Was ist Ransomware?

Ransomware ist Schadsoftware, die nur ein Ziel verfolgt: Geld von den Opfern zu erpressen. Es handelt sich um eines der gegenwärtig produktivsten kriminellen Geschäftsmodelle, vor allem dank der Lösegelder in Höhe von mehreren Millionen Euro, die Kriminelle von Privatpersonen und Unternehmen verlangen. Die Forderungen sind sehr einfach: Entweder Sie zahlen das Lösegeld, oder Ihr Betrieb wird stark beeinträchtigt oder komplett lahmgelegt.

Sehr oft erfährt ein Unternehmen erst dann von einem Angriff, wenn es eine Benachrichtigung auf dem Bildschirm empfängt, dass die Daten in seinem Netzwerk verschlüsselt wurden und nicht mehr zugänglich sind, bis das Lösegeld gezahlt wurde. Nur bei Zahlung erhält das Unternehmen den Entschlüsselungsschlüssel für den Zugriff auf seine Daten. Bei Nichtzahlung kann der Schlüssel zerstört werden, wodurch die Daten für immer unzugänglich werden.

Die gute Nachricht ist, dass Ransomware in der Regel nicht alleine auftritt. Sie muss aktiviert werden, um ihre Nutzlast zu übermitteln, normalerweise über einen schädlichen Link oder Anhang einer E-Mail.

Im Allgemeinen sind fünf Schritte erforderlich, damit Ransomware ihr Ziel erreicht:

Das System ist infiziert

Die meisten Ransomware-Angriffe beginnen mit einer Social-Engineering-Taktik, meist in Form eines Anhangs oder schädlicher Links. Ziel ist es, den Benutzer dazu zu verleiten, auf diese Objekte zu klicken, um die Malware zu aktivieren.

Die Malware übernimmt die Kontrolle

Sobald die Malware die Kontrolle über das System übernommen hat, werden bestimmte Dateitypen verschlüsselt und der Zugriff für Benutzer verweigert.

Das Opfer wird benachrichtigt

Damit das Lösegeld gezahlt werden kann, muss sich der Benutzer über die Forderungen der Kriminellen im Klaren sein. An dieser Stelle erscheint in der Regel eine Benachrichtigung auf dem Bildschirm, in der erklärt wird, was verlangt wird und wie der Zugriff wiederhergestellt werden kann.

Das Lösegeld wird gezahlt

Sobald sie Zugriff auf das System haben, können Angreifer entweder bestimmte Dateitypen identifizieren und verschlüsseln oder den Zugriff auf das gesamte System verweigern.

Die vollständige Kontrolle wird zurückgegeben

In der Mehrzahl der Fälle geben die Angreifer dem Opfer die vollständige Kontrolle zurück. Dies liegt in ihrem Interesse. Andernfalls wären nur wenige Unternehmen bereit zu zahlen, wenn sie nicht glauben, dass ihre Daten wiederhergestellt werden.

Ransomware ist zwar erst in den letzten Jahren in die Schlagzeilen geraten, aber es wird angenommen, dass der erste Ransomware-Virus bereits 1998 auftauchte, als der Trojaner „PC Cyborg“ mit symmetrischer Verschlüsselung den Zugriff auf Dateien verhinderte. Aber erst 2012 tauchte der Wurm Reveton auf: der erste Stamm von Malware, der Daten als Geisel hielt, bis ein Lösegeld gezahlt wurde.

Es sind heute quasi zwei Arten von Ransomware im Umlauf: Crypto-Ransomware und Locker-Ransomware. Beide verhindern den Zugriff auf Daten und Dateien, in der Regel mit Hilfe von Verschlüsselung.