Ransomware in Deutschland: Die Gefahr bleibt akut
Ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, zur Erpressersoftware Ranscam
(pressebox) Hallbergmoos, 17.01.2017 - Das noch junge neue Jahr – oder Jahr 1 nach dem „Jahr der Cyber-Erpressung“ – wird zwar eine geringere Zunahme neuer Ransomware-Familien erfahren. Die Angriffsszenarien werden sich jedoch diversifizieren. Nur wenige Wochen nach unserer entsprechenden Vorhersage scheinen sich die aufgezeigten Trends zu bestätigen. Das Risiko, Opfer von Erpressersoftware zu werden, bleibt also akut – nicht nur für Privatanwender, sondern insbesondere auch für Unternehmen, deren wichtigstes Kapital heutzutage digitale Informationen sind.
Um die Anzahl ihrer Opfer zu maximieren, passen die kriminellen Hintermänner von Erpressersoftware ihre Angriffe zunehmend an lokale Gegebenheiten an. So nahmen sie Anfang Dezember gezielt Mitarbeiter in den Personalabteilungen deutscher Unternehmen ins Visier, indem sie Jobgesuche fingierten. Generell gehört Deutschland zu den am meisten betroffenen Ländern in Europa, was Angriffe mit Erpressersoftware anbelangt. Etwas mehr als ein Drittel der Ransomware wird hierzulande über bösartige Webadressen verbreitet, während Spam-Nachrichten mit knapp zwei Dritteln weiterhin den Hauptinfektionsweg darstellen.
Eine weitere Deutschland-spezifische Kampagne nutzte Spam-Nachrichten, die angeblich von der Kölner Polizei verschickt wurden und die Empfänger des Betrugs beschuldigten. Ferner gab es Angriffsversuche mit einer Telekommunikationsfirma als Absender und einer gefälschten Rechnung als verseuchtem E-Mail-Anhang.
Auffallend ist bei diesen aktuellen Beispielen, dass hier altbekannte Schädlinge wiederverwendet werden, indem diese geringfügig angepasst und variiert werden. Dass mittlerweile auch quelloffene Ransomware wie Hidden Tear im Web angeboten wird, macht den Cyberkriminellen die Sache umso leichter.
Keine weitere explosionsartige Zunahme neuer Schädlingsfamilien, dafür aber immer mehr Varianten und immer mehr Lokalisierung – das sind die Zutaten für ein „reifes“ Marktsegment im cyberkriminellen Untergrund. Die Gefahr wird also auf einem hohen Niveau weiterbestehen und wohl sogar noch zunehmen, wenngleich langsamer als bisher. Dass dem in der Tat so ist, legen Erfahrungen mit anderen Angriffsarten nahe. Ein Beispiel hierfür wären etwa die schon etwas in die Jahre gekommenen Bankentrojaner wie EMOTET, DRIDEX oder ZeuS/ZBOT. Letzterer treibt zwar schon seit 2007 sein Unwesen, erreichte aber in Deutschland von Oktober bis Dezember 2016 mit 250 aktiven bösartigen Webadressen einen neuen Rekord.
Nein zu Ransomware
Angesichts oder vielleicht besser trotz des weiterhin hohen Risikos bleiben meine Kollegen und ich bei unserem Rat an Privatanwender wie Unternehmen, im Falle einer Infektion mit Erpressersoftware kein Lösegeld zu bezahlen. Denn es gibt keine Garantie, im Gegenzug seine Daten wiederzuerhalten. Zum anderen verhindert dieses Verhalten keine weiteren Angriffe, im Gegenteil: Wer zahlt, legt seine Angreifbarkeit offen – und seine Bereitschaft, falls nötig noch mehr als bisher zu bezahlen.
Der effektivste Schutz gegen Erpressersoftware ist und bleibt die Wachsamkeit des Anwenders, der Verzicht, Anhänge und Webadressen in E-Mails unbekannter Herkunft anzuklicken, und die Deaktivierung von Makros in Dokumenten. Ebenso wichtig sind regelmäßige Backups, auch auf vor Angriffen mit Ransomware sicheren Speichermedien wie CDs. Ferner sollten Anwender ihre Software inklusive insbesondere des Betriebssystems mittels Herstelleraktualisierungen stets auf dem neuesten Stand halten. Schließlich sollten sie eine mehrschichtige Sicherheitslösung einsetzen, die zum Beispiel E-Mail-Nachrichten mit Links zu bösartigen Webseiten bereits aussortiert, bevor die Anwender diese öffnen können, und selbst unbekannte Varianten von Erpressersoftware über eine Verhaltenserkennung an der Ausführung hindern kann.
Weitere Ratschläge für Unternehmen zum Schutz vor Infektionen mit Erpressersoftware finden sich hier.
Generell können Anwender unsere kostenlosen Werkzeuge wie das Trend Micro Lock Screen Ransomware Tool nutzen, das Erpressersoftware, die den Bildschirm sperrt, erkennen und entfernen kann. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum ist in der Lage, bestimmte Varianten von Erpressersoftware mit Dateiverschlüsselung unschädlich zu machen, indem die Dateien wieder entschlüsselt werden.
Weitere Informationen
Weitere Informationen zu den aktuellen Spam-Kampagnen mit Erpressersoftware und Bankentrojanern in Deutschland sind im deutschsprachigen Trend-Micro-Blog abrufbar.
Eine aktuelle Trend Micro-Studie zu Ransomware findet sich hier, weiterführende Informationen zum Thema auch hier.
Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.
Um die Anzahl ihrer Opfer zu maximieren, passen die kriminellen Hintermänner von Erpressersoftware ihre Angriffe zunehmend an lokale Gegebenheiten an. So nahmen sie Anfang Dezember gezielt Mitarbeiter in den Personalabteilungen deutscher Unternehmen ins Visier, indem sie Jobgesuche fingierten. Generell gehört Deutschland zu den am meisten betroffenen Ländern in Europa, was Angriffe mit Erpressersoftware anbelangt. Etwas mehr als ein Drittel der Ransomware wird hierzulande über bösartige Webadressen verbreitet, während Spam-Nachrichten mit knapp zwei Dritteln weiterhin den Hauptinfektionsweg darstellen.
Eine weitere Deutschland-spezifische Kampagne nutzte Spam-Nachrichten, die angeblich von der Kölner Polizei verschickt wurden und die Empfänger des Betrugs beschuldigten. Ferner gab es Angriffsversuche mit einer Telekommunikationsfirma als Absender und einer gefälschten Rechnung als verseuchtem E-Mail-Anhang.
Auffallend ist bei diesen aktuellen Beispielen, dass hier altbekannte Schädlinge wiederverwendet werden, indem diese geringfügig angepasst und variiert werden. Dass mittlerweile auch quelloffene Ransomware wie Hidden Tear im Web angeboten wird, macht den Cyberkriminellen die Sache umso leichter.
Keine weitere explosionsartige Zunahme neuer Schädlingsfamilien, dafür aber immer mehr Varianten und immer mehr Lokalisierung – das sind die Zutaten für ein „reifes“ Marktsegment im cyberkriminellen Untergrund. Die Gefahr wird also auf einem hohen Niveau weiterbestehen und wohl sogar noch zunehmen, wenngleich langsamer als bisher. Dass dem in der Tat so ist, legen Erfahrungen mit anderen Angriffsarten nahe. Ein Beispiel hierfür wären etwa die schon etwas in die Jahre gekommenen Bankentrojaner wie EMOTET, DRIDEX oder ZeuS/ZBOT. Letzterer treibt zwar schon seit 2007 sein Unwesen, erreichte aber in Deutschland von Oktober bis Dezember 2016 mit 250 aktiven bösartigen Webadressen einen neuen Rekord.
Nein zu Ransomware
Angesichts oder vielleicht besser trotz des weiterhin hohen Risikos bleiben meine Kollegen und ich bei unserem Rat an Privatanwender wie Unternehmen, im Falle einer Infektion mit Erpressersoftware kein Lösegeld zu bezahlen. Denn es gibt keine Garantie, im Gegenzug seine Daten wiederzuerhalten. Zum anderen verhindert dieses Verhalten keine weiteren Angriffe, im Gegenteil: Wer zahlt, legt seine Angreifbarkeit offen – und seine Bereitschaft, falls nötig noch mehr als bisher zu bezahlen.
Der effektivste Schutz gegen Erpressersoftware ist und bleibt die Wachsamkeit des Anwenders, der Verzicht, Anhänge und Webadressen in E-Mails unbekannter Herkunft anzuklicken, und die Deaktivierung von Makros in Dokumenten. Ebenso wichtig sind regelmäßige Backups, auch auf vor Angriffen mit Ransomware sicheren Speichermedien wie CDs. Ferner sollten Anwender ihre Software inklusive insbesondere des Betriebssystems mittels Herstelleraktualisierungen stets auf dem neuesten Stand halten. Schließlich sollten sie eine mehrschichtige Sicherheitslösung einsetzen, die zum Beispiel E-Mail-Nachrichten mit Links zu bösartigen Webseiten bereits aussortiert, bevor die Anwender diese öffnen können, und selbst unbekannte Varianten von Erpressersoftware über eine Verhaltenserkennung an der Ausführung hindern kann.
Weitere Ratschläge für Unternehmen zum Schutz vor Infektionen mit Erpressersoftware finden sich hier.
Generell können Anwender unsere kostenlosen Werkzeuge wie das Trend Micro Lock Screen Ransomware Tool nutzen, das Erpressersoftware, die den Bildschirm sperrt, erkennen und entfernen kann. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum ist in der Lage, bestimmte Varianten von Erpressersoftware mit Dateiverschlüsselung unschädlich zu machen, indem die Dateien wieder entschlüsselt werden.
Weitere Informationen
Weitere Informationen zu den aktuellen Spam-Kampagnen mit Erpressersoftware und Bankentrojanern in Deutschland sind im deutschsprachigen Trend-Micro-Blog abrufbar.
Eine aktuelle Trend Micro-Studie zu Ransomware findet sich hier, weiterführende Informationen zum Thema auch hier.
Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.
