Gemeinsamer Kampf gegen Ransomware

Screenshot nomoreransom.org
Neues Portal hilft und informiert zu Ransomware-Erpressung. (Abb.: Kaspersky Lab)

Im Rahmen einer neuen Initiative wollen jetzt Strafverfolgungsbehörden und Privatwirtschaft zusammen gegen Ransomware-Erpresser vorgehen.

Die niederländische Polizei, Europol, Intel Security und Kaspersky Lab starten eine Initiative mit dem Namen „No More Ransom“. NoMoreRansom.org ist ein neues Onlineportal, das die Öffentlichkeit zum Thema Ransomware-Gefahren informiert und Opfer bei der Wiederherstellung ihrer Daten unterstützt, ohne dass sie Lösegeld an Cyberkriminelle zahlen müssen.

Ransomware sperrt die Computer der Opfer oder verschlüsselt ihre Daten und verlangt im Anschluss eine Lösegeldsumme, damit die Kontrolle über betroffene Geräte und Daten wieder erlangt werden kann. Ransomware ist für die EU-Strafverfolgungsbehörden eine der derzeit größten Bedrohungen: Fast Zweidrittel der EU-Mitgliedsstaaten führen aufgrund dieser Art der Malware-Attacke Ermittlungen durch. Die Zielobjekte sind oftmals persönliche Geräte, aber auch Unternehmen, Krankenhäuser und sogar staatliche Netzwerke sind betroffen. Die Anzahl der Opfer wächst bedrohlich: laut Kaspersky Lab stieg die Zahl der von Krypto-Malware attackierten Nutzer zwischen den Jahren 2015 und 2016 um 550 Prozent an, von 131.000 auf 718.000.

Wichtige Prävention

Die Seite nomoreransom.org soll Ransomware-Opfern eine nützliche Onlinequelle sein. Nutzer finden dort Informationen, was Ransomware genau ist, wie die Schädlinge funktionieren und – am wichtigsten –, wie man sich dagegen schützen kann. Das Bewusstsein hierfür ist entscheidend, weil längst nicht für alle Schädlingsversionen Entschlüsselungstools existieren. Bei einer Infizierung ist die Wahrscheinlichkeit groß, dass die Daten für immer verloren sind. Das Erlernen einer bewussten Internetnutzung, bei der eine Reihe einfacher Cybersicherheitstipps berücksichtigt werden, kann eine Infektion von Beginn an vermeiden.

Das Projekt bietet Nutzern Tools, die ihnen bei der Wiederherstellung der Daten nach einer erfolgten Verschlüsselung helfen können. Zum Start beinhaltet die Seite vier Entschlüsselungstools für verschiedene Malware-Arten, beispielsweise ein im Juni 2016 entwickeltes Tool für eine Version von „Shade“.

160.000 Schlüssel

Bei Shade handelt es sich um einen Ransomware-Trojaner der Ende des Jahres 2014 auftauchte. Der Schädling wird über schadhafte Webseiten und infizierte E-Mail-Anhänge verbreitet. Ist er auf einem Nutzersystem gelandet, verschlüsselt Shade Dateien, die auf dem Rechner gespeichert sind, und erstellt eine ,txt.‘-Datei, die eine Lösegeldforderung und eine Anleitung der Cyberkriminellen enthält, was zur Wiedererlangung der persönlichen Daten zu tun ist. Shade nutzt einen starken Verschlüsselungsalgorithmus für jede verschlüsselte Datei, mit zwei zufällig erstellten 256-bit-AES-Schlüsseln: einer ist für die Verschlüsselung des Dateiinhalts und der andere für zur Verschlüsselung der Dateinamen zuständig.

Seit dem Jahr 2014 haben Kaspersky Lab und Intel Security mehr als 27.000 Shade-Angriffsversuche auf ihre Nutzer verhindert. Die meisten Infektionen tauchten in Russland, der Ukraine, Deutschland, Österreich und Kasachstan auf, aber auch in Frankreich, der Tschechischen Republik, Italien und den USA.

Die von den Cyberkriminellen für Shade genutzten Command-and-Control-Server zur Speicherung der Verschlüsselungsschlüssel wurden im Zuge enger Zusammenarbeit und Informationsaustausch zwischen den beteiligten Parteien beschlagnahmt. Die Schlüssel wurden im Anschluss Intel Security und Kaspersky Lab zur Verfügung gestellt. Dadurch konnte ein spezielles Tool entwickelt werden, das Opfern auf der ‚No More Ransom‘-Seite zum kostenfreien Download zur Verfügung gestellt wird. Damit können Daten wiederhergestellt werden, ohne das Lösegeld zahlen zu müssen. Das Tool enthält mehr als 160.000 Schlüssel.

Öffentlich-private Kooperation

Das Projekt wurde als nicht-kommerzielle Initiative angelegt, mit dem Ziel, öffentliche und private Institute zusammen zu bringen. Weil Cyberkriminelle ständig neue Versionen von Ransomware entwickeln, ist das Portal offen für neue Partnerkooperationen.

Erpressungsversuch immer anzeigen

Das Anzeigen von Ransomware-Delikten ist sehr wichtig, um den Behörden dabei zu helfen, ein komplettes Bild und entsprechende Verhinderungsmaßnahmen der Bedrohung zu bekommen. Die ‚No More Ransom‘-Webseite bietet den Opfern die Möglichkeit, kriminelle Delikte anzuzeigen, indem sie direkt von der Übersichtsseite von Europol zu den nationalen Behörden weiter geleitet werden.

Opfer von Ransomware sollten das geforderte Lösegeld niemals zahlen, denn eine Zahlung unterstützt das „Geschäftsmodell“ der Cyberkriminellen. Zudem gibt es keine Gewährleistung dafür, dass Opfer nach der Zahlung wieder Zugang zu den verschlüsselten Daten erhalten.