Pressemitteilungen

Folgt nun der „Rexit“? Läutet Ranscam das Ende von Ransomware ein?

Ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, zur Erpressersoftware Ranscam

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #av #trendmicro #bedrohung #datensicherung #ranscam #backup #löschen #cloudspeicher #sicherheitssoftware #whitelisting #news #nachrichten #crypto-ransomware-file-decryptor #trendmicro-anti-ransomware #screenlock #bildschirmsperre #rexit

Hallbergmoos, 15. Juli 2016. Das Thema Ransomware und insbesondere Crypto-Ransomware beherrscht die Schlagzeilen. Alle rechnen damit, dass es noch schlimmer wird. Mittlerweile gehen Firmen sogar dazu über, Geld zurückzustellen, um die Cyberkriminellen, die ihre Dateien verschlüsseln, zu bezahlen und dadurch wieder an ihre Informationen – die Grundlage ihres Geschäfts – zu kommen. Doch jetzt ist eine Variante der Erpressersoftware aufgetaucht, die sich merkwürdig verhält: „Ranscam“ entschlüsselt Dateien auch nach Bezahlung des „Lösegelds“ nicht. Damit dürfte die Bereitschaft der Opfer sinken, auf die Forderungen der Online-Gangster einzugehen. Ist das der Anfang vom Ende von Ransomware, folgtr nun gewissermaßen der Rexit?

Statt Dateien zu verschlüsseln, werden sie von „Ranscam“ gelöscht. Auf den ersten Blick sieht das nach typischer Trittbrettfahrerei aus. Anstatt Zeit und Ressourcen zur Entwicklung einer „richtigen“ Ransomware zu investieren, hofft man auf Opfer, die einfach zahlen. Gedanken um die Wiederherstellung der Daten braucht sich der Schreiber von „Ranscam“ nicht zu machen. Diese neue Masche hat allerdings Auswirkungen auf das gesamte Ökosystem der Ransomware-Hintermänner.

Steckt ein Nestbeschmutzer dahinter?
Sollte „Ranscam“ im größeren Maßstab (negative) Bekanntheit erlangen, sinkt natürlich bei Opfern generell die Bereitschaft zu zahlen – auch bei Infektionen mit „normaler“ Erpressersoftware. Denn die Botschaft lautet: Es lohnt sich nicht zu zahlen, da die Daten ohnehin weg sind. Und das ist dem Geschäftsmodell natürlich nicht förderlich. Welche persönlichen oder gar gesundheitlichen Konsequenzen das jetzt für die Hintermänner von Ranscam hat, die damit unter Umständen ein florierendes Geschäftsmodell osteuropäischer Cyberkrimineller mit guten Verbindungen zur organisierten Kriminalität zerstören, sei dahingestellt.

Aus unseren Forschungen wissen wir, dass unseriöse Anbieter oder Käufer von Untergrundprodukten oder Dienstleistungen durchaus an den virtuellen Pranger gestellt werden. Beim sogenannten „Doxing“ werden alle erreichbaren Daten des Betroffenen, teilweise inkl. aller persönlichen Daten wie Wohnadresse, Familienstand, Hobbies etc. gesammelt und in Foren veröffentlicht. Der Schritt in die reale Welt, bei der dann ein unfreundlicher Zeitgenosse auf einmal vor der Haustüre steht oder beim Kindergarten wartet, ist dann nur noch ein kleiner. Und in diesen Fällen geht es „nur“ um unseriöse Transaktionen. Bei Ranscam sprechen wir aber von der Gefährdung eines ganzen Untergrund-Wirtschaftszweigs. Da kommen auf einmal ganz andere Größenordnungen zum Tragen – evtl. auch mit ganz anderen Konsequenzen für den Delinquenten.

Noch einmal ordentlich Kasse machen?
Der zeitlich damit zusammenfallende massive Anstieg von Angriffen mit der Locky-Ransomware lässt sich vor diesem Hintergrund auf mehrere Arten deuten: Vielleicht ist die Brisanz von „Ranscam“ doch nicht so hoch wie von den Hintermännern „normaler“ Ransomware befürchtet (oder potentiellen Opfern erhofft). Oder aber sie stellt einen Versuch dar, jetzt noch einmal ordentlich Kasse zu machen, bevor das Erpressersoftware-Geschäftsmodell in sich zusammenbricht. Natürlich besteht auch die Möglichkeit, dass der „Ranscam-Effekt“ schlichtweg verpufft.

Nicht zahlen, Vorsorge treffen!
Was für Privatanwender mit viel Zeit und Mühe verbunden ist, kann für Unternehmen existenzbedrohend sein. Firmen, die auf ihre Daten nicht mehr zugreifen können, müssen unter Umständen ihren Geschäftsbetrieb einstellen. Der bereits erwähnte Ansatz, auf die Bedrohung durch Erpressersoftware durch rein finanzielle Vorsorge zu reagieren, entpuppt sich spätestens mit „Ranscam“ als falsch.

Denn auch vor „Ranscam“ gab es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.

Nein zu Ransomware
Als erste Hilfe im Fall einer Infektion mit „normaler“ Erpressersoftware hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:

1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen durch Erpressersoftware schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).

Weitere Informationen
Weitere Details zu „Ranscam“ sind auf dem deutschen Trend-Micro-Blog abrufbar.


Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.

Über Trend Micro

Als einer der weltweit führenden IT-Sicherheitsanbieter verfolgt Trend Micro das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Die innovativen Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für Rechenzentren, Cloud-Umgebungen, Netzwerke und Endpunkte.

Die Lösungen von Trend Micro sind für führende Umgebungen wie Amazon Web Services, Microsoft® und VMware® optimiert. Mit ihnen können Organisationen den Schutz ihrer wertvollen Daten vor aktuellen Bedrohungen automatisieren. Die miteinander kommunizierenden Produkte bilden einen vernetzten Schutzmechanismus, der durch zentrale Transparenz und Kontrolle eine schnellere und bessere Absicherung ermöglicht.

Zu den Kunden von Trend Micro zählen 45 der Top-50-Unternehmen der Fortune® Global 500 sowie alle der zehn jeweils führenden Unternehmen in den Branchen Automotive, Bankenwesen, Telekommunikation und Erdöl.

Mit nahezu 6.000 Mitarbeitern in über 50 Ländern und der fortschrittlichsten Analyse globaler Cyberbedrohungen schützt Trend Micro zuverlässig vernetzte Unternehmen.
Die deutsche Niederlassung von Trend Micro befindet sich in Hallbergmoos bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.

Weitere Informationen zum Unternehmen und seinen Lösungen sind unter www.trendmicro.de verfügbar, zu aktuellen Bedrohungen unter blog.trendmicro.de sowie blog.trendmicro.ch. Anwender können sich auch unter @TrendMicroDE informieren.