Warum Ransomware so effektiv ist
In unserem 2017 State of Cyber Security Report zeichnen Experten, Partner und Mitarbeiter von F-Secure ein aktuelles Bild des Internets auf. Wenn Sie die Nachrichten verfolgen, wissen Sie, dass Ransomware eine Bedrohung ist, die sowohl Einzelpersonen als auch Unternehmen schädigt. Die Malware verschlüsselt Dateien, und daraufhin fordern Cyberkrimimelle die Zahlung eines Lösegelds. Vor allem Unternehmen und Einrichtungen mit äußerst wertvollen vertraulichen Daten, wie etwa Krankenhäuser, sind betroffen.
Sie werden sich fragen, warum dies so ist. Warum ist es so schwierig, sich dagegen zu verteidigen? Warum ist es unwahrscheinlich, dass Ransomware in naher Zukunft verschwinden wird? Es ist eher wahrscheinlich, dass sich die Bedrohung auf weitere vernetzte Geräte, möglicherweise sogar Autos, ausdehnen wird.
Basierend auf den Ergebnissen des Cyber Security Report von 2017, wollen wir vier Gründe aufzeigen, warum Ransomware so effektiv ist:
1. Es hat einen massiven Fortschritt in der Entwicklung gegeben. F-Secure Labs warnt Anwender schon seit Jahrzehnten vor Ransomware in verschiedener Form. Mit der Entstehung von Cryptolocker im Jahr 2013 hat sich jedoch alles geändert. Diese neue Version einer alten Bedrohung „definiert das Geschäftsmodell und hat sich bewährt“, so der Bericht. Die Folgen werden unter anderem in der „Tube Map“-Darstellung im Report deutlich, wo die schnelle und weitläufige Entwicklung von neuen Ransomware-Varianten visualisiert ist.
Auch die folgende Grafik zeigt, dass sich die Anzahl neuer Ransomware-Familien in den Jahren 2014 und 2015 verdoppelt hat. Und im Jahr 2015 ist die Zahl der neuen Familien fast um das Fünffache gestiegen.
Jede neue Iteration bedeutet, dass wir uns gegen eine andere Bedrohung zu verteidigen haben.
2. Das Bitcoin-Dilemma. Es ist kein Zufall, dass der Aufstieg der Ransomware kam, während Bitcoin sich als digitale Währung etablierte. Nicht zurück verfolgbar und grenzenlos verfügbar, ermöglichte es Bitcoin dieser neuen „Branche“ geradezu zu explodieren. Eine Branche, die eines Tages sogar Milliardäre hervorbringen könnte. Die „Preisgestaltung“ im Ransomware-Geschäft ist dabei wie ein Spiel. Die Kriminellen wollen so viel wie möglich, aber dürfen nicht zu viel verlangen, damit die Rechnung aufgeht. Anders als bei Privatanwendern, macht bei Unternehmen der Verlust des Zugangs zu geschäftskritischen Daten und Systemen es schwieriger, eine Zahlung zu verweigern. In einer aktuellen Studie von IBM antworteten über 50 Prozent der Verbraucher, sie würden kein Lösegeld bezahlen, um ihre verschlüsselten Dateien zurückzubekommen. 70 Prozent der Unternehmen, die bereits eine Infektion erlebt hatten, gaben an, dass sie bezahlt hätten.
Die Höhe des Lösegelds hängt davon ab, ob die Zahlung in Bitcoin oder einer realen Währung wie Dollar angefordert wird. Bitcoin-Preise können innerhalb von einigen Tagen deutlich schwanken. Dies bedeutet, dass das Warten bis zur Zahlung in einem Preisunterschied gegenüber dem Zeitpunkt der Infektion resultieren kann. Dies ist der Fall, wenn ein Angreifer 500 US-Dollar im Wert von Bitcoin verlangt und der Bitcoin-Preis plötzlich nach oben geht, bis das Opfer herausfindet, wie man die Zahlung leistet. Die 500 Dollar würden dann nicht mehr für so viel Bitcoin wie vorher reichen und der Angreifer könnte mehr verlangen.
F-Secures inoffizielle Twitter-Umfrage im vergangenen Frühjahr deutet darauf hin, das Ransomware-Kriminelle erfolgreicher sind, wenn sie die Preise auf einem niedrigeren Niveau halten. Während nur 8 Prozent der Befragten angaben, dass sie bereit wären, ein Lösegeld von mehr als 400 US-Dollar zu zahlen, um verlorene Daten wiederzubekommen, waren 29 Prozent bereit, einen Betrag von unter 400 Dollar zu bezahlen.
3. Kriminelle imitieren legitime Geschäfte. Ransomware ist im Aufwind dank eines perfiden Geschäftsmodells, das auch noch gut funktioniert. Das Versprechen, verschlüsselte Dateien zu entsperren, ist ein klarer Vorteil – und allzu oft die billigste und effizienteste Option für betroffene Unternehmen. Aber sie werden nur zahlen, wenn sie darauf vertrauen können, dass sie das bekommen, für was sie bezahlen. Dies erfordert, dass die Kriminellen tatsächlich über ihre Reputation nachdenken, so wie es legale Händler auch tun.
Ein erfolgreiches Geschäftsmodell ist nicht das einzige Konzept, das Ransomware aus dem traditionellen Geschäftsleben entlehnt hat. Die Täter wissen auch, wie wichtig Kundenservice ist. Einige Ransomware-Familien bieten mittlerweile kundenfreundliche Funktionen, um ihre Opfer bei der Durchführung der Bitcoin-Zahlung zu leiten. So gibt es individuell angepasste Webseiten in mehreren Sprachen, hilfreiche FAQs – und sogar als kostenlose „Testversion“ eine Entschlüsselung für eine Datei. Über Support-Kanäle können die „Kunden“ mit den Gaunern in Kontakt treten.
Wie gut ist der Ransomware-Kundenservice? Um das herauszufinden, haben wir die Kriminellen, die hinter fünf aktiven Ransomware-Familien stecken, über ihre Support-Kanäle kontaktiert. Ausführliche Details dieser Studie finden Sie in unserem Report Evaluating the Customer Journey of Crypto-Ransomware.
4. Schlechte Backup-Disziplin. Ransomware funktioniert aus dem einfachen Grund, weil die Leute ihre Dateien benötigen. Es würde nicht funktionieren, wenn alle gute Backups hätten. F-Secure-Forschungschef Mikko Hypponen erklärt hierzu: „Backups sind keine Backups, solange Sie nicht ausprobiert haben, ob die Wiederherstellung tatsächlich funktioniert.“
Es gibt aber noch weitere Möglichkeiten, wie sich vermeiden lässt, einem Ransomware-Angriff zum Opfer zu fallen.
Kategorien