Die 10 gefährlichsten Ransomware-Varianten der letzten Jahre

In den letzten Jahren hat sich im Internet so viel Ransomware verbreitet, dass sie zu einer der größten Bedrohungen für die Cybersicherheit geworden ist. Laut Statistiken von Cybersecurity Ventures werden Unternehmen bis Ende 2019 alle 14 Sekunden von Ransomware betroffen sein. In 91 % der Fälle werden die Angriffe durch Spear-Phishing-E-Mails verursacht. Im Jahr 2019 haben Kriminelle durch Ransomware-Angriffe rund 11,5 Milliarden US-Dollar verdient. Wie kam es zu dieser Bedrohung für die Cybersicherheit und was sind die historisch betrachtet 10 gefährlichsten Ransomware-Arten, die man kennen sollte?

 AIDS Info Disk: Der erste Ransomware-Angriff der Geschichte

Die erste Ransomware, die in die Geschichte einging, war der AIDS-Trojaner, auch bekannt als PC Cybor. Sie wurde 1989 vom amerikanischen Biologen Joseph Popp in QuickBasic 3.0 programmiert und über Disketten verteilt, die per Post versandt wurden. Popp versandte zwanzigtausend 5,25-Zoll-Disketten an Forscher außerhalb der USA, die wichtige Untersuchungen zu AIDS durchführten. Der fiktive Absender dieser Briefe war die "PC Cybor Corporation" und in ihnen befand sich eine Diskette mit dem Titel "AIDS Information - Introductory Diskettes". Den Datenträgern war eine Informationsbroschüre beigefügt, in der die Notwendigkeit des Erwerbs einer Lizenz zur Nutzung der Software angegeben war. Auf den Datenträgern befanden sich zwei Dateien: INSTALL.EXE und AIDS.EXE. Die erstgenannte Datei enthielt die eigentliche Malware. Sobald die Ransomware auf dem PC installiert war, wurde die Datei AUTOEXE.BAT, die MS-DOS-Windows-Systemstartdatei, ersetzt. Nun wurde eine Meldung angezeigt, in der der Benutzer aufgefordert wurde, die Lizenz zu erneuern, um den Computer weiter verwenden zu können. Die angeschlossenen Drucker druckten dann ein Dokument, in dem die Opfer aufgefordert wurden, 189 US-Dollar an eine Mailbox in Panama zu senden, um eine Jahreslizenz zu erwerben und Anweisungen zur Datenwiederherstellung zu erhalten. Die Installation des AIDS-Trojaners wurde von 5 % der Benutzer durchgeführt, was etwa 1.000 Computern entspricht.


Die Meldung wird nach der PC-Infektion durch AIDS-Ransomware angezeigt. Quelle: Wikipedia.

Die Ransomware hat der Wissenschaft erheblichen Schaden zugefügt. Eine italienische AIDS-Pflegeforschungsorganisation hat beispielsweise Studienergebnisse aus 10 Jahren Forschung verloren. Joseph Popp wurde im Januar 1990 vom FBI verhaftet, nachdem er von einem Sicherheitsbeamten am Flughafen Amsterdam Schiphol entdeckt worden war. Mit der Verhaftung konnte das Versenden weiterer 2 Millionen Disketten mit der Ransomware verhindert werden. 1991 wurde er aufgrund seiner psychisch instabilen Verfassung vorzeitig aus dem Gefängnis entlassen.

Die Verbindung zwischen Ransomware, Kryptographie und Kryptowährung

In den 2000er Jahren waren Archiveus, Gpcode, TROJ.RANSOM.A, Krotten, Cryzip und Mayarchive die ersten Arten von Ransomware, die eine ausgefeilte RSA-Kryptographie verwendeten. Beispielsweise verwendete der im Juni 2006 identifizierte Gpcode ein kryptografisches 660-Bit-RSA-Schema. Zwei Jahre später wurde eine neue Version entdeckt, die anfänglich als schwer zu entschlüsseln galt, da sie einen 1024-Bit-RSA-Schlüssel verwendete. Archiveus war ein Microsoft Windows Virus, bei dem der Benutzer einen Kauf auf einer Website tätigen musste, um das Entschlüsselungskennwort zu erhalten. Im Mai 2006 wurde die Software geknackt und das Kennwort zur Wiederherstellung der infizierten Dateien gefunden.
Ein paar Jahre später erschien eine Reihe von Ransomware, die sogenannte "Polizei-Ransomware". Sie gab vor, eine Warnung der Polizei zu sein und die Opfer wurden aufgefordert, eine Geldstrafe für ihre mutmaßlichen illegalen Handlungen zu zahlen. Gleichzeitig ermöglichte die neue Generation anonymer Zahlungsdienste, unbemerkt Geld zu beschaffen. Mit Blick auf die Anonymität und die nicht gegebene Rückverfolgbarkeit von Zahlungen, zeichnete sich Ende 2010 ein neuer Trend unter Cyberkriminellen ab: die Verwendung von Kryptowährungen. Insbesondere Bitcoin ist zur Währung von Computererpressern geworden.
In den letzten Jahren sind Ransomware-Angriffe zu einer Bedrohung geworden, an der streng geheime Spionageagenturen und internationale Intrigen beteiligt sind. Dies ist beispielsweise bei WinLock der Fall: Wegen dieser Ransomware haben die russischen Behörden im August 2010 zehn Personen festgenommen.

Die 10 gefährlichsten Ransomware der letzten Jahre

Ransomware ist heute eine der größten Bedrohungen im Internet. Die Ausgangslage ist mit über 1.000 Varianten die auf Organisationen, Unternehmen und Privatanwender abzielen, sehr vielfältig. Die Zahl der Opfer nimmt stetig zu und die der Ransomware zugrunde liegenden Technologien werden immer ausgefeilter. Chronologisch werden wir hier die 10 gefährlichsten Arten von Ransomware vorstellen. Einige davon sind sicherlich bekannt, hoffentlich jedoch nicht aus eigener Erfahrung!

  1. CryptoLocker
    CryptoLocker trat 2013 in Erscheinung und läutete wahrscheinlich die Ära der groß angelegten Ransomware ein. Verbreitet durch E-Mail-Anhänge und Spam-Nachrichten mit dem Gameover ZeuS-Botnet, verwendete die Ransomware einen öffentlichen 2048-Bit-RSA-Schlüssel, um Benutzerdateien gegen eine Geldzahlung zu verschlüsseln. Laut Avast hatte CryptoLocker zwischen Ende 2013 und Anfang 2014 zusammen mit den Klonen CryptoWall, Cryt0L0cker und TorrentLocker mehr als 500.000 Computer infiziert. Die Schadsoftware war eher "elementar" und wurde dank der "Operation Tovar", einer gemeinsamen Kampagne von FBI, Interpol, Sicherheitsunternehmen und Universitäten, besiegt. CryptoLocker ebnete den Weg für viele andere Arten von Ransomware, die deren Code zum Erstellen neuer Ransomware verwenden.
     
  2. TeslaCrypt
    Obwohl es zu Beginn als eine Variante von CryptoLocker vorgestellt wurde, erlangte diese Ransomware an Bekanntheit durch ihre besonderen Funktionsweise. TeslaCrypt zielt insbesondere auf Zusatzdateien ab, die mit Videospielen in Verbindung stehen, wie beispielsweise gespeicherte Spielstände, Karten, Download-Inhalte und ähnliches. Für Gamer sind dies häufig wichtige Dateien, die lokal und nicht in der Cloud oder auf externen Laufwerken gespeichert werden. Im Jahr 2016 wurden weltweit 48 % der Ransomware-Angriffe von TeslaCrypt durchgeführt. Von den Opfern wurde ein Lösegeld in Höhe von 500 US-Dollar in Bitcoins verlangt. Ihre ständige Weiterentwicklung hat es dieser Ransomware ermöglicht, sich zu verbreiten und so viele Opfer zu treffen.
    Im Mai 2016 war es nur mit Hilfe der Ersteller möglich, die Dateien wiederherzustellen: Die Hacker hinter TeslaCrypt beschlossen, ihre böswilligen Aktivitäten einzustellen und der Welt den Hauptdecodierungsschlüssel anzubieten. Nach ein paar Tagen veröffentlichte ESET ein kostenloses Tool zum Entschlüsseln infizierter Computer. 
     
  3. SimpleLocker
    Mobile Geräte sind inzwischen fest in unserem Alltag verankert und zu den am häufigsten verwendeten elektronischen Geräten geworden. Dieser Trend blieb von Hackern nicht ungenutzt. Zwischen Ende 2015 und 2016 haben sich die Ransomware-Angriffe auf Geräte mit einem Android-Betriebssystem fast vervierfacht.
     


    Ransomware-Angriffe auf Android-Geräte haben sich nahezu vervierfacht. Quelle: Kaspersky Lab.

    Die erste Art des Angriffs machte es den Benutzern schwer, auf Dateien zuzugreifen und hinderte sie daran, auf Abschnitte der mobilen Benutzeroberfläche zuzugreifen. Ende 2015 war SimpleLocker, auch bekannt als Andr/Slocker-A, die erste weltweite Ransomware-Bedrohung für Android. SimpleLocker verbreitet sich wie ein als App getarnter Trojaner-Download: Nach der Installation wird das Gerät gescannt und die Dateierweiterung durch AES-Verschlüsselung in .ENC geändert. Außerdem wurden Geräteinformationen wie die IMEI-Nummer, das Smartphone-Modell und der Hersteller erfasst und an einen C2-Server gesendet. Die neuesten Versionen konnten auf die Kamera zugreifen und zeigte ein Foto des Opfers. Dies wurde verwendet, um dem Opfer Angst einzujagen und davon zu überzeugen, das Lösegeld zu zahlen. Obwohl SimpleLocker in Osteuropa entwickelt wurde, befanden sich die meisten Opfer in den USA.
    Auf dieser Seite finden Opfer detaillierte Informationen zum Entfernen von SimpleLocker auf verschiedenen Smartphone-Modellen.
     
  4. Cerber
    Cerber ist ein Beispiel für eine Technologie, die fortschrittliche RSA-Verschlüsselung für böswillige Zwecke verwendet. Es wird als Ransomware-as-a-Service (RaaS) vertrieben, eine Art „Partnerprogramm“ für Cyberkriminelle. Jeder kann es kaufen und ins Internet stellen, um 40 % des Gewinns zu verdienen – ein wahrhaft kriminelles Geschäft. Die Ransomware zielt auf Benutzer des Office 365-Cloud-Pakets ab. Es wird eine aufwändige Phishing-Kampagne verwendet, von der bis heute weltweit Millionen Benutzer mit Ausnahme der osteuropäischen Länder betroffen sind. 
    So funktioniert der Angriff: Im Allgemeinen erhält das Opfer eine E-Mail mit einem infizierten Microsoft Office-Dokument. Einmal geöffnet, läuft die Ransomware im Hintergrund und verschlüsselt Dateien, ohne dabei auch nur Verdacht zu erregen. Nach Abschluss dieser Phase findet der Benutzer eine Lösegeldforderung in den infizierten Ordnern oder häufig auch als Desktop-Hintergrund. Zur Hochphase Anfang 2017 machte Cerber 26 % aller Ransomware-Angriffe aus. Heute sind mehrere Decoder verfügbar, mit denen Betroffene die Dateien entschlüsseln können.
     
  5. SamSam
    Diese als SamSam bekannte Ransomware-Art trat Ende 2015 auf, wurde jedoch erst einige Jahre später zu einer ernsten Gefahr und zwang dann auch hochkarätige Ziele, insbesondere in den USA, in die Knie. Anstelle einer ausgefeilten technischen Struktur steht bei SamSam ein solides Organisationsmodell. In den Jahren 2015 und 2016 konzentrierte sich diese Ransomware auf die Ausnutzung der JBoss-Schwachstellen. 2018 nutzte SamSam dann schwache Passwörter für Sicherheitslücken auf RDP-, Java-basierten Servern und FTP-Servern aus, um Zugang zum Netzwerk des Opfers zu erhalten. Es scheint, dass SamSam-Angriffe manuell gesteuert werden, was bedeutet, dass sich jemand hinter der Tastatur befindet, der auf ein bestimmtes Netzwerk zielt und die Dateien mit einer RSA-2048-Verschlüsselung unzugänglich macht. Ein neuer Trend an dieser Stelle: Die Ransomware-Angriffe sind sorgfältig vorbereitet und zielgerichtet. Die Erpressungssumme variiert je nach Grad und Umfang der Daten des Opfers sowie der Zahlungsbereitschaft.


    Ein Überblick über die SamSam-Angriffe im Jahr 2018. Quelle: Symantec.

    Bei der Analyse des Bitcoin-Portemonnaies der SamSam-Gruppe stellte sich beispielsweise heraus, dass das US-Krankenhaus Hancock Health am 13. Januar 2018 um 02:31 Uhr ein Lösegeld von 4 Bitcoins im Wert von rund 51.000 Euro bezahlte. Die Systeme der Gesundheitseinrichtung konnten innerhalb von zwei Stunden wiederhergestellt werden.
     

WannaCry
WannaCry ist eine der gefährlichsten Ransomware-Arten sowie eine der größten Cyber-Angriffe, die buchstäblich schon Tausende von Menschen zum Weinen gebracht hat. Mit WannaCry trat der Begriff zum ersten Mal ins Rampenlicht der öffentlichen Debatte und in die Weltpresse ein. Im Mai 2017 waren 200.000 Benutzer, darunter große Unternehmen, Organisationen und öffentliche Einrichtungen, in rund 150 Ländern infiziert. Dies ist die erste Welle von Hackerangriffen mit Tools, die von der National Security Agency (NSA) geleaked wurden. WannaCry nutzt den EternalBlue-Exploit und einen Microsoft-Fehler bei der Implementierung des SMB-Protokolls (Server Message Block). Obwohl Microsoft ein Sicherheitsupdate veröffentlicht hatte, waren viele Computer noch nicht aktualisiert worden. WannaCry nutzte genau diese Sicherheitslücke, indem es sich aggressiv auf alle vernetzten Geräte ausbreitete.
 


Dieser Screen mit der Lösegeldforderung wird auf Computern angezeigt, die von WannaCry blockiert wurden. Quelle: Wikipedia.


Eines der gefährlichen Merkmale ist die Tatsache, dass keine Maßnahmen erforderlich sind, um sich zu infizieren: WannaCry installiert sich automatisch auf den betroffenen Computern und verschlüsselt Dateien mit der Erweiterung.WCRY. Das Lösegeld beträgt 300 USD in Bitcoins, die innerhalb von drei Tagen gezahlt werden müssen. Nach Ablauf dieser Frist verdoppelt sich das Lösegeld auf 600 USD. Erfolgt die Zahlung nicht innerhalb einer Woche, so gehen alle Dateien verloren. Zwei Jahre nach der weltweiten Veröffentlichung von WannaCry sind schätzungsweise noch immer zwei Millionen Computer dem Angriff ausgesetzt.
 

  1. Petya und NotPetya
    Nach WannaCry wurde die Ära der Ransomware von NotPetya bekräftigt. Fangen wir von vorne an: Alles begann im Jahr 2016, als Petya zum ersten Mal als Ransomware-Paket in Erscheinung trat. Nur wenige Wochen nach der WannaCry-Epidemie im Frühjahr 2017 verbreitete sich Petya in einer aktualisierten Version und nutzte das EternalBlue auf den Spuren der bekannten WannaCry-Ransomware. Die neueren und noch gefährlichen Weiterentwicklungen von Petya wurden mit NotPetya betitelt. Nach Angaben von ESET wurden am 28. Juni 2017 80 % der Ransomware-Fälle in der Ukraine registriert. Deutschland belegte mit 9 % den zweiten Platz. NotPetya verbreitete sich hauptsächlich per E-Mail mit einer angehängten Datei mit den Endungen .doc, .xls, .ppt oder .pdf. Die Datei kann einfach geöffnet werden, ohne Wissen des Benutzers wird ein Dropper gestartet, der die eigentliche Malware aus dem Internet installiert. Sobald die Dateien verschlüsselt sind, wird der PC unbrauchbar und ein Lösegeld von 300 US-Dollar in Bitcoin angefordert. Der grundlegende Unterschied zwischen Petya bzw. NotPetya und den anderen Arten von Ransomware wie WannaCry liegt in der Zieldatei: Anstatt jede Datei zu verschlüsseln, verweist diese Ransomware direkt auf den Bootloader des PCs. 
      
  2. Bad Rabbit
    Bad Rabbit stellt in seinen subtilen Techniken nichts Neues dar: Es folgt den Beispielen von WannaCry und NotPetya. Getarnt als Adobe Flash-Installation, hat es hauptsächlich Organisationen in Russland und Osteuropa betroffen. Es verbreitet sich über Drive-by-Downloads auf kompromittierten Websites, auf denen es zuvor mittels JavaScript in HTML-Code oder Java-Dateien eingefügt wurde. Nach dem Herunterladen und Installieren wird der PC gesperrt. Das Lösegeld beträgt 280 USD in Bitcoin mit einer Frist von 40 Stunden.
     


    2017 verbreitete sich die Bad Rabbit Ransomware vor allem in Russland, aber auch in Bulgarien, der Türkei und Deutschland. Quelle: Kasperky.

  3. Ryuk
    Ryuk ist eine Ransomware, die zwischen 2018 und 2019 großen Schaden angerichtet hat und sich speziell an zahlungsfähige Organisationen richtete, die sich keine Ausfallzeiten erlauben können. Unter den Opfern befanden sich amerikanische Zeitungen und der North Carolina Water Service, der sich zu dieser Zeit mit den Folgen des Hurrikans Florence befasste. Die Ransomware verwendet robuste militärische Algorithmen wie RSA4096 und AES-256. Ein besonders subtiles Feature von Ryuk ist, dass es die Windows-Option "Systemwiederherstellung" auf infizierten Computern deaktivieren kann. Dies macht es schwieriger, verschlüsselte Daten wiederherzustellen, ohne die Kriminellen zu bezahlen. Lösegeldforderungen sind häufig besonders hoch und messen sich an der Bedeutsamkeit des Opfers für die Allgemeinheit. Analysten glauben, dass Ryuks Quellcode größtenteils von Hermes abgeleitet wurde, einem Produkt der nordkoreanischen Lazarus-Gruppe. Dies bedeutet jedoch nicht, dass die Ransomware vom nordkoreanischen Staat gesteuert wird. McAfee ist der Ansicht, dass Ryuk auf einem Code eines russischsprachigen Herstellers basiert, zum Teil, weil die Ransomware nicht auf Computern ausgeführt wird, deren Sprache auf Russisch, Weißrussisch und Ukrainisch eingestellt ist. Wer Ryuk zum Opfer gefallen ist oder mehr über die technischen Aspekte erfahren möchte, findet hier detaillierte Informationen zum Löschen dieser Malware auf verschiedenen Windows-Betriebssystemen.
     
  4. GandCrab
    GandCrab galt 2018 und 2019 als beliebte Multimillionärs-Ransomware. Um eine Enthüllung zu vermeiden, setzten die Cyberkriminellen hinter GandCrab in hohem Maße auf Microsoft Office-, VBScript- und PowerShell-Makros. GandCrab verwendet ein RaaS-Modell (Ransomware-as-a-Service), um den Verbreitungsgrad zu maximieren. Dabei setzt es hauptsächlich auf Phishing-Techniken per E-Mail. Die Lösegeldforderungen liegen zwischen 500 und 600 US-Dollar. Laut verschiedenen Quellen im Internet hatte GandCrab im Januar 2018 über 48.000 Knoten in einem einzigen Monat infiziert. Trotz aller Bemühungen und Erfolge bei der Datenwiederherstellung ist die Bedrohung noch nicht überwunden, da das kriminelle Team hinter der Ransomware ständig Änderungen vornimmt. Im März 2019 waren verschiedene Varianten der Ransomware im Umlauf. Europol hat in Zusammenarbeit mit der rumänischen Polizei, den Strafverfolgungsbehörden und Bitdefender die GandCrab-Server gehackt, um die Schlüssel zu erhalten. Gemeinsam haben sie ein kostenloses Produkt erstellt, das die Entschlüsselung für die Versionen 1.4 bis 5.1 der Schadsoftware ermöglicht.

Weniger Angriffe, höhere Erfolgsquote

Nach der Vorstellung der 10 gefährlichsten Ransomware der letzten Jahre ist hervorzuheben, dass zwischen 2018 und 2019 eine positive Entwicklung zu beobachten ist. Der Rückgang der Angriffe ist beachtlich. Leider geben die Hacker nicht auf, sondern verändern stattdessen ihre Arbeitsweise. Ransomware-Angriffe werden immer individueller auf bestimmte Ziele zugeschnitten. Sie werden durch ausgeklügelte Echtzeitsteuerungen und Verwaltungstools wie SamSam und Ryuk verwaltet. Diese "neuen" gezielten Angriffe treffen eine sehr kleine Anzahl von Organisationen, haben aber eine viel höhere Erfolgsquote.  Eine geringere Anzahl von Angriffen führt daher nicht zu einem Rückgang der Einnahmen für die Hacker. Deshalb sollten Sie in Bezug auf diese Bedrohung auf keinen Fall unvorsichtig werden. Es gilt weiterhin Sicherheitsmaßnahmen zu ergreifen, um Ihre IT-Infrastrukturen vor diesen hochentwickelten Cyberbedrohungen zu schützen.
 
Wissen ist die beste Verteidigung. In unserem Artikel finden Sie Maßnahmen gegen Ransomware.

zurück zur Übersicht