Seit Ende 2017 hat sich die Vorgehensweise der Täter bei Angriffen mit Ransomware geändert.

-Produktempfehlung: Kaspersky lab-

Wie das Bundeskriminalamt in einer Presseaussendung mitteilt, hat sich seit Ende 2017 die Vorgehensweise der Täter bei Angriffen mit Ransomware geändert. Bisher waren Phishing-E-Mails mit Links zur Schadsoftware oder Dateianhänge für die Verschlüsselung von Geräten verantwortlich, nun erfolgen die Angriffe hauptsächlich über Fernwartungstools. Die Polizei informiert.

Seit Jahresbeginn haben die Expertinnen und Experten des Cybercrime Competence Centers (C4) des BK eine neue Vorgangsweise der Täter festgestellt. Früher fand die Verbreitung der Verschlüsselungssoftware insbesondere über präparierte E-Mails, durch Sicherheitslücken in Webbrowsern oder durch unbewusstes Herunterladen aus dem Internet statt.

Nunmehr wird die Schadsoftware bevorzugt über Fernwartungstools, wie insbesondere Remote Desktop Protokoll (RPD)-Schnittstellen, in die Netzwerke eingespielt und diese somit verschlüsselt. RDP-Schnittstellen werden grundsätzlich zum Steuern eines entfernten Computers und Darstellen dessen Bildschirminhaltes benötigt, etwa von einem Außendienstmitarbeiter einer Firma oder einem IT-Techniker.

Die Angriffsziele der Täter sind vorwiegend kleine mittlere Unternehmen und deren mangelhaft oder mit einfachen Passwörtern abgesicherte Schnittstellen. Die Zugangsdaten werden mit spezieller Software geknackt um in die Systeme der Opfer einzudringen und die Daten zu verschlüsseln. Nach der Infizierung erhalten die Opfer eine Nachricht mit den Instruktionen der Erpresser zur Überweisung des Lösegeldes.

Geldforderungen

Auch die Geldforderungen der Täter haben sich geändert. Früher wurden von den Tätern fixe Geldbeträge für die Entschlüsselung eines Gerätes verlangt. Nun wird nach vorheriger Abschätzung der finanziellen Möglichkeiten der Opfer die Höhe des Lösegeldes individuell abgestimmt. Es sind Forderungen von bis zu 30.000 Euro bekannt.

Allgemeines über Ransomware

Ransomware ist ein Sammelbegriff für Schadsoftware, die speziell dafür entwickelt wird, elektronische Daten und Systeme zu verschlüsseln, sodass diese nicht mehr verwendet werden können. Für die Entschlüsselung wird dann Lösegeld (engl.: ransom) erpresst, meistens in Form des virtuellen Zahlungsmittels Bitcoin oder durch Prepaid-Karten. Beide Zahlungsformen sind anonym und erschweren dadurch die Strafverfolgung. Betroffen sind sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen.

Eigene Sonderkommission im Einsatz

Aufgrund des Anstieges der Erpressungen durch Ransomware wurde Anfang Juni 2016 die Sonderkommission (Soko) Clavis im C4 des BK eingerichtet. Zurzeit besteht das Team aus sechs Mitarbeiterinnen und Mitarbeitern. Diese übernehmen alle bundesweit angezeigten Ransomware-Fälle. Diese Kriminalitätsform erfordert aufgrund der Internationalität und Komplexität eine zentrale Bearbeitung, damit einzelne Straftaten einer Serie bzw. einer Tätergruppierung zugeordnet werden können. Die Ermittler der Soko bearbeiten etwa fünf Anzeigen pro Woche. Im Vergleich zum Vorjahr mit durchschnittlich 20 Anzeigen pro Woche ist das eine signifikante Minderung.

Hilfe bei Entschlüsselungsprogrammen

Die Internetseite www.nomoreransom.org ist von Europol in Kooperation mit dem Bundeskriminalamt (BK) sowie privaten und exekutiven Partnern entstanden und unterstützt Opfer von digitaler Erpressung bei der Wiederherstellung ihrer Daten. Die Plattform ist mittlerweile in 14 Sprachen verfügbar und bietet dutzende unterschiedliche Entschlüsselungsprogramme gratis an. Auf der Seite können Betroffene Informationen einholen.

Tipps der Kriminalprävention:

  • Ändern Sie regelmäßig Ihre Zugangsdaten, verwenden Sie unterschiedliche und komplexe Passwörter für verschiedene Accounts und Anwendungen. Wichtig sind komplexe, lange Passwörter mit Groß-, Kleinbuchstaben und Sonderzeichen.
  • Benutzen Sie keine Standard Benutzerkennungen wie beispielsweise user1 oder Admin001.
  • Setzen sie Firewalls ein.
  • Schränken Sie die Zugangsmöglichkeiten unter Verwendung von IP-Whitelisting ein.
  • Prüfen Sie ob Sie einen Fernzugriff via RDP-Zugang überhaupt benötigen. Falls nicht, schalten Sie diese Funktion aus.
  • Legen Sie sich eine Strategie für Ihre Sicherheitskopien zu. Trennen Sie das BackUp-Medium nach der Sicherung vom System und lösen Sie Share-Links zu BackUp Servern nach erfolgter Sicherung wieder auf, um ein Übergreifen durch die Schadsoftware zu verhindern.
  • Beschränken Sie die Benutzerrechte der jeweiligen User so weit als möglich und arbeiten Sie nur unter dem Administrator-Account, wenn dies unbedingt notwendig ist.
  • Wenn sie Opfer geworden sind, dann erstatten sie bitte eine Anzeige auf jeder Polizeidienststelle.

Verweise:

Quelle: Bundeskriminalamt

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal, via Patreon, via Steady