Das noch relativ junge Phänomen der Ransomware (von englisch «ransom», Lösegeld) hat bisher bei den meisten Firmen und Privatanwendern ein eher unbeachtetes Dasein gefristet. Das hat vor allem zwei Gründe: Erstens wurden bisher nur einige wenige Ransom-Trojaner beobachtet. Und zweitens konnten diese nur geringe Schäden verursachen, weil die Hersteller von Antivirensoftware in allen bekannten Fällen schnell zu reagieren vermochten. Beides dürfte sich allerdings in Zukunft ändern, wie zahlreiche Experten vermuten.
Bei Ransomware handelt es sich um Malware, die auf der Festplatte des befallenen Systems beliebig Daten verschlüsselt. Für die Entschlüsselung verlangt der Autor der Malware ein Lösegeld – im Gegenzug zu dessen Bezahlung verspricht der Autor die Zusendung des zur Dechiffrierung nötigen Schlüssels.
Ransomware schwimmt damit den aktuellen Trends im Security-Bereich entgegen, wonach die meiste Malware eher unauffällig agiert und ganz gezielt für Spionage oder Datendiebstahl eingesetzt wird. Nichtsdestotrotz handelt es sich bei Ransomware um effektiven und potentiell höchst gefährlichen Schadcode.
Laut Informationen von Kaspersky Lab wurde Ransomware erstmals Ende 2004 mit dem berühmt-berüchtigten GpCode beobachtet. Seither haben sich die Zahl und die Verbreitung dieser Schädlinge ebenso wie die Qualität der Programmierung und des Chiffrier-Algorithmus kontinuierlich gesteigert, bis im Jahr 2006 der vorläufige Höhepunkt erreicht wurde. Zu Beginn der Geschichte haben sich die Autoren dabei auf primitive Verschlüsselungsalgorithmen (GpCode) gestützt oder einfach die Systemregistrierung beschädigt (Krotten).
In diesem Jahr nun wurden die Methoden verfeinert: So ist beispielsweise im Januar erstmals eine GpCode-Variante mit einer RSA-Verschlüsselung und einer (schwachen) Schlüsselstärke von 56 Bit aufgetaucht. Im März kam Cryzip (auch Zippo-A), der Office-Dokumente und Datenbanken in ein Zip-Archiv verschob und dieses mit einem Passwort schützte, das aus über 30 Symbolen bestand. Das Lösegeld betrug in diesem Fall 300 Dollar. Im April wurde Ransom-A entdeckt: Dieser Trojaner drohte damit, alle 30 Minuten eine Datei in einen unsichtbaren Ordner zu verschieben.
Für Details, wie man wieder an seine Daten gelangt, verlangte der Autor knapp elf Dollar, die per Western Union zu überweisen waren. Im Mai folgte MayArchive (auch MayAlert oder Arhiveus-A), der mit einer ähnlichen Routine wie GpCode arbeitete und für das Passwort zur Entschlüsselung der Daten den Kauf von typischen Spam-Medikamenten auf drei Webseiten verlangte. Im Juni schliesslich kulminierte die Entwicklung mit dem Erscheinen von neuen Versionen von GpCode, die mit dem RSA-Algorithmus und Schlüsseln von zunächst 260 Bit, danach sogar mit solchen von 330 und 660 Bit Länge arbeiteten. Ende August meldete Panda Software einen Anstieg von Ransomware im ersten Halbjahr 2006 um rund 30 Prozent.
Allerdings (und zum Glück für die betroffenen Anwender) hatten die Autoren in all diesen Fällen recht schlampig gearbeitet. Die Hersteller von Antivirensoftware vermochten die meisten der schwachen Chiffrierungen in kürzester Zeit zu knacken und ihren Kunden Updates anzubieten, die nicht nur eine Einnistung des Schädlings verhinderten, sondern auch dessen Auswirkungen rückgängig machen konnten.
Grössere Probleme gab es bei den jüngsten Schlüsseln von GpCode, die mit 330 und 660 Bit arbeiteten. 660 Bit bedeuten in etwa die Grenze der modernen Kryptographie, wie Kaspersky Lab verlauten liess – auf einem PC mit 2,2 GHz würden für die Knackung des Schlüssels über 30 Jahre benötigt, und auch viele Supercomputer kämen bei dieser Aufgabe an die Grenzen ihrer Leistungsfähigkeit. Tatsächlich hatten die Experten von Kaspersky Lab bei diesen beiden PgCode-Varianten nach eigener Aussage «sagenhaftes Glück» – es gelang ihnen in beiden Fällen innert 24 Stunden, den Code zu knacken.
Ob sich ein solches Glück jemals wiederholen wird, steht auf einem anderen Blatt. Nicht nur Kaspersky Lab, sondern auch zahlreiche andere Experten rechnen damit, dass die Autoren aufrüsten. Darauf deutet beispielsweise hin, dass die Ransomware-Szene derzeit relativ ruhig ist: Letzte PgCode-Versionen gab es im Sommer. Möglicherweise basteln die Malware-Programmierer an verbesserten Verschlüs-
selungsmethoden oder versuchen ihre Schädlinge durch sorgfältigere Programmierung abzuhärten. Vielleicht suchen sie aber auch ganz lapidar zunächst nach (für sie) sicheren Wegen, um das betrügerisch erworbene Geld zu waschen und in den eigenen Zugriff zu bekommen.
Wie auch immer, die Experten gehen davon aus, dass die nächste Welle von Ransomware nicht mehr allzulange auf sich warten lässt. Und sie rechnen damit, dass die auf diese Weise verschlüsselten Daten künftig nicht mehr ohne Mithilfe des Angreifers rekonstruierbar sein werden. Sollte dieser einen Weg zur sicheren Transaktion der Beute finden – und danach suchen derzeit auch die Phisher –, so dürfte er auf goldene Zeiten zugehen.
Umso wichtiger wird es für Firmen und Endanwender, ihre Daten auch gegen diese Bedrohungsform zu schützen. Dabei wird natürlich zunächst auf das abgestellt, was heute sowieso in jedem Netzwerk und jedem Rechner zur Pflichtausstattung gehört: ein ständig aktualisierter Virenscanner sowie eine Firewall.
Gleichzeitig erwächst den Herstellern von Security-Tools hier eine neue Aufgabe, müssen sie mit ihren Produkten doch künftig dafür sorgen, dass diese proaktiv auch gegen die Verschlüsselung von Daten reagieren und diese, falls sie nicht vom Anwender gestartet wurde, wirkungsvoll verhindern.
Unabdingbar bei dieser speziellen Angriffsform ist auch das Vorhandensein eines aktuellen und sicheren Backups. Wer über ein solches verfügt, kann einigermassen gelassen zusehen, wie die Ransomware seine Daten verschlüsselt – vorausgesetzt, er kann die Malware mit geeigneten Tools entfernen, bevor er das Backup zurückspielt. Ebensowichtig ist aber auch, dass das Backup sicher und zuverlässig ist. Es nützt nämlich herzlich wenig, wenn zwar ein Backup zur Verfügung steht, dieses aber hauptsächlich vom Schadcode bereits verschlüsselte Daten beinhaltet.
· Schutz: Jeder mit dem Internet verbundene Rechner sollte über einen ständig aktuellen Virenschutz verfügen und durch eine Firewall geschützt sein.
· Vorsicht: Die üblicherweise genannten Vorsichtsmassnahmen gegen Cyberkriminalität jeglicher Couleur greift auch hier: Dateien aus unbekannten oder dubiosen Quellen dürfen keinesfalls ungeprüft geöffnet werden. Dasselbe gilt für Dateien aus Peer-to-Peer-Netzen und anderen Ressourcen im Internet.
· Backup: Höchste Sicherheit bietet nur ein aktuelles Backup der wichtigsten Dateien, Datenbanken und Mail-Datenbanken. Das Backup muss dabei so erstellt, gelagert und zurückgespielt werden, dass der Angreifer oder das Schadprogramm unter keinen Umständen darauf zugreifen und es verändern können.
