Angriffe im Sekundentakt: Das Jahr der Ransomware

Ransomware war 2016 fraglos eine der größten Bedrohungen für Internet-Nutzer und Unternehmen. Im Jahresverlauf stieg die Zahl der Schädlinge sprunghaft an, im dritten Quartal erfolgten die Angriffe fast schon im Sekundentakt.

(Foto: psdesign1 - Fotolia)

Mit den Attacken von »Locky« zu Jahresbeginn rückte das Thema Ransomware erstmals in das Blickfeld einer breiteren Öffentlichkeit. Zwar gab es derartige Schädlinge schon lange zuvor, doch erst die erfolgreichen Angriffe auf Krankenhäuser, Unternehmen sowie Privatnutzer und die wachsende Zahlungsbereitschaft der Opfer, die verzweifelt versuchten, wieder an ihre Daten zu kommen, machten Ransomware letztlich richtig populär. Das Ergebnis: Cyberkriminelle ließen eine regelrechte Flut neuer Verschlüsselungstrojaner auf Heimanwender und die Wirtschaft los. Kaspersky zufolge traten allein in diesem Jahr 62 neue Ransomware-Familien in Erscheinung, die Zahl der Variationen einzelner Schädlinge stieg von 2.900 im ersten auf über 32.000 im dritten Quartal. Vergingen bei Unternehmen zu Jahresbeginn noch zwei Minuten zwischen zwei Angriffen, so waren es im Sommer nur noch 40 Sekunden. Bei Einzelpersonen verringerte sich der Zeitraum zwischen den Attacken von 20 auf zehn Sekunden.

Zu dieser Entwicklung beigetragen haben einerseits die Opfer, die bereit waren, das Lösegeld zu zahlen, damit ihre Daten wieder entschlüsselt werden. Andererseits wurde es einfacher, derartige Attacken zu fahren, da sich Ransomware-as-a-Service-Geschäftsmodelle etablierten. So konnten auch Cyberkriminelle denen die Fähigkeiten oder Ressourcen zur Entwicklung von Ransomware fehlten, in das Geschäft einsteigen und fertige Malware nach Bedarf beziehen. Kaspersky zufolge gab es einige bemerkenswerte Beispiele für die Professionalität dieses Business: Die Macher der »Petya«-Ransomware arbeiteten etwa ganz traditionell auf Kommissionsbasis. Laut Preisliste werden von 125 pro Woche erpressten Bitcoins 17,75 als Beteiligung fällig, 106,25 bleiben dem Versender. Anders bei »Stompado«, für deren Nutzung einmalig 39 Dollar berechnet werden.

Wie die Sicherheitsexperten feststellten, kamen in diesem Jahr zunehmend Ransomware-Varianten auf, die nicht nur Dateien und Ordner verschlüsselten, sondern ganze Laufwerke und Festplatten. Andere gingen durchaus differenziert vor, etwa »Shade«, das den Angriff anpassen konnte. Handelte es sich bei dem infizierten System um das eines Finanzdienstleisters, wurde darauf verzichtet, die Daten zu verschlüsseln, und stattdessen eine Spyware installiert.

Bei Kaspersky rechnet man damit, dass die Ransomware-Flut sich im kommenden Jahr fortsetzt – durch die zunehmende Popularität aber ein Teil der Professionalität der Branche auf der Strecke bleibt. »Die meisten Erpresser-Programme basieren auf einer merkwürdigen Vertrauensbeziehung zwischen dem Opfer und den Angreifern. Sie stützt sich auf das Versprechen, dass das Opfer, nachdem die Lösegeldzahlung beim Erpresser eingegangen ist, seine gekaperten Dateien zurückerhält«, heißt es bei Kaspersky. Durch die wachsende Zahl der Cyberkriminellen, die etwas vom Ransomware-Kuchen abhaben wollen, sinke allerdings das Niveau. Man befürchte, dass es mehr Schädlinge geben werde, die Systeme einfach nur sperren oder Dateien löschen – und letztlich nach Zahlung des Lösegeldes keine Gegenleistung erbracht werde. Bereits in diesem Jahr erhielten laut Kaspersky etwa ein Fünftel der zahlenden kleinen und mittelständischen Unternehmen ihre Daten nicht zurück.