Die Geschichte eines Superschurken: 30 Jahre Ransomware

Im Gegensatz zu typischen Superschurken gab es im Leben von Ransomware nie dieses einschneidende Ereignis, das ihn auf den Weg der Kriminalität brachte. Ganz im Gegenteil: Ransomware war ab dem Moment seiner Geburt böse …

Die frühen Jahre

Der ehemalige Harvard-Student und Evolutionsbiologe Dr. Joseph Popp war ein Exzentriker. So studierte er beispielsweise 15 Jahre lang Paviane in Ostafrika, richtete im US-Bundesstaat New York ein Schmetterlingskonservatorium ein und veröffentlichte in Eigenregie das kontroverse Buch „Popular Evolution“, dass die Behauptung aufstellt, der einzige Zweck der Menschheit sei es, „den Fortpflanzungserfolg zu maximieren“. Doch neben diesen Errungenschaften ist Dr. Popp vor allem als Vater der Ransomware bekannt.

Ransomware erblickte im Dezember 1989 das Licht der Welt. Um auch andere an seinem Glück teilhaben zu lassen, entsendete Dr. Popp seinen Sohn auf Weltreise, indem er 20 000 infizierte Disketten an Delegierte schickte, die an der internationalen AIDS-Konferenz der WHO in Stockholm teilgenommen hatten. Die Disketten enthielten schädlichen Code, der Dateiverzeichnisse versteckte, Dateinamen sperrte und die Opfer aufforderte, zwischen 189 USD und 378 USD an ein Postfach in Panama zu schicken, um den Zugriff auf die Daten wiederherzustellen.

Weniger als zwei Wochen nach dem Angriff erregte Dr. Popp bei einem Zwischenfall auf dem Flughafen Schiphol in Amsterdam die Aufmerksamkeit der Behörden. Kurz darauf wurde der Vater der Ransomware im Haus seiner Eltern in Ohio verhaftet und nach Großbritannien ausgeliefert, wo er in zehn Fällen der Erpressung und Sachbeschädigung angeklagt wurde.

Während seiner Zeit bis zur Verhandlung zeigte Dr. Popp ein zunehmend merkwürdiges Verhalten. So zog er sich beispielsweise Kondome über die Nase und drehte sich Lockentwickler in den Bart, um sich vor Strahlung zu schützen. Im November 1991 befand Richter Geoffrey Rivlin, dass Popps Verfassung zu labil für das Verfahren sei und stellte es ein.

Nach diesem aufregenden Lebensstart verlief die Kindheit von Ransomware relativ friedlich. Da ihm symmetrische Kryptographie angeboren war, die einfach zu entschlüsseln ist, stellte er keine große Gefahr dar und konnte sich so aus Ärger heraushalten.

Doch am Horizont zog bereits ein Sturm auf. 1996 warnten die Kryptographen Adam L. Young und Moti M. Yung die Welt davor, das Ransomware eines Tages erwachsen werden und asymmetrische Kryptographie erlernen könnte. Auf diese Weise könnte er seine natürlichen Fähigkeiten zur Dateiverschlüsselung in Superkräfte transformieren, die die Welt verändern würden. Damit waren die Würfel des Schicksals für Ransomware gefallen und es war nur eine Frage der Zeit, bis es sich erfüllen würde.

Ein zerstörerischer Teenager

Fast 20 Jahre später erschien Ransomware wieder auf der Bildfläche – und das mächtiger als befürchtet.

2006 nahm Ransomware den Namen Archiveus an und führte ausgefeilte Angriffe auf Computer in der ganzen Welt aus. Archiveus verschlüsselte alle Dateien im Ordner „Eigene Dokumente“ und wies die Opfer an, über eine bestimmte Website einzukaufen, um ein Kennwort zum Entschlüsseln zu erhalten.

Durch seinen Erfolg bestärkt führte Ransomware eine Reihe weiterer Angriffe unter verschiedenen Pseudonymen aus, wie GPcode, Krotten, Cryzip und viele andere. Wie Young und Yung vorausgesagt hatten, hatte sich Ransomware die Kräfte der RSA-Verschlüsselung angeeignet, einer Kryptographie mit öffentlichem Schlüssel, die zu diesem Zeitpunkt extrem schwierig zu knacken war.

Die Ankunft von Bitcoin im Jahr 2008 goss weiteres Öl ins Feuer. Mit der dezentralisierten Kryptowährung bot sich ein völlig neues System zum Geldtransfer und für Ransomware damit eine neue Möglichkeit, um seine Opfer unter Druck zu setzen. Dank der weitverbreiteten Akzeptanz und Pseudonymität von Bitcoin konnte Ransomware nun größere Angriffe ausführen und sein unehrlich verdientes Geld schneller waschen. Das wurde schließlich noch einfacher, als weitere Kryptowährungen in der Szene auftauchten. Doch Ransomware sollte schon bald auf einen würdigen Gegner treffen.

Ebenbürtige Gegner für Ransomware

2012 stieß der mit Pantoffeln bewehrte Superheld Fabian Wosar auf Ransomware, als er Opfern des ACCDFISA-Virus beim Entschlüsseln ihrer Dateien half. Der überaus verschlossene Mensch mit einem Faible für Polarbären bekam schnell von Ransomware besessen und begann mit seiner unermüdlichen Arbeit, Entschlüsselungstools zu entwickeln, mit denen Opfer von Ransomware ihre Dateien kostenlos wiederbekommen können. Er hatte nicht die geringste Ahnung, dass er einst zur größten Hoffnung im Kampf gegen Ransomware werden würde.

Fabian Wosar Emsisoft

Ein paar Jahre später betrat ein weiterer unerwarteter Verbündeter das Schlachtfeld. Michael Gillespie, der zurückhaltende Techniker eines Computer-Reparaturgeschäfts, kam mit Ransomware in Berührung, als er einem Kunden half, der Opfer von TeslaCrypt geworden war. Wie Wosar entwickelte Gillespie schnell eine Faszination für Ransomware und begann, alles über den Schurken in Erfahrung zu bringen, was er nur konnte. Als Servicetechniker am Tage und Verbrecher bekämpfender Superheld bei Nacht wurde er bald zum renommiertesten Entwickler von Ransomware-Decryptern, der für seine Bemühungen sogar vom FBI Anerkennung erhielt.

Ein globaler Superschurke

Trotz der unerschöpflichen Bemühungen seitens Wosar, Gillespie, dem No More Ransom-Projekt und allen anderen Verfechtern des Guten, konnte sich Ransomware zu einem weltweit führenden Superschurken entwickeln, der rund um den Globus sein Unwesen treibt. Egal ob Schulen, Universitäten, Krankenhäuser, Polizeireviere, Behörden oder ganz normale Bürger – niemand ist vor ihm sicher.

2016 erbeutete Ransomware unter der Maske von SamSam 6 Millionen USD von arglosen Opfern auf der ganzen Welt. Ein Jahr später verlagerte er sein Hauptaugenmerk von der Geschäftemacherei auf mutwillige Zerstörungswut, als er sich explosionsartig als NotPetya verbreitete. In dieser Form konnte er die eigene Verschlüsselung nicht mehr rückgängig machen und zerstörte stattdessen die Daten auf dem infizierten Rechner. Angaben des Weißen Hauses zufolge verursachte er damit insgesamt Schäden in Höhe von mehr als 10 Milliarden USD.

Im Jahr 2017 infizierte er als WannaCry mehr als 230 000 Computer in 150 Ländern weltweit. Der Angriff konnte schließlich von einem weiteren Superhelden in Schlappen aufgehalten werden, dem britischen Forscher Marcus Hutchins.

Obwohl der Reichtum von Ransomware 2019 schon die wildesten Träume überstieg, kannte seine Gier keine Grenzen. Auf der Jagd nach noch höherer Beute wurde er immer dreister und zielte auf immer größere Opfer ab. Unternehmen, MSP und Behörden in den gesamten USA vielen dem Schurken unter Namen wie Ryuk, RobbinHood, STOP oder Sodinokibi zum Opfer.

Der 30. Geburtstag von Ransomware

Im Dezember 2019 feiert Ransomware seinen 30. Geburtstag, wobei es allerdings nicht viele Gratulanten geben wird. Während Ransomware dann die Kerzen auf seinem Kuchen allein in seinem Versteck ausbläst, wird sich die Welt fragen, was der Superschurke als nächstes plant.

Experten schätzen, dass Ransomware sein Funktionsarsenal weiter ausbauen und mit Tools wie Keyloggern, Hintertüren, Droppern und dergleichen erweitern wird. Gleichzeitig muss davon ausgegangen werden, dass Ransomware bei seinen Opfern wählerischer vorgehen und kleine Fische zugunsten saftigerer Beute zurücklassen wird. Und während die Vernetzung des täglichen Lebens durch das Internet der Dinge immer weiter voranschreitet, wird es für Unternehmen ein hartes Stück Arbeit, ihre Systeme vor dem wandlungsfähigen Schurken Ransomware zu schützen.

Übersetzung: Doreen Schäfer