Die Kaspersky-Jahresanalyse zu Cybererpressung gegen Unternehmen und Heimanwender zeigt einen starken Anstieg der Häufigkeit von Ransomware-Angriffen. Unter den Kriminellen werden Geschäftsmodelle wie Ransom-as-a-Service immer beliebter.

Ob 'Locky', 'Petya' oder 'Teslacrypt' – Ransomware beziehungsweise Cybererpressung war in diesem Jahr eine der größten Cyberbedrohungen für Heimanwender und Unternehmen. Gemäß einer detaillierten Analyse im Rahmen des Kaspersky Security Bulletin stiegen Ransomware-Attacken auf Unternehmen im Jahr 2016 um das Dreifache an. Während im Januar 2016 noch jede zweite Minute ein Ransomware-Angriff weltweit gegen ein Unternehmen stattfand, waren es im Oktober 2016 bereits alle 40 Sekunden.

Mit einer Ransomware-Angriffsrate von zehn Sekunden im Oktober 2016 werden Heimanwender noch stärker von Ransomware belästigt. Insgesamt entdeckte das Kaspersky Lab alleine in diesem Jahr 62 neue Ransomware-Schädlingsfamilien.

Auch scheinen Ransomware-as-a-Service-Geschäftsmodelle bei Cyberkriminellen, denen es selbst an Fähigkeiten, Ressourcen oder Eigenentwicklungen fehlt, beliebter zu werden. Das Schema: Code-Entwickler bieten Ransomware-Schädlinge – oft als einzigartig modifizierte Version – auf Kommissionbasis zum Kauf und zur anschließenden Weiterverbreitung über Spam-E-Mails oder Webseiten an. Der Entwickler erhält vom Cybererpresser eine entsprechende Kommission. Ein Beispiel: Im Falle des Schädlings 'Petya' bleiben einem Angreifer von 125 in der Woche erpressten Bitcoins nach Abzug der Kommission 106,25 Bitcoins Gewinn übrig.

"Wie auch in anderen Cybercrime-Bereichen hat sich im Ransomware-Umfeld ein klassisches Partnermodell als effektiv erwiesen", sagt Fedor Sinitsyn, Senior Malware Analyst bei Kaspersky Lab. "Da viele Opfer bereit sind, das geforderte Lösegeld zu bezahlen, fließt Geld durch das System. Zwangsläufig tauchen fast täglich neue Verschlüsselungsprogramme auf."

2016: Das Jahr der Ransomware

Das Jahr 2016 hat sich zum Jahr der Ransomware entwickelt – nicht nur, was das generelle Aufkommen, sondern auch was Komplexität, Unterschiedlichkeit und Situationsverschärfung hinsichtlich der verschlüsselten Daten und Geräte anbelangt.

Attacken auf Unternehmen nehmen stark zu: Gemäß einer Umfrage von Kaspersky Lab lässt sich jeder fünfte Cybersicherheitsvorfall in einem Unternehmen auf eine Ransomware-Attacke zurückführen. Eines von fünf kleinen Unternehmen bekam auch nach der Zahlung des Lösegelds die verschlüsselten Daten nicht zurück.

Bestimme Branchen sind stärker betroffen. Der Bildungssektor (vor ITK, Medien und Finanzdiensten) ist Spitzenreiter hinsichtlich der Ransomware-Angriffsrate, die Bereiche Einzelhandel und Freizeit haben die niedrigste. Dennoch kann für keinen Bereich Entwarnung gegeben werden.

Lern-Ransomware als Problem

Ransomware zu Lernzwecken soll Systemadministratoren ein Tool an die Hand geben, mit dem sie Angriffe von Erpressersoftware simulieren und ihre Abwehr überprüfen können. Allerdings wurde das Verfahren schnell von Cyberkriminellen aufgegriffen. So tauchten zahlreiche bösartige Trojaner auf, die auf dem Code von Lern-Ransomware basieren, beispielsweise bei 'Ded Cryptor' und 'Fantom'.

Im Jahr 2016 gab es neue Methoden für Ransomware-Attacken. Dazu gehört Festplattenverschlüsselung, bei der Angreifer den Zugang blockieren, oder die gesamte Festplatte und nicht nur Daten und Ordner verschlüsseln, wie beispielsweise bei 'Petya'. Der Schädling 'Dcryptor' (auch als 'Mamba' bekannt) geht noch einen Schritt weiter, indem er das gesamte Laufwerk eines Systems verschlüsselt, mittels Brute-Force-Angriffen auf Passwörter für den anschließenden Fernzugriff auf die anvisierte Opfermaschinen.

Die Ransomware 'Shade' zeigte, dass sie ihren Angriffsansatz anpassen kann. Gehört ein infizierter Opferrechner zu einem Finanzdienstleister, wurden keine Daten verschlüsselt, sondern Spyware heruntergeladen und installiert. Auch gab es einen Anstieg bei Ransomware-Trojanern mit geringer Qualität, die beispielsweise Software-Lücken und schlampige Fehler bei der Lösegeldbenachrichtigung aufwiesen. Dadurch sank die Wahrscheinlichkeit, dass Opfer ihre verschlüsselten Daten wiederherstellen konnten.

Prognose zur Evolution von Ransomware

Kaspersky Lab geht davon aus, dass es wegen der starken Präsenz von Ransomware zu einem Vertrauensverlust zwischen Opfern und Angreifern kommen könnte. Der Grund: Bisher haben sich viele Opfer nach einer Lösegeldzahlung auf die Freischaltung ihrer Daten durch die Angreifer verlassen können. Allerdings treten neue Cyberkriminelle in den Ransomware-Markt ein, darunter könnte die bisher gesehene Qualitätssicherung der Angreifer leiden. Die Folge wäre ein Vertrauensverlust von Seiten der Opfer, wenn es um die Zahlung des geforderten Lösegelds geht.

Die in diesem Jahr vorgestellte Initiative 'NoMoreRansom.org' vereint Strafverfolgungsbehörden und Sicherheitsanbieter im Kampf gegen Ransomware. Die Plattform schafft Aufklärung und stellt für diverse Ransomware-Familien Entschlüsselungstools bereit.

(Quelle:Kaspersky Lab/Bild:Kaspersky Lab)

Das könnte Sie auch interessieren:

Beitrag zum digitalen Zwilling
PTC tritt IDTA bei

Die Industrial Digital Twin Association hat mit PTC ein neues Mitglied. Gestartet mit 23 Organisationen, umfasst die Initiative nun 94 Mitglieder.‣ weiterlesen

KI-basierte Software
Zusammenbau per AR-Anleitung

Industrielle Montagelinien sind vielfältig: Einige arbeiten mit häufig wechselnden Produktaufbauten, während sich andere durch komplexe Prozesse und hohen Abstimmungsbedarf zwischen Werker und weiteren Experten auszeichnen. Das Fraunhofer IGD will Anwender mit einer Kombination aus Augmented Reality (AR) und künstlicher Intelligenz (KI) unterstützen.‣ weiterlesen

Neuer Rekord
Neuer 1 Million Roboter in der Autoindustrie weltweit

Rund 1 Million Industrieroboter werden allein im Automotive-Bereich eingesetzt. Laut der International Federation of Robotics ein Rekordwert. Das größte Wachstum beobachtet der Robotik-Verband derzeit in China.‣ weiterlesen

Sichere Firewall
4 grundlegende Tipps

Firewalls gehören in Unternehmen zu den wichtigsten Sicherheitskomponenten, um das Netzwerk vor Angriffen zu schützen. Mehr noch, im integrierten und vernetzen Zusammenspiel mit weiteren Security-Lösungen, beispielsweise für die Endpoint-, Mobile- oder Cloud-Security und mit den immer wichtigeren Security-Services durch menschliche Experten, fügt sich die Firewall in ein ganzheitliches Security-Ökosystem ein, das alle IT-Bereiche im Unternehmen bestmöglich vor Angriffen und vor Schäden bewahren kann.‣ weiterlesen

Aus- und Weiterbildung
VDI bietet Big-Data-Schulungen an

Auf Grundlage der im November 2022 veröffentlichten Richtlinie VDI/VDE-MT 3714 bietet der VDI Schulungen für die Implementierung und den Betrieb von Big-Data-Anwendungen an. ‣ weiterlesen

Überwachungsbedürftige Anlagen
Anforderungen an Cybersecurity konkretisiert

Die Anforderungen an die Cybersecurity von überwachungsbedürften Anlagen werden deutlich konkretisiert. Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln. Die zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.‣ weiterlesen

19. Deutscher IT-Sicherheitskongress
Eröffnung des Anmeldeportal für den digitalen Kongress

Mit dem Start der Anmeldung öffnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die digitalen Pforten für den 19. Deutschen IT-Sicherheitskongress. Am 10. und 11. Mai 2023 findet der Kongress unter dem Motto 'Digital sicher in eine nachhaltige Zukunft' digital statt.‣ weiterlesen

Neue Variante ausgebrochen
USB-Wurm überquert gleich drei Kontinente

Die längst verstaubt geglaubte Masche des 'Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen' wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt.‣ weiterlesen

KI-Funktionen in Standardsoftware
Qualitätsmanagement-System mit integrierter KI

Softwareanbieter Consense ergänzt sein Qualitätsmanagement-System um KI-gestützte Funktionen. Die Algorithmen sollen helfen, Prozesse zu automatisieren und einfacher zu gestalten. ‣ weiterlesen

Sonicwall Cyber Threat Report 2023
Neue Cyberfronten und verändertes Verhalten von Bedrohungsakteuren

Sonicwall hat den Sonicwall Cyber Threat Report 2023 veröffentlicht. Dieser zweimal jährlich erscheinende Bericht gibt Einblicke in eine zunehmend diversifizierte Cyberbedrohungslandschaft und die sich verändernden Strategien der Bedrohungsakteure.‣ weiterlesen

Smart Factories schützen
Secure Digital Platform sorgt für umfassende IT-Sicherheit

Smart Factories bieten eine breite Angriffsfläche für Cyberattacken. Deshalb sichert die Freie Universität Bozen ihre 'Smart Mini Factory', eine Lernfabrik für Industrie-4.0-Technologien, mit der Endian Secure Digital Platform. Neben umfassender IT-Sicherheit ermöglicht die Plattform die Nutzung von Edge Computing und das Management von Rollen und Rechten.‣ weiterlesen