Die vergangenen Tage hat eine neue Welle von Ransomware in Deutschland ihr Unwesen getrieben. Erschreckend ist dabei vor allem die Qualität der Phishing-E-Mails, die den Benutzer dazu verleiten soll, eine Excel-Datei von einer unbekannten Person zu öffnen und die enthaltenen Makros auszuführen. Es hat den Anschein, dass die Angreifer auf Daten der Agentur für Arbeit zugreifen, um gezielt einzelne Personalentscheider innerhalb von Unternehmen zu attackieren. Für diesen Zweck wird eine Bewerbung vorgetäuscht, die auf den ersten Blick sehr glaubwürdig wirkt.
Was ist Ransomware und wie funktioniert sie?
Die Bezeichnung Ransomware ist abgeleitet von dem englischen Begriff für Lösegeld „ransom„. Der Zusatz „ware“ ist eine Kurzform für Software (vgl. Malware, Spyware, Crapware etc.) . Es handelt sich dabei um eine Schadsoftware, die meist Endgeräte attackiert. Sie verschafft sich dabei über verschiedene Sicherheitslücken in Browsern, deren Plug-ins oder als Microsoft Office Makro Zugriff auf den Computer. Hat die Schadsoftware zugriff auf ein System erhalten, beginnt Sie mit dem Verschlüsseln der Daten. Meist zuerst mit kleinen, aber wichtigen Daten wie Office Dokumenten oder PDF-Dateien, später dann auch Bild- und Videodateien. Ein weiteres Vorgehen ist das verschlüsseln der gesamten Festplatte. Dies benötigt jedoch Administratorrechte und ist deshalb besonders im Geschäftsumfeld nicht sehr erfolgreich.
Hat die Ransomware die Verschlüsselung der Daten erfolgreich beendet, folgt das Informieren des Benutzers. Hier wird das Geschäftsmodell der Angreifer deutlich: Sie fordern für das Passwort zum Entschlüsseln der Daten einen Geldbetrag, normalerweise bezahlbar über eine Kryptowährung, die anonymes Bezahlen möglich macht.
Ist man von einer Ransomware betroffen, sollte man wenn möglich auf Backups zurückgreifen. Ist dies nicht möglich, muss man sich darüber im Klaren sein, dass durch ein Bezahlen keineswegs eine Entschlüsselung des Systems garantiert ist. Zudem muss man davon ausgehen, dass durch das Geld die Weiterentwicklung der Schadsoftware und ihrer verwendeten Angriffsmethoden vorangetrieben wird.
Können verschlüsselte Daten gerettet werden?
Verschlüsselung ist ein wichtiges Thema in Zeiten der Informationsgesellschaft. Es wird viel Zeit darin investiert, Verschlüsselungsverfahren zu entwickeln, die einen sicheren Austausch von Daten ermöglichen. Diese Verfahren werden jedoch nicht nur von Journalisten und Firmen dazu verwendet, ihre Arbeit zu schützen. Auch kriminelle Kräfte verwenden diese Technologien zu ihrem Vorteil.
Ransomware verwendet ein asymmetrisches Verschlüsselungsverfahren. Diese Verfahren basieren auf zwei verschiedenen Schlüsseln. Ein Schlüssel zum Verschlüsseln der Daten und ein anderer zum Entschlüsseln. Diese Eigenschaft wird von den Ransomware-Hersteller ausgenutzt: Der Schlüssel zur Entschlüsselung der Daten wird dem Opfer nach Bezahlung des Erpressungsgeldes übermittelt.
Warum wurde die E-Mail nicht von Filtern entdeckt?
E-Mail-Systeme sind ein beliebtes Ziel für Angriffe aller Art. Der Versand von E-Mails ist nicht nur kostenlos sondern auch skalierbar, besonders wenn die Angreifer über ein Botnetz verfügen und so E-Mails von hunderten von Rechnern gleichzeitig versenden können. Deshalb werden diese E-Mail-Systeme mit verschiedenen Schutzmechanismen bestückt. Diese sollen ungewollte Werbe-E-Mails und Schadsoftware erkennen.
Da Ransomware keine Werbetexte enthält, ist eine Klassifizierung auf Basis der Inhalte nicht möglich. Es bleibt lediglich eine Identifikation mit Hilfe eines Virenscanners. Diese müssen jedoch die betreffende Schadsoftware bereits kennen, um sie detektieren zu können. Und darin liegt oft das Problem. Handelt es sich um eine neue oder veränderte Version der Schadsoftware, wird auch diese Maßnahme scheitern.
Wie kann man sich vor diesen Angriffen schützen?
Mit etwas Glück öffnet der Benutzer die E-Mail nachdem die Anti-Virensoftware seines Arbeitsrechners mit einem Definitionsupdate neue Informationen über den Virus erhalten hat und diesen damit wiedererkennen kann. Falls dies nicht der Fall ist, bleibt als letzte Instanz nur noch der Benutzer selbst.
Folgende Punkte können dabei eine Identifikation durch den Benutzer ermöglichen. Diese Merkmale waren im speziellen bei der Ransomware GoldenEye gegeben, sollten sich jedoch auch auf andere Scam- bzw. Phishing-Angriffe übertragen lassen:
- Wird stets der vollständige Name verwendet oder wird der Name an sich sehr häufig verwendet? Damit soll eine erhöhte Anpassung des Textes an das Opfer verwirklicht werden. Da meist nicht viele Informationen über ein Opfer bekannt sind, werden bekannte Informationen verstärkt genutzt.
- Die Angreifer der GoldenEye Ransomware scheinen ihre Informationen über Ausschreibungen der Agentur für Arbeit zu beziehen. Dabei verwenden Sie in ihrer gefälschten Bewerbung einen zur Ausschreibung identischen Arbeitstitel, ohne in einem weiteren Wort darauf einzugehen.
- Ein weiterer wichtiger Punkt ist der sehr allgemein gehaltene Textinhalt. Ein Versand von Massen-E-Mails beruht immer auf einer Textvorlage, die dann mit möglichst viel individualisierten Variablen ergänzt wird, ähnlich einem Serienbrief. Um möglichst viele Benutzer damit ansprechen zu können, muss jeder Text, der nicht individualisiert werden kann, sehr allgemein gehalten sein. Im Falle von GoldenEye werden typische Bewerbungsfloskeln verwendet, jedoch ohne auf die Tätigkeiten, eigene Erfahrungen auf diesem Gebiet oder konkrete Informationen z. B. zur Ausbildung einzugehen.
- Bei der Aufforderung, die Kompetenzen und Qualifikationen des Bewerbers der angehängten Excel-Datei zu entnehmen, sollte der Benutzer misstrauisch werden, da ein solches Vorgehen höchst unüblich ist.
- Auch die Verwendung von unkonventionellen Dateiformaten sollte das Misstrauen des Benutzers weiter steigern. So werden in einer Bewerbung meist PDF-Dateien verwendet. Ein Versand von editierbaren Formaten wie Word-Dateien wäre bei einem unerfahrenen Bewerber noch denkbar. Ein im Excel-Format vorliegende Datei ist jedoch bei einer Bewerbung sehr unüblich.
- Hat man trotz der oben genannten Punkte noch keinen Verdacht geschöpft, so müssen spätestens bei einer Aufforderung das Dokument im Schreibmodus zu öffnen bzw. die Ausführung von Makros zu erlauben, alle Alarmglocken angehen.
Falls Sie einen oder mehrere der oben genannten Merkmale in einer E-Mail entdeckt haben, zögern sie nicht und kontaktieren sie einen IT-Experten, der Ihnen bei der Analyse behilflich sein kann. Vermuten Sie einen erfolgreichen Ransomware Angriff, so fahren Sie Ihr System unverzüglich herunter. So können Sie verhindern, dass die Software umfangreich Daten verschlüsseln kann.