Sicherheitsexperte Chester Wisniewsk im Gespräch über Ransomware.
Foto: Sophos
Chester Wisniewsk ist Principal Research Scientist beim Security-Anbieter Sophos
Eine erste CryptoWall-Ransomware-Welle traf Anwender gegen Ende des Jahres 2014. Ist CryptoWall auch heute noch eine Bedrohung?
CryptoWall ist immer noch die beliebteste Form der Ransomware, sie wird in 50 bis 75 Prozent aller Angriffsfälle verwendet. Die Pionierarbeit hierzu leistete CryptoLocker, die erste Ransomware, die wirklich verlässlich verschlüsselte und schlimme Schäden verursachte. Im Juni 2014 wurde die CryptoLocker-Gruppe in einer groß angelegten FBI-Aktion enttarnt und festgesetzt. Wie jede gute Idee fand aber auch diese ihre Nachahmer und so entstanden sechs oder sieben andere Gruppen, die sie kopierten.
Wie viel ist darüber bekannt, woher Ransomware stammt und wer die Hacker sind?
Im Falle der Internet-Kriminalität im Allgemeinen ist es egal, woher die Täter kommen – jedes Land hat welche. Viele der wichtigsten Akteure sind bekannt und werden verdächtigt, von ausländischen Regierungen geschützt zu werden. Sie bemühen sich nicht einmal, ihre Identitäten zu verschleiern. Sie sprechen mit uns und machen sich sogar über uns lustig. In der Vergangenheit haben sie sogar kleine Nachrichten für den Virenanalysten in der Malware platziert.
Wie kann man Ransomware bekämpfen? Wird international zusammengearbeitet?
Bei großen Malware-Angriffswellen erstellen wir häufig Arbeitsgruppen innerhalb der Sicherheitsbranche. Eine bessere Zusammenarbeit zwischen den Nationen würde helfen, die Zahl der Malware-Autoren auszudünnen. Die Wahrheit aber ist, dass viele Regierungen einfach andere Sorgen haben.
Wie viele Menschen benötigt man für einen Ransomware-Angriff?
Eine einzelne Person kann eine Ransomware zirka innerhalb einer Woche schreiben. Wahrscheinlicher ist es jedoch, dass es sich um drei oder vier Personen handelt. Die bisherigen Malware Kits entstanden, indem die Malware selbst, Beratung und zusätzliche Tools für einen festen Preis zwischen 1.000 und 10.000 US-Dollar gekauft wurden. Im Lieferumfang enthalten ist ein Anpassungstool, so dass kleinere Konfigurationen, Aussehen und Branding verändert werden können.
Programmierkenntnisse sind nicht vonnöten. Der Kriminelle muss nur das Kit erwerben und jemanden finden, der es unter die Leute bringt, um die Rechner zu infizieren. Wir leben in einer Dienstleistungswirtschaft. Man loggt sich also in eines der Foren im Untergrund, kauft das Set von einem Kriminellen und beauftragt einen weiteren damit, die Software auf möglichst vielen PCs zu installieren. Die Bezahlung erfolgt pro infiziertem Rechner. Üblicherweise beauftragen die Kriminellen dann Spammer mit der Verbreitung.
Dies ist eine etablierte Taktik. User werden mit einer Spam-Software infiziert, die der Verursacher dann an andere Kriminelle für deren Machenschaften vermietet. Es ist ein sehr ausgereiftes und gut funktionierendes Business.
Viele Opfer von Ransomware zahlen, um ihre Dateien zurückzubekommen. Ist das Ihrer Meinung nach richtig?
Es ist ständig das Gleiche. Die Leute fragen: „Nun, was sollen wir tun?“ Sie wissen natürlich, dass die Antwort lautet: „Zahl nicht!!“ Aber für Unternehmen, die ihre Daten von irgendwo wiederherstellen müssen, ist es unter Umständen günstiger, die Verbrecher zu bezahlen. Die kennen diese Kosten/Nutzen Rechnung natürlich auch – schließlich sind sie selbst Geschäftsleute.