CryptoLocker: So können sich Unternehmen vor Ransomware schützen

CryptoLocker verschlüsseln fremde Daten, um Lösegeld zu erpressen. Trotzdem ein direkter Schutz fast unmöglich ist, gibt es Abwehr-Strategien.

Cyberkriminelle werden immer neue Wege finden, um aus Malware Profit zu schlagen. Dabei ist sicherlich auch gezielt...

eingesetzte Malware nicht unüblich, aber der beste Weg für Angreifer ist immer noch, eine so große Anzahl an Computern wie möglich zu adressieren.

Eine spezielle Form von Malware nennt sich Ransomware, und genau diese Variante hat sich für Cyberkriminelle als ziemlich lukrativ erwiesen. Eine aktuelle Form so einer Virus-artigen Ransomware nennt sich CryptoLocker. Sie hat sich einen Namen gemacht, da der Schadcode sehr erfolgreich Computer infiziert und ein direkter Schutz fast nicht möglich ist. Oftmals heuern betroffene Anwender dann einen Profi an, um den Computer wieder frei von Viren zu machen. Bei CryptoLocker drohen dem Nutzer aber Zusatzkosten, da er eine Art Lösegeld (Ransom) bezahlen muss, um wieder an seine sensiblen Daten zu kommen.

So funktioniert die Ransomware CryptoLocker

Ransomware ist also eine Malware, die Ihre Daten in gewisser Weise entführt. Der Besitzer soll dem Cyberkriminellen Geld zahlen, damit er wieder an seine Daten kommt.

Das grundlegende Konzept ist dabei relativ einfach: Ransomware infiziert einen Computer und sucht im Anschluss auf Grundlage bestimmter Attribute (Datei-Typ, -Ort, etc.) nach bestimmten Dateien und verschlüsselt diese. Das Opfer wird dann vor die Wahl gestellt und erpresst: „Lege bare Münze auf den Tisch und ich entschlüssele die Daten oder Du verlierst sie für immer“. Die Cyberkriminellen warnen die Computer-Nutzer außerdem vor dem Gang zur Polizei, da sie auch hier das Risiko eingehen würden, die Daten für immer zu verlieren. Wenig überraschend konzentriert sich Ransomware vor allem auf Unternehmen, da es in der Regel schlimmere Konsequenzen nach sich zieht, Unternehmensdaten zu verlieren als private Daten. Damit dürfte die Wahrscheinlichkeit, dass der Erpresste bezahlt, höher liegen.

Ransomware tauchte erstmals im Jahre 1996 auf, kam bislang aber weniger häufig vor als traditionelle Malware, da es schwieriger war tatsächlich auch Geld damit zu verdienen. Angreifer konnten oftmals keine Command-and-Control-Systeme aufrechterhalten, um Befehle an die Ransomware zu schicken, zudem war es problematisch, eine Bezahlung zu erhalten und gleichzeitig anonym zu bleiben.

In der Zwischenzeit hat sich Ransomware allerdings weiterentwickelt und CryptoLocker unterscheiden sich von anderer Erpresser-Malware, da hier inzwischen moderne Angriffs-Techniken genutzt werden und die Malware zum Beispiel mithilfe eines so genannten Exploits über kompromittierte Websites ausgeliefert wird. Zudem ist die Verschlüsselung so sicher, dass ein Reverse-Engineering durch Malware-Experten nahezu unmöglich ist. Außerdem verschlüsselt CryptoLocker nicht nur Daten auf dem lokalen System, sondern auch auf tragbaren Medien und Netzwerk-Freigaben. Da Cyberkriminelle hinter CryptoLocker oft das TOR-Netzwerk nutzen, um die Schlüssel zu verteilen, kann die Quelle der bösartigen Machenschaften selten zurückverfolgt werden. Das alles erschwert Unternehmen einen effektiven Schutz vor dieser Art Ransomware.

Der Bezahl-Prozess hinter CryptoLocker wurde ebenfalls verbessert und ermöglicht Opfern inzwischen über diverse Kanäle Erpresser-Geld zahlen, beispielsweise über MoneyPak und Bitcoin. Weiterhin räumen Sie den Opfern mehr Zeit zum Zahlen ein, um damit die Profite zu erhöhen. Da Cyberkriminelle durch die Verwendung von TOR und Bitcoin anonym bleiben können, ist es für Gesetzeshüter äußerst schwierig, Cyberkriminellen in solchen Fällen das Handwerk zu legen. Ransomware könnte aber auch einfach ein Botnet verwenden, um die Verbindungen und die Bezahl-Wege zu verbergen. Mit TOR und Bitcoin ist das Risiko für die Cyberkriminellen allerdings geringer.

Unternehmen können sich mit Backups gegen Ransomware wie CryptoLocker schützen

Zum Glück brauchen Sie keine neue Technologie, um sich gegen CryptoLocker zu schützen. Der beste Schutz gegen Ransomware ist eine gute, zuverlässige, getestete und aktuelle Backup-Strategie. Zudem sollten die Backups offline gelagert und vor unautorisiertem Zugriff geschützt sein.

Wenn Sie in Ihrem Unternehmen wertvolle Daten nicht regelmäßig sichern, dann sollten Sie Ihre Business-Continuity- und Disaster-Recovery-Pläne umgehend nachbessern. Können Sie wertvolle Daten, die plötzlich verschlüsselt oder gelöscht sind, wiederherstellen, lindert das die Auswirkungen eines Ransomware-Angriffs deutlich und stellt den besten Schutz gegen derartige Angriffe dar. Plötzlich ist es dann nämlich nicht mehr notwendig, das Erpresser-Geld zu bezahlen, da sich infizierte Maschinen einfach komplett neu installieren und mithilfe der Backups wiederherstellen lassen. Allerdings sind Offline-Backups oder vor dem Löschen geschützte Datensicherungen in vielen modernen Unternehmen eher seltene Gäste. Solange Ransomware-Betreiber erheblich Profite einfahren wird sich daran wahrscheinlich auch nicht viel ändern.

Zwar mag es auch andere Verteidigungs-Mechanismen geben, die Unternehmen tiefgehende Sicherheit und Schutz vor Malware bieten, aber ohne sorgfältige Backups bieten diese keinen ausreichenden Schutz vor Ransomware. Anti-Malware, Whitelisting und Sicherheitsupdates schützen Unternehmen lediglich am Endpoint, aber eben nicht die sensiblen Dateien an sich, auf die es Ransomware wie CryptoLocker abgesehen haben.

Eine weniger populäre Herangehensweise ist, dass Unternehmen infizierten Endpunkten den Zugriff auf das Netzwerk und die Datei-Server verweigern. Firmen können Netzwerk-Freigaben auch so konfigurieren, dass sich Daten darauf nicht verschlüsseln oder löschen lassen. Allerdings brauchen Sie für beide Strategien eine nicht unerhebliche Infrastruktur und der Einsatz einer solchen ist nicht gerade üblich.

Nur aktuelle Backups schützen nachhaltig vor CryptoLockern

Wegen der guten Ransomware-Profite und der schnellen Weiterentwicklung von CryptoLockern wird diese Art von Malware so schnell nicht verschwinden. Nachhaltig wehren können sich Unternehmen dabei nur, wenn sichere und sich wiederholende Backup-Prozesse eingeführt werden. Nur so erhalten Sie die notwendige Sicherheit gegen Ransomware.

Die steigenden Kosten unsicherer Systeme sollten Unternehmen davon überzeugen, sichere Systeme zu nutzen. Da die Kosten von Ransomware, anders als bei Spam-, Phishing-, oder DDoS-Attacken, direkt von betroffenen Unternehmen getragen werden müssen, sollte sich hier langfristig ein höheres Risikobewusstsein durchsetzen.  

Über den Autor: Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Nick hat seinen Master of Science in Informationssicherung von der Norwich University im Jahre 2005 und in Telekommunikation von der Michigan State University im Jahre 2002 erhalten. Bevor er bei der Saint Louis University im Jahre 2011 anfing, arbeitete Nick an der University of Michigan und im Boston Children's Hospital. Zudem war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close