Waren Sie schon einmal Opfer einer in Massen verschickten Ransomware-Attacke und haben sich dabei etwas unpersönlich behandelt gefühlt? Sie können aufatmen, die Chancen steigen, dass sie bei der nächsten Erpressung mit Ransomware eine individuelle Betreuung durch die Erpresser erfahren. Allerdings ist das nicht unbedingt ein Vorteil.

Dies erklärte uns Michael Veit, Technology Evangelist des Security-Software-Herstellers Sophos bei einem Redaktionsbesuch. Gezielte Cybererpressungen einzelner Unternehmen mittels Verschlüsselung von Daten seien einer der aktuellen Trends unter Cyberkriminellen, die Sophos in seinem Threat report 2019 hervorhebt. Eines der Merkmale dieser Angriffe ist es, dass die Angreifer viel höhere Summen verlangen, um die Schlüssel zur Entschlüsselung herauszugeben, als bei traditionellen Ransomware-Angriffen. Schliesslich kennen sie die Angegriffenen, und können auch in etwa abschätzen, was diese bereit sein könnten, zu bezahlen.

Und laut Veit werden die verlangten Erpressungsgelder auch sehr oft bezahlt. Wenn die Angreifer Bitcoin-Konten zur Zahlung der Lösegelder angeben, kann man sehr gut verfolgen, wie viel Geld auf diese Konten fliesst. Dies scheinen zunehmend hunderttausende von Dollar zu sein, wie das Beispiel der Erpressergruppe SamSam zeigt. Sophos glaubt anhand der Analyse von Aktivitätsmustern, dass es sich bei den Erpressern um kleine Gruppen, vielleicht sogar Einzeltäter handelt, so Veit. Das heisst: Der kriminelle Anreiz ist gross, denn die Mitglieder können sehr viel verdienen.

Zwar werden auch bei dieser Art von Angriffen Dateien verschlüsselt und damit als "Geiseln" genommen, aber klassische Ransomware wird kaum beziehungsweise erst am Ende verwendet.

Die Angreifer suchen erst gezielt nach einem Einfallstor ins Netzwerk eines Unternehmens, wie uns Veit erklärte, meistens einem zu wenig geschützten RDP-Port. Wird so ein Port gefunden, folgt ein Brute-Force-Angriff, um das Login herauszufinden. Gelingt dies, wird die Attacke von einem realen Menschen weitergeführt. Er versucht, in weitere Bereiche des Netzwerks vorzudringen. Zu den Zielen der Angreifer gehört es, sich Logins für möglichst viele Domains zu suchen, Sicherheitsmechanismen zu deaktivieren und Backups zu löschen. Erst dann folgt die Einschleusung von Ransomware auf möglichst viele Computer gleichzeitig, um die nun nicht mehr geschützten Files zu verschlüsseln. Für diesen Schlag suchen sie sich oft einen besonders günstigen Zeitpunkt aus, zum Beispiel Freitagnacht. (Hans Jörg Maron)