdatei durch Reverse Engineering wiederherzustellen.
Diese Fallstricke sind die Hauptgründe dafür, dass der traditionelle Weg, die Dateien eines Opfers in Geißelhaft zu nehmen, lange Zeit die Nutzung der sogenannten asymmetrischen Verschlüsselung war. Bei diesem Modell wird auf dem C&C-Server der Malware ein geheimer Schlüssel erzeugt. Danach wird ein entsprechender öffentlicher Schlüssel erzeugt und zum infizierten System gesendet. Der öffentliche Schlüssel wird zur Verschlüsselung der Dateien verwendet und nur der geheime Schlüssel kann diese dann wieder entschlüsseln. Es ist nicht möglich, den öffentlichen Schlüssel zur Entschlüsselung zu verwenden.
Kommunikation stoppen
Der nächste Angriffsvektor zielt auch auf die anfällige Phase des Schlüsselaustauschs ab. Im Unterschied zum ersten Vektor ist dies eine Präventivmaßnahme, die keine Kryptoanalyse beinhaltet. Stattdessen ist das Ziel die Verhinderung der Kommunikation zwischen der Ransomware und Ihrem C&C-Server. Bei der Bekämpfung von Ransomware kann eine automatische Traffic-Analyse helfen, falls sie die Möglichkeit zum umgehenden Shutdown des Traffics beinhaltet. Wenn eine Firewall die Kommunikation der Ransomware mit ihrem C&C-Server erkennen und verhindern kann, wird die Malware sehr wahrscheinlich beim Versuch des Verbindungsaufbaus in der Warteschleife "hängen" bleiben. Dabei ist es der Malware nicht möglich, einen symmetrischen Schlüssel zu versenden oder einen öffentlichen Schlüssel zu empfangen.
Ohne einen erfolgreichen Schlüsseltransfer haben Ransomware-Hacker einen schweren Stand. Falls die Malware - bei symmetrischer Verschlüsselung - den Erpressern den Schlüssel nicht senden kann, haben diese keinen Schlüssel für die betreffenden Dateien - was der eigentliche Sinn und Zweck ihrer Aktion ist. Falls der C&C-Server - bei asymmetrischer (Public-Key-) Verschlüsselung - den öffentlichen Schlüssel nicht an die Ransomware weitergeben kann, findet keine Verschlüsselung statt. Die direkte Wirksamkeit dieser Methode ist jedoch auch den Ransomware-Autoren nicht entgangen und sie haben ernsthafte Anstrengungen unternommen, sie zu umgehen. Die Verschlüsselung der gesamten Kommunikation ist eine Methode (mit den bekannten Fallstricken). Eine andere Methode der man in letzter Zeit in der Ransomware-Landschaft begegnet besteht darin, die gesamte Verschlüsselung offline auszuführen und erst nach erfolgter Verschlüsselung mit dem Server zu kommunizieren. Inwieweit diese Methode wirksam ist, hängt von der Implementierung ab. Einige neuere und besonders wirksame Implementierungen nutzen ebenfalls den Diffie-Hellman-Schlüsselaustausch zwischen dem bösartigen Server und der Malware-Instanz.
Schwache Verschlüsselung erkennen und bezwingen
Falls es unmöglich (oder bereits zu spät) ist den Schlüssel wiederherzustellen, respektive die Kommunikation zu unterbrechen, bleibt nur eine Möglichkeit: der Versuch die Verschlüsselung zu knacken. Bei starker Verschlüsselung funktioniert das natürlich nicht. Zum Glück werden aber nicht bei jeder Malware viele Mühen in die Stärke der Verschlüsselung gesteckt. Eine erfolgreiche Ransomware-Kampagne kann allerdings zehntausende Endgeräte beeinträchtigen. Wie viele Besitzer dieser Geräte werden die bedrohliche 72-Stunden-Frist zur Zahlung des Lösegelds sehen und denken: "Soll ich versuchen die Verschlüsselung zu knacken?" Gut möglich, dass Malware-Autoren zu dem Schluss kommen, dass es sich nicht lohnt, besondere Anstrengungen bei der Verschlüsselung auf sich zu nehmen.
Um eine Datei erfolgreich zu entschlüsseln, muss man zunächst die verwendete Verschlüsselung verstehen. Generell gibt es dafür zwei Wege: Einer davon ist, den Verschlüsselungsalgorithmus durch Reverse Engineering der Malware-Programmdatei direkt zu erlangen. Das erfordert jedoch nicht nur Zeit, Mühe und spezielle Qualifikationen, sondern auch den Zugang zur ursprünglichen Malware-Programmdatei. Eine andere Möglichkeit ist die, die verschlüsselte Datei direkt zu analysieren: Die statistischen Merkmale der Datei können nützliche Hinweise zur Art der verwendeten Verschlüsselung geben. Einige interessante Kennzahlen, deren Betrachtung sich lohnen kann:
Die Byte-Entropie der Datei: Byte-Entropie ist grob gesagt ein Maß für die Varianz der Byte-Verteilung in der Datei. Die möglichen Werte liegen zwischen 0 (die gesamte Datei ist nur ein wiederholtes Byte) und 8 (alle möglichen Bytes erscheinen mit gleicher Wahrscheinlichkeit). Starke Verschlüsselung erzeugt Dateien mit einer Byte-Entropie nahe 8, während eine wesentlich niedrigere Byte-Entropie ein Hinweis auf eine schwache - und damit möglicherweise leichter zu durchbrechende - Verschlüsselung hindeutet.
Die Dateilänge: Eine der Fragen die man sich stellen sollte, lautet: Handelt es sich um eine durchgehende Verschlüsselung (die jedes Byte einzeln verschlüsselt) oder um eine Blockverschlüsselung (die Bytes in "Blöcken" bestimmter Größe verschlüsselt)? Eine Kennzahl, die man hierbei genauer betrachten sollte, ist die höchste Potenz von 2, die die verschlüsselten Dateigrößen teilt. Diese Kennzahl wird umso genauer, je mehr verschlüsselte Dateien untersucht werden.
Die maximale Anzahl an Blockwiederholungen: Liegt die Vermutung nahe, dass eine Datei mit einer Blockverschlüsselung codiert wurde, kann es hilfreich sein, zu prüfen, ob sich ein verschlüsselter Textblock mehr als einmal wiederholt. Wenn ja, hat man es wahrscheinlich mit einer Datei zu tun, die im ECB-Modus (Electronic Code Book) verschlüsselt wurde - das heißt, jeder Block wurde einzeln verschlüsselt.
Bezahlen Sie kein Lösegeld
Die Möglichkeit das von den Hackern geforderte Lösegeld zu bezahlen, werden Betroffene unweigerlich in Betracht ziehen. Dabei sollte man allerdings nicht vergessen, dass eine solche Zahlung mit einem Glücksspiel gleichzusetzen ist: Der Erpresser könnte entweder noch mehr Geld fordern oder sich einfach nicht mehr um die Freigabe der Daten kümmern. Zudem finanzieren Sie durch die Zahlung eine kriminelle Handlung. Es ist also zu empfehlen, nicht auf die Lösegeldforderungen von Ransomware-Hackern einzugehen.
Im Allgemeinen heißt es oft: Sobald Sie von Ransomware betroffen sind, ist das Spiel aus, die Situation nicht mehr unter Kontrolle. In dieser Aussage steckt ohne Zweifel ein Fünkchen Wahrheit. Doch gibt es eine ganze Reihe von Maßnahmen, die man - sowohl präventiv als auch nach einem bereits erfolgten Angriff - ergreifen kann. Welche das im Einzelnen sind, erfahren Sie in der untenstehenden Bildergalerie. (fm)