Ältere Windows-Systeme gehören zu den bevorzugten Zielen der Online-Erpresser.
Bild: AP
Cyberkriminelle erpressen immer höhere Summen mit Lösegeld-Trojanern – das musst du wissen
Ransomware bedeutet, dass die Erpresser (unbemerkt) Verschlüsselungs-Software auf den Computer-Systemen ihrer Opfer installieren und für die Entschlüsselung der wertvollen Daten Geld verlangen. 2019 haben die Attacken mit der Schadsoftware Emotet, die über gefälschte E-Mails angreift und Windows-PCs ins Visier nimmt, massiv zugenommen.
Wie entwickelt sich die Bedrohungslage?
Ungeachtet aller Warnungen verursacht die Online-Erpressung mit Verschlüsselungs-Trojanern (Ransomware genannt) weltweit wachsende Schäden. Demnach steigt nicht nur die Zahl dieser Attacken, auch die von den Erpressern verlangten Summen werden immer höher, wie die Cyber-Fachleute des Rückversicherers Munich Re berichten.
«Die Zunahme der Ransomware-Angriffe ist ein globales Phänomen, wobei wir momentan die meisten Fälle in den USA sehen» sagte Jürgen Reinhart, Leiter des Geschäfts mit Cyberpolicen.
Diese Woche gab es jedoch auch Good News, was die Bekämpfung der weltweit agierenden Cyberkriminellen betrifft: Microsoft ist es gemeinsam mit Partnern aus 35 Ländern gelungen, das gefährliche Botnet Necurs weitgehend zu zerstören.
Was ist bei der aktuellen Situation besonders gefährlich?
Home Office.
Kumulschaden bedeutet in der Fachsprache der Versicherer ein Ereignis, das eine Vielzahl von Menschen oder Unternehmen gleichzeitig trifft. Ein Beispiel wäre eine landesweite Dürre, die die Ernte Zehntausender Bauern gleichzeitig vertrocknen lässt.
«Nun wird auch sehr stark das Thema Coronavirus Gegenstand betrügerischer Mails», sagt Martin Kreuzer, Fachmann für Cyberkriminalität bei dem Münchner Unternehmen. Die Tatsache, dass viele Arbeitnehmer derzeit mit mobilen Zugang ins Firmennetz daheim arbeiten, könnte nach Einschätzung der Munich Re eine Sicherheitslücke bedeuten.
«Dies kann zu Kapazitätsproblemen und verringerter Leistung der Systeme führen sowie zu einer Reduzierung von IT-Security», sagte Kreuzer. «Die Implikationen der Pandemie auf das Thema Informationssicherheit bleiben in der aktuellen Diskussion häufig unberücksichtigt.»
Mitarbeitende, die zuhause arbeiten, tun gut daran, ihre Computer mit entsprechender Spezial-Software abzusichern und vor Malware zu schützen. Dies gilt insbesondere für Notebooks und PCs, die auch privat genutzt werden. Bei reinen Arbeitsgeräten müsste der Arbeitgeber entsprechende Sicherheits- und Schutzvorkehrungen getroffen haben.
Wen attackieren die Kriminellen am liebsten?
Die Online-Erpresser zielten vermehrt auf kritische Infrastrukturen. Dazu zählen Gesundheitseinrichtungen wie Spitäler, aber auch Unternehmen im Energiesektor. In der Regel geht es den Angreifern ja darum, mit den verschlüsselten Firmendaten eine möglichst hohe Summe zu erpressen.
«Im vergangenen Jahr beobachteten wir die grösste Zunahme von Ransomware-Angriffen bei Anbietern aus dem Gesundheitswesen», sagte Kreuzer. Allein in den USA seien 764 Healthcare-Provider betroffen gewesen. Die 911-Notruf-Rufnummer war demnach mehrmals auf nationaler Ebene nicht verfügbar. «Es mussten Operationen verschoben werden, Notruf-Leitsysteme haben nicht mehr funktioniert.»
Angriff der Verschlüsselungstrojaner_
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ... Screenshot: Youtube
Der Verschlüsselungstrojaner «Jigsaw» terrorisierte 2016 Windows-User. Der unbekannte Urheber verschlüsselte Dateien und drohte, sie zu löschen, wenn nicht das geforderte Lösegeld in Bitcoin bezahlt wurde. Keystone / Christian Beutler
In der Schweiz ging es 2011 los mit dieser Fake-Meldung, die angeblich von der Schweizer Bundespolizei stammte. Bei infizierten Rechnern wurde der Bildschirm blockiert und die Opfer sollten eine Geldstrafe bezahlen, weil angeblich illegale Inhalte auf der Festplatte entdeckt wurden.
Diese Art von Windows-Malware war laut Experten des Bundes noch relativ harmlos und konnte in den meisten Fällen durch eine einfache Analyse des PCs mit einer Antiviren-Live-CD entfernt werden. Zwei Jahre später ging es richtig los... EPA/DPA / JENS BUETTNER
2013 sorgte mit dem «Cryptolocker» erstmals eine Windows-Malware mit Verschlüsselungsfunktion für Schlagzeilen. Während mehr als einem halben Jahr wurden Computer befallen. Betroffen waren User-Daten auf der Festplatte als auch auf lokal angeschlossenen Datenträgern.
2014 rüsteten die Kriminellen auf. Los gings mit «SynoLocker», der Verschlüsselungstrojaner attackierte Netzwerkspeicher-Geräte (NAS) der Firma Synology. Die ausgenützte Schwachstelle war bekannt und ein Sicherheits-Update Monate zuvor von Synology veröffentlicht worden.
Dieser Fall zeigte laut den IT-Sicherheitsexperte der Schweizer Fachstelle MELANI die Notwendigkeit, nicht nur Programme und Betriebssysteme von Computern regelmässig zu aktualisieren, sondern auch die Firmware von Routern, NAS-Geräten und ähnlichen Komponenten auf dem neusten Stand zu halten. EPA/EPA / RITCHIE B. TONGO
Ebenfalls 2014 verbreitete sich der Verschlüsselungstrojaner «CTB-Locker» über gehackte Websites von Online-Medien. Die Windows-Malware kommunizierte verschlüsselt mit einem «Command und Control»-Server (C2) der Kriminellen. Mit dem Anonymisierungsdienst «Tor» versuchten sie ihre Spuren zu verwischen.
Trotzdem gelang es drei Jahre später, in Rumänien fünf Personen zu verhaften. Die Bande soll für die Ransomware-Attacke auf zehntausende Computer in Europa und den USA verantwortlich sein (Quelle: thehackernews.com) 2015 waren «Teslacrypt» und «Cryptowall» die aktivsten Ransomware-Familien, laut MELANI-Bericht. Interessantes Detail: Im Mai 2016 deaktivierten die TeslaCrypt-Hintermänner die Ransomware und veröffentlichten den Master-Key für die Entschlüsselung der Daten.
2016 boomte die Ransomware: Nun befielen Computer-Schädlinge wie «Locky» publikumswirksam sogenannt kritische Infrastrukturen, insbesondere Spitäler in Deutschland und den USA.
2017 gab es zwei grosse internationale Ransomware-Angriffswellen: «WannaCry» befiel mindestens 200’000 Computer in 150 Ländern. EPA/EPA / RITCHIE B. TONGO
Die namhaftesten WannaCry-Opfer waren laut MELANI-Bericht das spanische Telekommunikationsunternehmen Telefonica, Krankenhäuser in Grossbritannien und die Deutsche Bahn. In der Schweiz wurden einige hundert Opfer gezählt, kritische Infrastrukturen befanden sich keine darunter. AP/Yonhap / Yun Dong-jin
Kurz darauf wütete die Malware «NotPetya» zuerst in der Ukraine, wo sie unter anderem den Flughafen Kiew, die ukrainische Zentralbank und die Radioaktivitätsmessstelle in Tschernobyl erfolgreich attackierte, wie MELANI schreibt. EPA/EPA / BARBARA WALTON
Die Windows-Malware verbreitete sich global via ukrainische Ableger von multinationalen Konzernen. Zu den bekanntesten Opfern zählten die weltweit grösste Container-Reederei, die dänische Maersk, und der US-Pharmariese Merck. «NotPetya» traf auch Opfer in der Schweiz AP/CHINATOPIX
In der zweiten Jahreshälfte 2017 verbreitete sich «BadRabbit», hauptsächlich in Russland, aber auch in der Ukraine, Deutschland und der Türkei. Der Angriff erfolgte über vorgetäuschte Software-Updates von Adobe Flash und nutzte den geleakten «EternalRomance»-Exploit der NSA. AP/AP / Pavel Golovkin
Bei «WannaCry» und «NotPetya» verbreitete sich die Windows-Malware laut MELANI-Bericht wurmartig in Netzwerken – also selbständig – durch die Ausnützung einer Lücke im SMB-Protokoll. EPA/EPA / STEPAN FRANKO
Mit «Ryuk» erschien 2018 ein Verschlüsselungstrojaner, der laut MELANI-Bericht gezielt bei Organisationen platziert wurde. Mit dem Ziel, hohe Lösegelder zu verlangen. Benannt ist der Windows-Schädling nach einer japanischen Manga-Figur.
In der ersten Jahreshälfte 2019 nahm die Zahl der gezielten Ransomware-Angriffe laut MELANI weiter zu. Zu «Ryuk», «GandCrab» und «Dharma» gesellten sich «LockerGoga», «MegaCortex» und «RobbinHood». (Bild: sophos.com) IT-Sicherheitsexperten im In- und Ausland sind sich einig: Angriffe mit Ransomware stellten eine der gefährlichsten Cyber-Bedrohungen für Unternehmen, Organisationen und Verwaltungen dar. AP/AP / Mike Corder
«In Europa haben wir die grössten Ransomware-Schäden in Skandinavien gesehen», sagte Kreuzer. «Das war zum einen ein Hersteller von Spezialhörgeräten, der einen Schaden von 90 Millionen Dollar erlitt, zum anderen war der norwegische Aluminiumhersteller Norsk Hydro mit einem Schaden von 75 Millionen Dollar betroffen.»
Norsk Hydro hatte laut Munich Re eine Cyber-Versicherung abgeschlossen. «Unsere Schätzung der weltweiten Cyberversicherungsprämie im vergangenen Jahr lag bei knapp sechs Milliarden Dollar», sagte dazu Reinhart.
Wie geht es weiter?
Nur ein Bruchteil der Schäden, die durch Ransomware-Angriffe entstanden, war versichert.« Denn die Gesamtschadenssumme schätzen Cybersicherheitsfirmen auf weltweit 500 bis 600 Milliarden Dollar im Jahr.
Dabei habe es «ein wirklich grosses Ereignis mit einem Kumulschaden» bislang noch nicht gegeben, sagte Reinhart – «aber jeder hat Angst davor».
Das Fazit der Münchner Experten:
«Wir beobachten eine zunehmende Professionalisierung cyberkrimineller Strukturen. Es gibt eine zweifache Entwicklung: Einmal werden die Angriffe immer zielgerichteter, immer individualisierter, nämlich vor allem dann, wenn der mögliche Ertrag entsprechend hoch ist.»
Daneben gebe es Breitenphänomene wie Phishing-E-Mails, «die immer noch perfekt funktionieren».
(dsc/sda/dpa)
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Diese zwei hier sind für den bislang gefährlichsten Einsatz von «Malware» verantwortlich ... AP/AP / Manuel Balce Ceneta
Stuxnet (2010 entdeckt): Der Computerwurm ist ein absoluter Spezialfall – eine von staatlichen Hackern entwickelte Cyberwaffe, die sich gegen das iranische Atomprogramm richtete. EPA/IRAN'S PRESIDENCY OFFICE / IRAN'S PRESIDENCY OFFICE / HANDOUT
Der Wurm nutzte gleich vier bis dato unbekannte Windows-Sicherheitslücken aus, so genannte Zero Days, um sich automatisch in Richtung einer Atomanlage in der Wüste auszubreiten und Zentrifugen zur Urananreicherung zu zerstören. AP/Magnolia Pictures
Jerusalem-Virus (1987): Wie der Serienmörder Jason in den «Freitag der 13.»-Horrorfilmen war dieser Computervirus darauf ausgelegt, jeweils am (angeblichen) Unglücksdatum zuzuschlagen. Er nistete sich unbemerkt auf dem Computer des Opfers ein, aktivierte sich selbst und richtete auf der Festplatte ein Massaker an. Shutterstock
Michelangelo (1992): Der in Neuseeland entdeckte Virus war eine Variante von Stoned, aber deutlich bösartiger. Der Schädling schlief die längste Zeit, versuchte aber jeweils am 6. März (dem Geburtstag des berühmten Renaissance-Künstlers) wichtige Teile der Festplatte zu zerstören. Da sich der für MS-DOS-Rechner programmierte Schädling im Startbereich (Bootsektor) einnistete, waren auch andere Betriebssysteme betroffen. EPA/EPA / CHRISTIAN BRUNA
Tschernobyl-Virus (1998): Zum ersten Mal wurde das CIH-Virus im Juni 1998 in Taiwan gesichtet, knapp ein Jahr später war es weltberühmt. Es schlug jeweils am 26. April zu, dem Geburtstag des Autors sowie dem Jahrestag der Reaktorkatastrophe von Tschernobyl. Der aus Taiwan stammende Virus richtete auf infizierten Computern verheerende Schäden an und galt bei vielen als gefährlichste Malware überhaupt. AP / ODED BALILTY
Melissa (1999): Am 26. März 1999 legte die Mischung aus Makro-Virus für Microsoft Word und E-Mail-Wurm los. Sobald die Datei geöffnet wurde, war der PC infiziert und der Schädling verschickte sich an die 50 ersten Einträge im Outlook-Adressbuch. Der Schaden betrugt 1,1 Milliarden US-Dollar, wobei die USA stärker betroffen waren als Europa. EPA / JAGADEESH NV
ILOVEYOU (2000): Auch Loveletter oder I-love-you-Virus genannt, gehört der Windows-Schädling zu den Mail-Würmern. Er verbreitete sich ab dem 4. Mai 2000 explosionsartig und weltweit. Der angerichtete Schaden betrug laut vorsichtigen Schätzungen drei Milliarden US-Dollar. Der mutmassliche Urheber, ein Student aus Manila, wurde verhaftet, aber nie verurteilt. Im Quellcode stand jedenfalls: «i hate go to school suck».
Code Red (2001): Kaum hatte sich die IT-Welt von ILOVEYOU erholt, schlug Code Red zu und verursachte wieder Schäden in Milliardenhöhe. Der Windows-Wurm nutzte eine Sicherheitslücke beim Webserver von Microsoft, um sich während 19 Tagen im Monat zu verbreiten. Von Tag 20 bis 27 startete er Überlastungs-Angriffe auf diverse Websites – darunter das Weisse Haus in Washington. Dann war bis zum Ende des Monats Pause angesagt. Associated Press/AP / Ron Edmonds
Slammer (2003): Auch SQ Hell oder Sapphire genannt, legte der Netzwerk-Wurm im Januar 2003 dank einer Server-Sicherheitslücke weite Teile des Internets für mehrere Stunden lahm. Besonders brisant: Der Schädling drang über eine ungesicherte Leitung in das IT-Sicherheitssystem eines AKWs in Ohio (USA) ein.
«Sobig.F» (2003): Der im Sommer 2003 entdeckte Computerwurm war die «erfolgreichste» Variante der «Sobig»-Schädlingsfamilie. Weltweit wurden in kürzester Zeit zwei Millionen Windows-Systeme über verseuchte E-Mail-Anhänge infiziert. «Sobig.F» war auch ein Trojaner, da er sich auf befallenen Systemen als harmloses Programm tarnte und Kontakt zu Kommando-Rechnern aufnahm. Da die IP-Adressen bekannt waren, wurden sie stillgelegt. AP / LEE JIN-MAN
MyDoom (2004): Der bislang schlimmste Computerwurm wurde am 26. Januar 2004 entdeckt. Die ersten verseuchten Mails mit Wurm im Anhang trafen aus Russland ein. MyDoom verbreitete sich noch rasanter als «Sobig.F». Innerhalb von 24 Stunden waren bereits 300'000 Windows-Computer befallen. Insgesamt wurden weltweit fast zwei Millionen Infektionen registriert. Schaden: laut Schätzungen über 30 Milliarden Dollar! AP/AP / Octav Ganea
WannaCry (2017): Dank des IT-Experten Marcus Hutchis richtete der von Unbekannten programmierte Lösegeld-Trojaner nicht noch mehr Schaden an. Zur Verbreitung nutzte der Computer-Wurm ein Angriffs-Tool (Exploit) für Windows-Systeme, das die Hackergruppe The Shadow Brokers dem US-Geheimdienst gestohlen und im Internet veröffentlicht hatte. Befallen wurden über 230'000 PCs weltweit. Laut Sicherheitsforschern könnte die Lazarus-Gruppe für die Angriffe verantwortlich zeichnen. AP/AP / Frank Augstein
Zu viel am Handy? Dr. Watson weiss, woran du leidest
Video: watson / Knackeboul, Lya Saxer
Mehr über Lösegeld-Trojaner und Online-Erpresser