Es ist für jeden Geschäftsmann erfreulich, wenn eines seiner Produkte sich als „Cash-Cow“ erweist und getätigte Investitionen schnell und problemlos in die eigene Tasche zurückfließen. Ransomware ist eine solche „Cash-Cow“ und ihre Besitzer – Cybergauner und Hacker – erweisen sich als gerissene Geschäftsleute.
Der Siegeszug einer fiesen Idee
Die beliebteste Ransomware-Variante ist CryptoWall. Sie wird in 50 bis 75 Prozent aller Angriffsfälle verwendet. Die erste Welle – seinerzeit Version 2.0 – traf Computer-Nutzer gegen Ende des Jahres 2014. Mittlerweile ist Version 4.0 im Umlauf und es ist seither niemandem gelungen, die Bedrohung ernsthaft einzugrenzen.
Die Pionierarbeit leistete CryptoLocker, die erste Ransomware, die wirklich verlässlich verschlüsselte und schlimme Schäden verursachte. Zwischen dem 17. September und dem 31. Oktober 2014 räumte CryptoLocker in nur sechs Wochen den monetären Gegenwert von 33 Millionen Dollar ab. Die kriminelle Szene war begeistert.
Im Juni 2014 wurde die CryptoLocker-Gruppe in einer groß angelegten FBI-Aktion enttarnt und festgesetzt. Doch wie jedes Erfolgsprodukt fand auch dieses seine Nachahmer, und so entstanden andere Hacker-Gruppen, die die Idee kopierten. Dazu gehörten etwa CryptoWall, CryptoFence, TeslaCrypt, Locky und Maktub.
Doch CryptoLocker hatte es bereits weltweit in die Presse und sogar in die 20-Uhr-Nachrichten geschafft. Der Name stand für gefährliche, ernstzunehmende Ransomware, und so kam es, dass zwei der neuen Gruppen den Namen kurzerhand annahmen.
Die gängigsten Ransomware-Gruppen
Die Gruppen unterscheiden sich in Namen und Arbeitsweise, nicht aber in dem Schaden, den sie verursachen. Locky etwa verbreitet sich, wenn ein E-Mail-Attachment geöffnet wird. Meist wird in diesem Anhang verlangt, ein Makro zu aktivieren. Und damit ist die Infektion erfolgt. Verschlüsselt die Ransomware dann das gesamte Laufwerk, wird das System lahmgelegt. Der Computer ist nicht mehr funktionsfähig, daher allerdings auch für die Täter-Opfer-Kommunikation nicht mehr nutzbar. Für die Bedürfnisse der Kriminellen ist dies nicht optimal.
Die CryptoWall-Hacker umgingen diese Schwäche. Diese Ransomware verschlüsselt nur Dateien mit bestimmten Endungen, etwa Word-Dokumente, Bilder und Filme, insgesamt zirka 40 bis 50 Dateitypen. Auch Locky arbeitet so. CryptoWall 4 verschlüsselt alles außer den Dateien, die der Computer zum Arbeiten benötigt.
Maktub, eine neuere Ransomware-Variante, zielt besonders auf Krankenhäuser ab. Hier funktioniert die Einschüchterung noch besser als bei anderen Unternehmensformen, denn es ist womöglich lebensentscheidend, dass Ärzte sofortigen Zugriff auf Patientenakten haben. Aufgrund dieser Tatsache und der zudem höchst sensiblen Informationen ist hier für Kriminelle das meiste Geld zu machen. Entsprechend hoch sind die Summen, die die Erpresser fordern.
Zum Cyberkriminellen ist es nur ein Log-in
Eine einzelne Person kann eine Ransomware innerhalb etwa einer Woche schreiben. Wahrscheinlicher ist es jedoch, dass sich drei oder vier Personen zusammentun. Die bisherigen Malware-Kits entstehen dadurch, dass die Malware, die Beratung und zusätzliche Tools für einen einmaligen, festen Preis zwischen 1.000 und 10.000 US-Dollar gekauft werden. Im Lieferumfang enthalten ist ein Anpassungstool, so dass kleinere Konfigurationen, Aussehen und Branding verändert werden können.
Cyberkriminalität ist mittlerweile waschechter Dienstleistungszweig. Für jemanden, der auf diesem Wege Schaden anrichten möchte, sind Dinge wie Programmierkenntnisse heutzutage nicht mehr vonnöten. Es gilt nur noch, das Kit zu erwerben und jemanden zu finden, der es unter die Leute bzw. auf die Rechner seiner Opfer bringt. Alles, was man tun muss, ist, sich in ein einschlägiges Untergrund-Forum einzuloggen, ein passendes Set von einem Kriminellen zu erwerben und einen weiteren damit zu beauftragen, die Software auf möglichst vielen PCs zu installieren. Die Bezahlung erfolgt dann pro infiziertem Rechner.
Spammer haben eine Schlüsselrolle
Üblicherweise beauftragen die Kriminellen Spammer mit der Verbreitung ihrer Schadware. Nutzer-Computer werden mit einer Spam-Software infiziert, und die werden vom Verursacher dann an andere Kriminelle für deren Machenschaften vermietet. Es ist ein sehr ausgereiftes und gut funktionierendes Business, dem nur mit vereinten Kräften beizukommen ist.
Die Achillesferse des Verbrechens: die Bitcoins
Bei Erpressungen entscheidet in vielen Fällen die Geldübergabe über den Erfolg der Aktion. Das ist bei Ransomware nicht anders. Die Bezahlung erfolgt in aller Regel über Bitcoins. Nun ist diese Währung aber nicht annähernd so anonym wie man denkt. Falsch eingesetzt öffnet sie den Strafverfolgern Tür und Tor.
Um Bitcoins zu verwenden und dabei anonym zu bleiben, muss für jedes Opfer ein sogenanntes Bitcoin-Wallet, eine Geldbörse, erstellt werden. Dies erledigt die Malware bereits selbstständig. In der Regel laufen einige tausend Zahlungen in ein größeres Wallet, hier beginnt dann der Geldwäsche-Prozess.
Leider kann man das Geld nicht einfach aus einem der Bitcoin-Geldautomaten ziehen, dann müssten die Strafverfolgungsbehörden ja nur einen Polizisten abstellen, der das Treiben beobachtet. Vielmehr werden die Gelder dem Bitcoin-Tumbling zugeführt – eine Art Waschservice. Hier werden verschiedene Bitcoins miteinander vermischt, um nicht mehr einzeln zurückverfolgbar zu sein.
Alternativ können auch Gaming-Accounts eingesetzt werden. Die Bitcoins landen in einem Casino in Antigua, man spielt eine Runde Black Jack und führt das Geld zurück in Bitcoins oder eine andere Währungseinheit.
Natürlich sind alle diese Transaktionen über Log-Funktionen nachvollziehbar. Mit Hilfe von Big Data Analytics können die Geldbewegungen bis in die Nähe der Kriminellen zurückverfolgt werden. Dem Siegeszug der Ransomware tut dies indes keinen Abbruch. Als gute Geschäftsleute kennen Kriminelle die Risiken – und finden Wege, sie zu umgehen.
Lesetipp: Diese neuen Gefahren sollte Cyber-Security bekämpfen
Strafverfolgung hat keine Priorität. Im Gegenteil...
Cyberkriminelle kommen aus allen Ländern, aus Städten und Dörfern. Viele der wichtigsten Akteure sind bekannt und werden sogar verdächtigt, von ausländischen Regierungen geschützt zu werden. Bestätigen können wir dies freilich nicht. Auffallend ist jedoch, dass viele dieser bekannten Köpfe sich nicht einmal bemühen, ihre Identitäten zu verschleiern. Sie sprechen ganz selbstverständlich mit uns und fühlen sich scheinbar auch vor ihren lokalen Strafverfolgungsbehörden sicher.
Bei großen Malware-Angriffswellen gründen deshalb Sicherheitsunternehmen und Strafverfolgungsbehörden Arbeitsgruppen und tauschen ihre Informationen aus. Eine intensivere Zusammenarbeit zwischen den Nationen würde helfen, die Zahl der Malware-Autoren auszudünnen.
Die Wahrheit aber ist, dass viele Regierungen einfach andere Sorgen haben - Internet-Kriminalität zu bekämpfen hat keine Priorität. (PC-Welt)