Ransomware: für Cyber-Kriminelle eine lukrative Einnahmequelle

Schnell und einfach umsetzbare Angriffsmuster sorgen für eine extreme Zunahme bei Ransomware-Angriffen. Der Schaden ist oftmals größer als erwartet: Unternehmen kämpfen danach mit langen Ausfallzeiten.

Durch Ransomware verursachte Schadensfälle gehören inzwischen zum Alltag. Es mangelt nicht an Beispielen, kürzlich rief der Landrat des Landkreises Anhalt-Bitterfeld deswegen sogar den Katastrophenfall aus. Die Auszahlung sämtlicher Sozialleistungen sei dadurch ins Stocken geraten, Autos könnten nicht zugelassen werden. Man rechne mit einem Zeitraum von drei bis sechs Monaten, ehe alle Systeme wieder so laufen wie zuvor. 800 Mitarbeiter seien davon betroffen und größtenteils nicht arbeitsfähig. Einige Tage später waren die Stadtverwaltung des hessischen Geisenheim und das niedersächsische Klinikum Wolfenbüttel betroffen.

 

Viel Geld mit geringem Aufwand

Hinter diesen Cyber-Angriffen steckt ein lukratives, ausgeklügeltes „Geschäftsmodell“, dass mittlerweile von Sicherheitsspezialisten gut durchleuchtet wurde. Das hauptsächliche Ziel ist nach wie vor, Lösegeld für verschlüsselte IT-Systeme zu erpressen. Da es regelmäßig um zweistellige Millionenbeträge geht, besteht die Zielgruppe aus großen Unternehmen und öffentlichen Einrichtungen. Die „Erlöse“ können sich sehen lassen: Darkside, eine der zuletzt sehr aktiven Gruppen, die auch für den Angriff auf die Colonial-Ölpipeline in den USA verantwortlich war, soll pro Monat über 10 Millionen US-Dollar erbeutet haben. Damit das funktioniert, unterhält die Hackergruppe sogar einen eigenen Kundendienst. Die Cyberkriminellen betreiben eigens Server für Kunden-Support und Verhandlungen mit Zahlungswilligen und stellen dafür auch spezielle Mitarbeiter zur Verfügung. In den Verhandlungen um Lösegeld räumen sie häufig größere „Preisnachlässe“ ein. Gerät mal ein vermeintlich falsches Opfer ins Netz, wie etwa das irländische Gesundheitssystem, geben sie ohne Zahlung den Schlüssel für die verschlüsselten Daten heraus, helfen bei der Entschlüsselung und betonen, niemandem schaden zu wollen. Edel und gut soll das Image erscheinen, um über das knallharte und schonungslose Vorgehen hinwegzutäuschen. Alles soll möglichst lautlos und unsichtbar ablaufen, die Kriminellen meiden die Öffentlichkeit. Sorgen ihre Angriffe allzu häufig für Schlagzeilen, benennen sie sich um oder lösen sich auf und gründen neue Gruppierungen, bevor die großen Strafverfolgungsbehörden wie das FBI mit viel Energie auf die Jagd gehen.

 

Großer Schaden auch ohne Lösegeld

Doch selbst wenn der Erfolg ausbleibt und kein Lösegeld gezahlt wird, ist der Schaden groß. Betroffene Unternehmen müssen häufig die IT-Systeme vom Netz nehmen und untersuchen, welche Systeme kompromittiert sind. Gegebenenfalls müssen Backups zurückgespielt und Systeme neu installiert werden. Das kostet viel Zeit, während dessen Mitarbeiter nicht arbeitsfähig sind, weil die IT-Systeme nicht zur Verfügung stehen. Wenn das Ausmaß der Kompromittierung nicht festgestellt werden kann, werden häufig alle Systeme neu installiert. Das erhöht den Aufwand enorm und kann Wochen oder Monate dauern. Die wenigsten Unternehmen sind auf ein derartiges Großschadensereignis vorbereitet. Hinzu kommt der enorme Zeitdruck, denn die Angreifer drohen ihren Opfern mit der Veröffentlichung oder dem Verkauf gestohlener Daten, sollte nach Ablauf einer kurzen Frist, oft nur wenige Stunden oder Tage, keine Zahlung erfolgen.

Doch die Cyber-Gangs beschränken sich nicht auf diese Aktivitäten, ihr Geschäftsfeld reicht weiter. Die erst seit Sommer letzten Jahres aktive Darkside-Gang betreibt ähnlich wie andere Gruppen auch eine Art Franchising, Ransomware-as-a-Service (RaaS). Sie vermieten ihre Malware samt Infrastruktur an Partner, die damit ihre Opfer angreifen. Dafür verlangen die Gangs 20 bis 40 Prozent des Erlöses. Die Nachfrage scheint groß, denn die Gangster können sich ihre Partner auswählen. „Die Grundvoraussetzung für einen Kandidaten, der an einem hochkarätigen RaaS-Partnerprogramm teilnehmen möchte, ist in der Regel der Nachweis, über kompromittierte Zugänge zu lukrativen Unternehmensnetzwerken zu verfügen“, berichtet der Security-Spezialist Intel 471. Um die Infiltrierung dieser Partnerprogramme durch westliche Strafverfolgungsbehörden und Security-Forscher zu verhindern, fordern einige RaaS-Gangs demnach zusätzlich muttersprachliche Russischkenntnisse oder lokales und kulturelles Wissen über Russland und die Länder der ehemaligen UdSSR.
Autor: Uwe Sievers