Eine Geschichte von Ransomware, wo es angefangen hat & wo es hingeht
Ransomware ist eine Art Malware, die den normalen Zugriff auf ein System oder Dateien verhindert, sofern das Opfer kein Lösegeld zahlt. Die meisten Leute sind mit den Varianten der Crypto-Ransomware vertraut, bei denen Dateien unverschlüsselt verschlüsselt werden, aber das Paradigma ist tatsächlich viel älter.
Tatsächlich ist Ransomware fast zehn Jahre alt. Wie viele Computersicherheitsbedrohungen stammt es aus Russland und angrenzenden Ländern. Seit seiner ersten Entdeckung hat sich Ransomware zu einer immer mächtigeren Bedrohung entwickelt, mit der sich immer größere Lösegelder abbauen lassen.
Early Ransomware: Aus Russland mit Hass
Die ersten Ransomware-Exemplare wurden zwischen 2005 und 2006 in Russland entdeckt. Diese wurden von russischen Kriminellen geschaffen und richten sich hauptsächlich an russische Opfer sowie an diejenigen, die in den nominell russophonen Nachbarländern wie Belarus, Ukraine und Kasachstan leben.
Eine dieser Ransomware-Varianten wurde TROJ_CRYZIP.A genannt. Dies wurde 2006 entdeckt, lange bevor der Begriff geprägt wurde. Betroffen waren hauptsächlich Computer mit Windows 98, ME, NT, 2000, XP und Server 2003. Nach dem Herunterladen und Ausführen wurden Dateien mit einem bestimmten Dateityp identifiziert und in einen kennwortgeschützten ZIP-Ordner verschoben Originale. Damit das Opfer seine Dateien wiederherstellen kann, müssen sie 300 US-Dollar auf ein E-Gold-Konto überweisen.
E-Gold kann als spiritueller Vorgänger von BitCoin bezeichnet werden. Eine anonyme, auf Gold basierende digitale Währung, die von einem in Florida ansässigen Unternehmen verwaltet wurde, aber in St. Kitts und Nevis registriert war. Sie bot relative Anonymität, wurde jedoch von organisierten Kriminellen als Methode zur Reinigung schmutzigen Geldes bevorzugt. Dies hat die US-Regierung dazu veranlasst, sie 2009 auszusetzen, und das Unternehmen brach kurz darauf zusammen.
Spätere Ransomware-Varianten würden anonyme Kryptowährungen wie Bitcoin, Prepaid-Debitkarten und sogar Premium-Telefonnummern als Zahlungsmethode verwenden.
TROJ_RANSOM.AQB ist eine weitere Variante von Ransomware, die 2012 von Trend Micro identifiziert wurde. Die Infektionsmethode bestand darin, den Master Boot Record (MBR) von Windows durch eigenen Schadcode zu ersetzen. Wenn der Computer hochfuhr, sah der Benutzer eine auf Russisch geschriebene Lösegeldmeldung, in der er forderte, dass das Opfer 920 ukrainische Hryvnia über QIWI zahlte - ein in Zypern ansässiges Zahlungssystem, das sich in russischem Besitz befindet. Bei der Bezahlung würde das Opfer einen Code bekommen, der es ihm ermöglicht, den Computer auf normale Weise wiederherzustellen.
Da viele der identifizierten Ransomware-Betreiber aus Russland identifiziert wurden, könnte man argumentieren, dass die Erfahrung, die mit der Ausrichtung auf den heimischen Markt gemacht wurde, sie besser in der Lage hat, internationale Nutzer anzusprechen.
Stoppen Sie, Polizei!
Gegen Ende der 2000er Jahre und zu Beginn der 2010er Jahre wurde Ransomware zunehmend als Bedrohung für internationale Benutzer erkannt. Es war jedoch noch ein weiter Weg, bis er sich zu der mächtigen Krypto-Ransomware-Variante vereinte, die wir heute sehen.
Zu dieser Zeit wurde es allgemein üblich, dass Ransomware die Strafverfolgung nachahmte, um Lösegeld zu fordern. Sie würden das Opfer beschuldigen, an einer Straftat beteiligt zu sein - von reinen Urheberrechtsverletzungen bis hin zu unerlaubter Pornografie - und sagen, dass ihr Computer untersucht wird und gesperrt wurde.
Dann würden sie dem Opfer eine Wahlmöglichkeit geben. Das Opfer könnte sich dafür entscheiden, eine zu bezahlen “fein”. Dies würde die (nicht vorhandenen) Gebühren senken und den Zugriff auf den Computer zurückgeben. Wenn sich das Opfer verspätet, würde sich die Geldbuße verdoppeln. Wenn das Opfer sich weigerte, vollständig zu zahlen, drohte die Ransomware mit Verhaftung, Gerichtsverfahren und potenzieller Inhaftierung.
Die bekannteste Variante von Ransomware der Polizei war Reveton. Was Reveton so effektiv machte, war die Lokalisierung, um legitimer zu wirken. Es würde herausfinden, wo sich der Benutzer befand, und dann die lokale Strafverfolgung übernehmen.
Wenn das Opfer in den Vereinigten Staaten stationiert war, schien der Lösegeldschein vom Justizministerium zu stammen. Wenn der Benutzer Italiener war, würde er das Styling übernehmen Guardia di Finanza. Britische Benutzer würden eine Nachricht von der London Metropolitan Police oder der Strathclyde Police sehen.
Die Macher von Reveton deckten alle ihre Grundlagen ab. Es wurde für praktisch jedes europäische Land sowie für Australien, Kanada, Neuseeland und die Vereinigten Staaten lokalisiert. Aber es hatte einen Fehler. Da die Dateien des Benutzers nicht verschlüsselt wurden, konnten sie ohne nachteilige Auswirkungen entfernt werden. Dies kann mit einer Antivirus-Live-CD oder durch Booten im abgesicherten Modus erfolgen.
CryptoLocker: Die erste große Crypto-Ransomware
Crypto-Ransomware hat keinen solchen Fehler. Es verwendet eine nahezu unzerbrechliche Verschlüsselung, um die Dateien des Benutzers zu unterdrücken. Selbst wenn die Malware entfernt wurde, bleiben die Dateien gesperrt. Dies setzt einen immensen Druck auf das Opfer aus.
CryptoLocker war die erste weithin erkennbare Crypto-Ransomware. CryptoLocker ist die bösartigste Malware, die Sie jemals tun können. CryptoLocker ist die bösartigste Malware, die Sie jemals tun können Ihrer Dateien. Es fordert dann eine Geldzahlung an, bevor der Zugriff auf Ihren Computer zurückgegeben wird. Lesen Sie mehr und erschien Ende 2013. Es ist schwierig, das Ausmaß infizierter Benutzer mit jeder Genauigkeit zu schätzen. ZDNet, ein renommiertes Technologiejournal, verfolgte vier Bitcoin-Adressen, die von Malware verwendet wurden, und stellte fest, dass sie etwa 27 Millionen US-Dollar an Zahlungen erhielten.
Es wurde über infizierte E-Mail-Anhänge verteilt, die über große Spam-Netzwerke verbreitet wurden, sowie über das Gameover-ZeuS-Botnetz. Sobald ein System kompromittiert wurde, verschlüsselt es systematisch Dokument- und Mediendateien mit einer starken RSA-Verschlüsselung mit öffentlichen Schlüsseln.
Das Opfer hätte dann eine kurze Zeit, um ein Lösegeld von 400 USD oder 400 EUR zu zahlen, entweder über Bitcoin oder über GreenDot MoneyPak - ein vorausbezahltes Gutscheinsystem, das von Cyberkriminellen bevorzugt wird. Wenn das Opfer nicht innerhalb von 72 Stunden zahlte, drohten die Betreiber, den privaten Schlüssel zu löschen, was die Entschlüsselung unmöglich machte.
Im Juni 2014 wurden die CryptoLocker-Verteilungsserver in Operation Tovar von einer Vereinigung von Wissenschaftlern, Sicherheitsanbietern und Strafverfolgungsbehörden heruntergeholt. Zwei Anbieter - FireEye und Fox-IT - konnten auf eine Datenbank privater Schlüssel zugreifen, die von CryptoLocker verwendet werden. Anschließend wurde ein Dienst veröffentlicht, der es den Opfern erlaubte, ihre Akten kostenlos zu entschlüsseln. CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! Weiterlesen
Obwohl CryptoLocker nur von kurzer Dauer war, hat es definitiv bewiesen, dass das Krypto-Ransomware-Modell ein lukratives sein kann, was zu einem quasi digitalen Wettrüsten geführt hat. Während Sicherheitsanbieter Abmilderung vorbereiteten, veröffentlichten Kriminelle immer anspruchsvollere Ransomware-Varianten.
TorrentLocker und CryptoWall: Ransomware wird intelligenter
Eine dieser erweiterten Ransomware-Varianten war TorrentLocker, der kurz nach dem Sturz von CryptoLocker entstand.
Dies ist eine eher Fußgängerform von Krypto-Ransomware. Wie bei den meisten Formen von Krypto-Ransomware handelt es sich bei ihrem Angriffsvektor um bösartige E-Mail-Anhänge, insbesondere um Word-Dokumente mit bösartigen Makros. So schützen Sie sich vor Microsoft Word-Malware: Wie schützen Sie sich vor Microsoft Word-Malware? Office-Dokumente, oder dass Sie dazu gebracht werden könnten, die erforderlichen Einstellungen zu aktivieren, um Ihren Computer zu infizieren? Weiterlesen . Sobald eine Maschine infiziert ist, werden die üblichen Medien- und Bürodateien mithilfe der AES-Verschlüsselung verschlüsselt.
Der größte Unterschied bestand in den angezeigten Lösegeldanmerkungen. TorrentLocker zeigt das erforderliche Lösegeld in der Landeswährung des Opfers an. Wenn die infizierte Maschine in Australien stationiert war, würde TorrentLocker den Preis in australischen Dollar anzeigen. TorrentLocker ist eine neue Ransomware Down Under. Und es ist böse. TorrentLocker ist ein neues Ransomware Down Under. Und es ist böse. Lesen Sie mehr, zahlbar in BitCoin. Es würde sogar lokale BitCoin-Börsen auflisten.
Es gab sogar Neuerungen im Infektions- und Verschleierungsprozess. Nehmen Sie zum Beispiel CryptoWall 4.0, die neueste Sorte in der gefürchteten Familie von Crypto-Ransomware.
Dies hat die Art und Weise verändert, in der Systeme infiziert werden, und benennt nun alle infizierten Dateien um. Dadurch kann der Benutzer nicht feststellen, was verschlüsselt wurde, und die Wiederherstellung aus einem Backup erschwert.
Ransomware zielt jetzt auf Nischenplattformen
Überwiegend richtet sich Ransomware an Computer, die Windows ausführen, und in geringerem Umfang an Smartphones, die Android ausführen. Der Grund dafür ist meist auf den Marktanteil zurückzuführen. Weit mehr Menschen nutzen Windows als Linux. Dies macht Windows zu einem attraktiveren Ziel für Malware-Entwickler.
Im Laufe des letzten Jahres hat sich dieser Trend jedoch - wenn auch langsam - umgedreht, und es zeichnet sich ab, dass Crypto-Ransomware auf Mac- und Linux-Benutzer ausgerichtet ist.
Linux.Encoder.1 wurde im November 2015 von Dr.Web - einem großen russischen Cyber-Security-Unternehmen - entdeckt. Es wird von einem Fehler im Magento CMS aus der Ferne ausgeführt und verschlüsselt eine Reihe von Dateitypen (Büro- und Mediendateien sowie mit Webanwendungen verknüpfte Dateitypen) mithilfe der AES- und RSA-Verschlüsselung mit öffentlichen Schlüsseln. Um die Dateien zu entschlüsseln, muss das Opfer ein Bitcoin Lösegeld zahlen.
Anfang dieses Jahres kam die KeRanger-Ransomware auf den Markt, die auf Mac-Benutzer abzielte. Welche Sicherheitsbedrohungen treffen Mac-Benutzer im Jahr 2016? Welche Sicherheitsbedrohungen sehen Mac-Benutzer im Jahr 2016? Verdient oder nicht, Mac OS X ist dafür bekannt, sicherer als Windows zu sein. Aber ist dieser Ruf noch verdient? Welche Sicherheitsbedrohungen bestehen für die Apple-Plattform und wie wirken sie sich auf Benutzer aus? Weiterlesen . Dies hatte einen ungewöhnlichen Angriffsvektor, da er durch das Eindringen in die Softwareupdates von Transmission in Systeme eindrang - ein beliebter und legitimer BitTorrent-Client.
Während die Bedrohung durch Ransomware auf diesen Plattformen gering ist, wächst sie unbestreitbar und kann nicht ignoriert werden.
Die Zukunft von Ransomware: Zerstörung als Dienstleistung
Wie sieht also die Zukunft von Ransomware aus? Wenn ich es in Worte fassen müsste: Marken und Franchise-Unternehmen.
Lassen Sie uns zuerst über Franchise-Unternehmen sprechen. Ein interessanter Trend hat sich in den letzten Jahren gezeigt, da die Entwicklung von Ransomware zu einer unvorhersehbaren Standardisierung geworden ist. Wenn Sie heute mit Ransomware infiziert werden, ist es völlig plausibel, dass die Person, die sie verteilt hat, nicht die Person ist, die sie erstellt hat.
Dann gibt es Branding. Während viele Ransomware-Sorten für ihre zerstörerische Kraft bekannt geworden sind, streben einige Hersteller danach, ihre Produkte so anonym und generisch wie möglich zu gestalten.
Der Wert einer White-Label-Ransomware besteht darin, dass sie umbenannt werden kann. Aus einer großen Ransomware-Sorte können hunderte mehr entstehen. Dies ist möglicherweise der Grund, warum im ersten Quartal 2015 mehr als 725.000 Ransomware-Proben von McAfee Labs gesammelt wurden. Dies entspricht einer vierteljährlichen Steigerung von fast 165%..
Es ist äußerst unwahrscheinlich, dass die Strafverfolgung und die Sicherheitsbranche diese aufkommende Welle aufhalten können.
Wurden Sie von Ransomware getroffen? Haben Sie bezahlt, Ihre Daten verloren oder haben Sie das Problem auf andere Weise überwunden (vielleicht ein Backup)? Erzählen Sie uns davon in den Kommentaren!
Bildnachweise: Privatsphäre und Sicherheit von Nicescene über Shutterstock
Erfahren Sie mehr über: Computersicherheit, Ransomware.