print logo

Ransomware: Die Zukunft der Cyber-Erpressung

Warum WannaCry und NonPetya erst der Anfang waren
SentinelOne | 25.09.2017
©
 
Die Auswirkungen der jüngsten WannaCry- und NotPetya-Attacken waren über den gesamten Globus hinweg spürbar. Und da die Hackergruppe The Shadow Brokers in der näheren Zukunft weitere Daten-Dumps angekündigt hat, ist es wichtiger denn je, auf ähnliche und vielleicht gefährlichere Attacken vorbereitet sein. Dazu muss man jedoch erst einmal verstehen, was hinter WannaCry und Co. eigentlich steckt.

Obwohl die Auswirkungen dieser jüngsten Angriffe enorm waren – etwa in Bezug auf Ausfallzeiten und massive Betriebsunterbrechungen –, muss man der traurigen Wahrheit ins Auge sehen: Denn der Erpressungstrojaner ist letztlich nur eine von vielen Cyberwaffen im Werkzeuglager der Angreifer. Anspruchsvollere Attacken, die Datentrojaner oder Remote-Access-Tools nutzen, könnten sich für die Angreifer zukünftig als lukrativer erweisen und für Unternehmen auf der ganzen Welt schon bald verheerende Folgen haben.

Was die finanziellen Gewinne der Angreifer angeht, war WannaCry nicht besonders erfolgreich. Tatsächlich wurden bisher keine Abhebungen von den von WannaCry genutzten Bitcoin-Konten durchgeführt. Das heißt aber natürlich nicht, dass Unternehmen nicht schwer getroffen wurden und bis heute mit den Auswirkungen des Cyberangriffs zu kämpfen haben. So musste die britische Gesundheitsorganisation NHS beispielsweise mehrere kritische Dienste über mehrere Stunden und Tage offline schalten und zahlreiche Behandlungen und Operationen absagen.

Die Absicht hinter WannaCry

Doch welche Absicht steckte hinter den Erpresser-Versuchen? Wurde die Windows-Schwachstelle tatsächlich ausschließlich für zufällige Ransomware-Angriffe ausgenutzt?
Was, wenn WannaCry nur eine reine Ablenkung war? Es wäre zum Beispiel denkbar, dass die britischen Kliniken kein Zufallsopfer waren, sondern gezielt von den Cyberkriminellen ausgewählt wurden, um sensible und lukrative Patientendaten zu stehlen. Die Lösegeldforderung hätte für die NHS dann eine ganz andere Bedeutung gehabt.

Wir können uns das Chaos, das die Veröffentlichung von sensiblen Gesundheitsdaten nach sich ziehen würde, lebhaft vorstellen. Patientendaten sind im Darknet heute viel Geld wert und Informationen zum Gesundheitsstatus, der Lebensart und Vorlieben prominenter Personen dürften auf dem Schwarzmarkt noch deutlich höher gehandelt werden. Dieses Szenario gilt selbstverständlich auch für andere Branchen und Sektoren. So haben wir bereits etliche Vorfälle erlebt, bei denen wertvolles geistiges Eigentum ausspioniert, Kreditkartendaten gestohlen, Berechtigungsnachweise missbraucht oder E-Mails aus privaten Postfächern veröffentlicht worden sind. Man denke nur an die E-Mail-Affäre rund um Hillary Clinton.

Interessanterweise vermuten nun auch einige Wissenschaftler, dass sowohl NotPetya als auch WannaCry nicht als geldgenerierende Systeme aufgebaut worden sind. Vielmehr sei das Ziel der Angreifer, die NSA in Verlegenheit zu bringen, indem sie mit ihren eigenen Werkzeugen Chaos anrichten. Außerdem mutmaßen sie, dass NotPetya zudem zur Zerstörung der ukrainischen Infrastruktur konzipiert wurde.

Die Zukunft der Erpressungstrojaner ist jetzt

In gewisser Weise müssen wir froh sein, dass Ransomware-Angriffe wie diese so sichtbar sind. Sie geben Unternehmen die Möglichkeit, zu erkennen, wie verwundbar sie wirklich sind und bieten ihnen auf diese Weise die Möglichkeit, ihre Sicherheitsstrategien zu ändern und zu optimieren. Dabei sollten sie jedoch davon ausgehen, dass Ransomware immer fortschrittlicher wird und zukünftig auf Systeme abzielen wird, die viel schwieriger zu sichern sind.

Es besteht kein Zweifel daran, dass ein weiterer Angriff bevorsteht, und da The Shadow Brokers weitere Informationen und Preisdetails zu seinem monatlichen Daten-Dump' Service' veröffentlicht hat, sind weitere Attacken mehr als sicher. Gegen eine monatliche Gebühr von ca. 20.000 Dollar kann jeder auf die neuesten Werkzeuge zugreifen. Wäre es nicht schrecklich ironisch, wenn die Akteure hinter WannaCry oder NotPetya ihre Lösegeldzahlungen nutzen würden, um das nächste Instrumentarium zu finanzieren?

Ransomware ist in den letzten Monaten in den Fokus der Öffentlichkeit geraten und während wir hoffen, dass Unternehmen ihre Sicherheit im Auge behalten, ist es optimistisch zu glauben, dass die Zahl der Angriffe in naher Zukunft deutlich geringer ausfallen könnte. Umso wichtiger ist es, in Schutzlösungen der nächsten Generation zu investieren, die auf maschinellem Lernen, künstlicher Intelligenz und der Identifizierung von Bedrohungsverhalten basiert, und diese mit weitern Sicherheitsmaßnahmen wie pünktlichen Updates und einem effektivem Backup-System zu kombinieren. Nur so können Unternehmen den Kampf gegen böswillige Akteure, deren Ziel es ist, Zerstörung und Verwüstung zu hinterlassen, gewinnen.