Ransomware war in den vergangenen fünf Jahren die dominierende Malware-Klasse im Bereich IT-Security. Sie beschreibt das Konzept, Daten durch Schadsoftware zu verschlüsseln und erst nach Zahlung eines Lösegelds (unter Umständen) wiederherzustellen. Die teuersten und statistisch häufigsten Angriffe der letzten Zeit gingen auf das Konto dieser Form von Malware. Seit dem vergangenen Jahr 2018 wird die Verbreitung von Ransomware jedoch von Crypto- bzw. Coin-Minern getoppt.

2013: erstmalige Kombination von Datenverschlüsselung und Lösegeldforderung

Die weitflächige Verbreitung von Ransomware begann 2013 mit dem CryptoLocker, der erstmals die anonyme Bezahlung über Bitcoin nutzte. Diese damals neuartige Herangehensweise legte die Grundlage für alle nachfolgenden Varianten.

Teslacrycpt, SimpleLocker und SamSam sind Weiterentwicklungen, die neben Desktop-Systemen auch auf mobilen Geräten aufgetreten sind. 2017 infizierte WannaCry weltweit flächendeckend Unternehmen. Erstmals wurde Ransomware „wormable“: Sie verbreitete sich über eine Schwachstelle im Microsoft SMB-Protokoll selbstständig über das Netzwerk weiter. Kurz darauf schlug NotPetya zu und verursachte betroffenen Unternehmen bis zu mehreren hundert Millionen Dollar Schaden.

Die letzte große Ransomware-Welle ging ab 2018 auf das Konto der Variante Ryuk, einer Weiterentwicklung von Emotet und Trickbot, die sich auf „High-Value Targets“ wie Versorger, Krankenhäuser, Finanzinstitute oder auch Zeitungsverlage spezialisierte. Das Geschäftsmodell „Ransomware“ scheint auf einem Höhepunkt. Doch die massiven Auswirkungen auf Unternehmen –die durchschnittliche Gesamtschadensumme kleinerer Unternehmen wird auf rund 700.000 US $ geschätzt – steigert die Investition in Gegenmaßnahmen.

Crypto-Mining: Schürfen von Kryptowährung auf fremde Kosten

Beim Crypto- oder Coin-Mining wird versucht, die Interaktion mit dem Opfer vollständig wegzulassen und die Motivation für Schutzmaßnahmen zu minimieren. Nicht mehr Daten, sondern die Rechenleistung der Opfer-Systeme werden „entwendet“, um durch Berechnungen Kryptowährungen zu erzeugen. Damit stellt Crypto-Mining ein recht einfaches und risikoloses Geschäftsmodell dar: Der Schaden ist für die Opfer subjektiv nur minimal wahrnehmbar – Leistungsabfall, erhöhter Stromverbrauch, Heißlaufen der Geräte… – oder wird gar nicht erst bemerkt. Die Angreifer können über die Masse der Systeme breit diversifizieren. Die Anwendungen scheinen nahezu unbegrenzt – von kleinen Plugins in einer Website über dezidierte Hintergrundprogramme für PCs bis hin zu infizierten IoT-Geräten und Apps am Smartphone ist alles dabei.

Erstmals 2017 statistisch relevant aufgetreten, schoss die Variantenanzahl dieser Schädlinge bei den Kursspitzen der Blockchain-Währungen im ersten Quartal 2018 auf über 1 Million. Auch in Österreich haben sich die Funde von 2017 auf 2018 fast verzehnfacht, CoinHive führt weiterhin die IKARUS-Hitliste an. Die Daten der IKARUS scan.engine für das vergangene erste Halbjahr 2019 lassen absehen, dass der Trend weiter steigt.

Trends & Prognosen sehen eine starke Verbreitung voraus

Im ersten Quartal 2019 hat sich die Anzahl an Crypto-Minern sogar mehr als vervierfacht. Der Fokus liegt auf Windows-Systemen und der Ausnutzung von Browser-Mining, das aktuell den einfachsten Erfolg verspricht. Mit zunehmender Verbreitung werden aber Änderungen in den Statistiken für Zielsysteme erwartet. Zusätzlich hat sich der schwankende Kursverlauf der Crypto-Währungen als bedeutender Einflussfaktor gezeigt: Ist der Kurs hoch, taucht mehr Schadsoftware auf.

Bislang konnte noch keine Malware für Apples iOS gefunden werden. Auf der anderen Seite hat z.B. Firefox inzwischen Vorkehrungen gegen Mining-Plugins in die neueste Version der Browser-Software integriert. Auch Opera hat in der aktuellen Versionen einen Schutz eingebaut und eine Testseite https://cryptojackingtest.com/ angelegt. Schutzmaßnahmen werden wichtiger.

Geräte schützen, Infektionen erkennen und Schadsoftware beseitigen

„Wir finden CryptoMiner einerseits direkt am Endpunkt, falls sich bösartige Scripts auf den lokalen Rechner downloaden“, erklärt Benjamin Paar von IKARUS: „Firmen können außerdem ihre Web Gateways absichern, sodass diese Scripts gar nicht erst zum Computer gelangen.“

Zusätzlich empfiehlt der Security-Experte allen User*innen, ein seriöses Adblocker-Plugin wie Ublock Origin zu installieren, ev. NoScript zum Blockieren aktiver Website-Inhalte zu nutzen und einen guten Browser wie Vivaldi, Firefox oder Opera zu verwenden. „Internet Explorer, Edge und Chrome werden am häufigsten angegriffen“, weiß Benjamin Paar: „Grundsätzlich gilt: Vorsicht bei Downloads und bei Webseiten, die Benachrichtigungen anzeigen oder sogar AddOns installieren wollen!“ Im Zweifelsfall den Download oder Besuch abbrechen und den Rechner auf Malware scannen. „Fortgeschrittene“ Nutzer können auch unsere APIs für flexible Scans sowie Up- und Download-Überwachung nutzen.

Quellen:
AV-TEST Sicherheitsreport 2018/2019
https://phoenixnap.com/blog/ransomware-statistics-facts
https://www.csoonline.com/article/3212260/the-5-biggest-ransomware-attacks-of-the-last-5-years.html