IT-Sicherheit

Ransomware: Hacker ändern Vorgehensweise

Seit Ende 2017 hat sich die Vorgehensweise der Täter bei Angriffen mit Ransomware geändert. Bisher waren Phishing-E-Mails mit Links zur Schadsoftware oder Dateianhänge für die Verschlüsselung von Geräten verantwortlich, nun erfolgen die Angriffe hauptsächlich über Fernwartungstools. Die Polizei informiert.

Seit Jahresbeginn haben die Expertinnen und Experten des Cybercrime Competence Centers (C4) des BK eine neue Vorgangsweise der Täter festgestellt. Früher fand die Verbreitung der Verschlüsselungssoftware insbesondere über präparierte E-Mails, durch Sicherheitslücken in Webbrowsern oder durch unbewusstes Herunterladen aus dem Internet statt. Nunmehr wird die Schadsoftware bevorzugt über Fernwartungstools, wie insbesondere Remote Desktop Protokoll (RPD)-Schnittstellen, in die Netzwerke eingespielt und diese somit verschlüsselt. RDP-Schnittstellen werden grundsätzlich zum Steuern eines entfernten Computers und Darstellen dessen Bildschirminhaltes benötigt, etwa von einem Außendienstmitarbeiter einer Firma oder einem IT-Techniker.

Die Angriffsziele der Täter sind vorwiegend kleine mittlere Unternehmen und deren mangelhaft oder mit einfachen Passwörtern abgesicherte Schnittstellen. Die Zugangsdaten werden mit spezieller Software geknackt um in die Systeme der Opfer einzudringen und die Daten zu verschlüsseln. Nach der Infizierung erhalten die Opfer eine Nachricht mit den Instruktionen der Erpresser zur Überweisung des Lösegeldes.

Geldforderungen

Auch die Geldforderungen der Täter haben sich geändert. Früher wurden von den Tätern fixe Geldbeträge für die Entschlüsselung eines Gerätes verlangt. Nun wird nach vorheriger Abschätzung der finanziellen Möglichkeiten der Opfer die Höhe des Lösegeldes individuell abgestimmt. Es sind Forderungen von bis zu 30.000 Euro bekannt.

Allgemeines über Ransomware

Ransomware ist ein Sammelbegriff für Schadsoftware, die speziell dafür entwickelt wird, elektronische Daten und Systeme zu verschlüsseln, sodass diese nicht mehr verwendet werden können. Für die Entschlüsselung wird dann Lösegeld (engl.: ransom) erpresst, meistens in Form des virtuellen Zahlungsmittels Bitcoin oder durch Prepaid-Karten. Beide Zahlungsformen sind anonym und erschweren dadurch die Strafverfolgung. Betroffen sind sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen.

Eigene Sonderkommission im Einsatz

Aufgrund des Anstieges der Erpressungen durch Ransomware wurde Anfang Juni 2016 die Sonderkommission (Soko) Clavis im C4 des BK eingerichtet. Zurzeit besteht das Team aus sechs Mitarbeiterinnen und Mitarbeitern. Diese übernehmen alle bundesweit angezeigten Ransomware-Fälle. Diese Kriminalitätsform erfordert aufgrund der Internationalität und Komplexität eine zentrale Bearbeitung, damit einzelne Straftaten einer Serie bzw. einer Tätergruppierung zugeordnet werden können. Die Ermittler der Soko bearbeiten etwa fünf Anzeigen pro Woche. Im Vergleich zum Vorjahr mit durchschnittlich 20 Anzeigen pro Woche ist das eine signifikante Minderung.

Hilfe bei Entschlüsselungsprogrammen

Die Internetseite www.nomoreransom.org ist von Europol in Kooperation mit dem Bundeskriminalamt (BK) sowie privaten und exekutiven Partnern entstanden und unterstützt Opfer von digitaler Erpressung bei der Wiederherstellung ihrer Daten. Die Plattform ist mittlerweile in 14 Sprachen verfügbar und bietet dutzende unterschiedliche Entschlüsselungsprogramme gratis an. Auf der Seite können Betroffene Informationen einholen.

Tipps der Kriminalprävention:

• Ändern Sie regelmäßig Ihre Zugangsdaten, verwenden Sie unterschiedliche und komplexe Passwörter für verschiedene Accounts und Anwendungen. Wichtig sind komplexe, lange Passwörter mit Groß-, Kleinbuchstaben und Sonderzeichen.
• Benutzen Sie keine Standard Benutzerkennungen wie beispielsweise user1 oder Admin001.
• Setzen sie Firewalls ein.
• Schränken Sie die Zugangsmöglichkeiten unter Verwendung von IP-Whitelisting ein.
• Prüfen Sie ob Sie einen Fernzugriff via RDP-Zugang überhaupt benötigen. Falls nicht, schalten Sie diese Funktion aus.
• Legen Sie sich eine Strategie für Ihre Sicherheitskopien zu. Trennen Sie das BackUp-Medium nach der Sicherung vom System und lösen Sie Share-Links zu BackUp Servern nach erfolgter Sicherung wieder auf, um ein Übergreifen durch die Schadsoftware zu verhindern.
• Beschränken Sie die Benutzerrechte der jeweiligen User so weit als möglich und arbeiten Sie nur unter dem Administrator-Account, wenn dies unbedingt notwendig ist.
• Wenn sie Opfer geworden sind, dann erstatten sie bitte eine Anzeige auf jeder Polizeidienststelle.

Links:

Symbolfoto
Foto: ©  BK

Artikel Nr: 15675 vom Mittwoch, 14. März 2018, 10:00 Uhr
Reaktionen bitte an die Redaktion

Zurück