Ransomware – Weshalb besonders Unternehmen und Einrichtungen bedroht sind und wie Sie sich wehren können


„Ausnahmezustand“ ist durchaus ein Begriff, den wir mit Krankenhäusern in Verbindung bringen können. „Cyber-Kriminalität“ hingegen eher nicht. Doch was, wenn die beiden aufeinandertreffen?

In einem Krankenhaus suchen Sie Rat, Hilfe und Sicherheit. Sie vertrauen darauf, dass die Kenntnisse und Erfahrungen der Ärzte Ihnen Besserung bringen. Aber was passiert, wenn dieser Ort des Schutzes selbst zum „Cyber-Ausnahmezustand“ wird? Nein, das ist nicht die Handlung des nächsten Kinohits, sondern ein Beispiel aus dem wahren Leben:

Im Februar 2016, also vor gerade einmal drei Monaten, musste das Presbyterian Medical Centre in Hollywood einen „internen Ausnahmezustand“ ausrufen. Ransomware hatte seine Dateien unzugänglich gemacht. Das Krankenhauspersonal hatte folglich keinerlei Zugriff mehr auf Patientendaten und E-Mails und konnte daher nicht mehr seiner Arbeit nachgehen. Kaum vorstellbar: Ärzte können die Informationen ihrer Patienten nicht einsehen, weder ihre Krankengeschichte noch aktuelle Laborberichte. Es ist keine Kommunikation zwischen medizinischen Einrichtungen und Mitarbeitern möglich. Kurz gesagt, eine Katastrophe.

hospital ransomware

Laut einem Bericht des NBC zahlte das Krankenhaus ein Lösegeld von ungefähr 17.000 US-Dollar. Allen Stefanek (CEO des Krankenhauses) erklärt, dass die Zahlung von 40 Bitcoins der „schnellste und wirksamste Weg war, um unsere Systeme und Verwaltung wieder zum Laufen zu bringen.“ Er gibt an, dass dies allein zur Wiederherstellung des normalen Krankenhausbetriebs diente. Mit anderen Worten, die Priorität war es, Leben zu retten.

Zum näheren Verständnis noch eine zeitliche Anmerkung: Die Malware wurde erstmals am 5. Februar auf einem der Krankenhauscomputer bemerkt. Nach Zahlung des Lösegeldes dauerte es weitere zehn Tage, bis das System wieder auf seinen Normalzustand gebracht werden konnte. Stellen Sie sich nur vor, was passieren könnte, wenn ein Krankenhaus von einer Minute auf die nächste nicht mehr seinem normalen Betrieb nachgehen kann – allein wegen eines „Computerproblems“. Das Presbyterian Medical Centre in Hollywood hatte laut einer Stellungnahme letztendlich Glück, da erfreulicherweise weder die Pflege der Patienten noch deren persönliche Daten beeinträchtigt waren.

Leider ist diese Geschichte kein Einzelfall. Kleinere Polizeistationen in den USA waren ebenfalls betroffen – ebenso wie Zehntausende Heimanwender weltweit jeden Tag aufs Neue. Viele Fälle gelangen gar nicht erst an die Öffentlichkeit, da Unternehmen befürchten, aufgrund des enttäuschten Vertrauens Kunden zu verlieren. Das ist zwar verständlich, kommt jedoch letztendlich nur den Ransomware-Hackern zugute, die mit ihren Taktiken auf Stillschweigen und Angst setzen.

Aber wovon genau sprechen wir hier eigentlich?

Ransomware – Ein zunehmend komplexer Gegner

In den „guten alten Tagen“ von Ransomware würde das Schadprogramm schlicht den Bildschirm des Anwenders sperren und zum Entsperren eine Zahlung von 100–200 US-Dollar fordern. Einfach, aber wirksam. Es gab jedoch häufig Softwarelösungen zum Entsperren, sodass eine Lösegeldzahlung vermieden werden konnte. Heutzutage ist Ransomware erheblich aufwendiger und schwieriger zu entschlüsseln. Wir sagen Ihnen auch warum:

Es ist wortwörtlich eine tickende Zeitbombe.

Moderne Ransomware setzt oftmals eine Frist, mit der Anwender oder die IT-Abteilungen unter Druck gesetzt werden, das Lösegeld schnellstmöglich zu bezahlen. Den Opfern bleibt dann nur sehr wenig Zeit, beispielsweise 48 Stunden, um eine Lösung zu finden. Sie stehen daher häufig vor der schwierigen Entscheidung, die Erpresser zu bezahlen oder ihre Daten zu verlieren.

Ein Angreifer ist nur schwer zu fassen, wenn er sich in der Cloud bewegt.

Moderne Ransomware kann oft nicht entschlüsselt werden, ohne das Lösegeld zu bezahlen. Das liegt daran, dass die Verschlüsselungsinformationen auf Servern irgendwo in der Cloud gespeichert sind und nicht rechtzeitig – oder gar nicht – darauf zugegriffen werden kann. Auch ein „brutales“ Entschlüsseln des Kennworts durch Ausprobieren aller möglichen Varianten ist nicht möglich. Die Verschlüsselung ist so stark, dass dieser Vorgang selbst mit dem schnellsten Computer der Welt extrem lange dauern würde.

Das perfekte Verbrechen?

Wir hören und lesen so oft über die gefürchtete weltweite Überwachung. In diesem Fall weiß aber selbst „Big Brother“ leider nicht alles. Mit Bitcoin haben die Erpresser für ihre Lösegelder eine Zahlungsart gefunden, die nicht nachverfolgt werden kann.

ransomware_payment_instructions

Wenn Sie das sehen, müssen Sie schnell handeln.

Die idealen Ransomware-Opfer: Unternehmen

Laut der Zeitschrift Security und dem FBI wird Ransomware auch 2016 weiter zunehmen. Für Hacker und Cyber-Kriminelle sind Unternehmen und Einrichtungen gegenüber Heimanwendern wesentlich lukrativer.

Warum geben Unternehmen so gute Ziele ab?

Ramsomware – eine globale Gefahr für Privatanwender und Unternehmen

Was kostet die „Befreiung“ von Ransomware?

Die Summen schwanken stark. Für Privatanwender handelt es sich eher um kleinere Beträge von 300 US-Dollar. Größere Zahlen, wie die vom Presbyterian Medical Centre gezahlten 17.000 US-Dollar, sind jedoch immer häufiger zu beobachten.

Wir haben bereits viele Artikel über Ransomware und seine ständigen Abwandlungen geschrieben. Emsisoft berichtete erstmals 2011 darüber. Neben einem weiteren Artikel 2013 veröffentlichten wir auch zahlreiche Beiträge über bestimmte Ransomware-Versionen in unserem Blog. Leider wird unsere Schlussfolgerung, dass Ransomware eine immer komplexere Bedrohung wird, von zahlreichen führenden Nachrichtenquellen weltweit unterstützt.

Doch genug von schlechten Aussichten: Wie können Sie Ransomware-Angriffen vorbeugen?

Eins vorweg: Im Kampf gegen Online-Bedrohungen müssen alle Computerprogramme immer auf ihre neueste Version aktualisiert werden – egal ob Adobe Reader oder Skype. Machen Sie es am besten gleich. Das ist unser voller Ernst.

Indem Sie nun hochwertige, aktuelle Anti-Malware-Software installieren, die ungewöhnliches Systemverhalten erkennt (wie Emsisoft Anti-Malware oder Emsisoft Internet Security), lassen sich Angriffe meistens vermeiden. Aufgrund seiner Beschaffenheit gibt es jedoch kein Programm, das zu 100 % vor Ransomware schützen kann.

Wie sorgt Emsisoft dafür, dass keine Ransomware auf Ihren Computer gelangt?

Sobald eine beliebige Ransomware auf einem aktualisierten – ja, gleich jetzt machen – System mit Emsisoft Anti-Malware oder Emsisoft Internet Security ausgeführt wird, wird sie blockiert, noch bevor sie Daten verschlüsseln kann. Die Verhaltensanalyse von Emsisoft ist so ausgelegt, dass sie jede Art von Ransomware erkennt. Zur Veranschaulichung haben wir aufgenommen, wie Emsisoft auf 20 Beispiele der bekanntesten Ransomwares reagiert.

Wie sollten Sie vorgehen, wenn Sie Opfer einer Ransomware geworden sind?

Unser Forschungsteam um Fabian Wosar entwickelt sogenannte Decrypter für neu aufgekommene Ransomware-Versionen. Setzen Sie am besten ein Lesezeichen für die Seite, auf der Sie die neuesten Ransomware-Decrypter von Emsisoft erhalten können.

Weitere Hilfe und Unterstützung erhalten Sie bei unseren respektierten Freunden und Gleichgesinnten von BleepingComputer. Hier werden auch die Ransomware-Decrypter von Emsisoft häufig vorgestellt.

Wir von Emsisoft möchten Sie und Ihr Unternehmen vor möglichen Bedrohungen schützen. Sofort und ohne weitere Fragen. Sollten Sie also Hilfe benötigen, stehen wir Ihnen jederzeit gern zur Verfügung.

 

Übersetzt von Doreen Schäfer

Senan Conrad

Weitere Artikel