Eine kurze Geschichte der Verschlüsselungstrojaner

Letzte Woche habe ich mit einem IT-Leiter gesprochen, dessen Aussage war: „Wenn wir angegriffen werden, setzen wir einfach mit den Backups alles neu auf. Das Risiko nehmen wir bewusst in Kauf und etablieren daher keine weiteren Sicherheitsmaßnahmen.“ Schön und gut, aber ist das wirklich eine gute Idee? Und was bedeutet es eigentlich, wenn ein Unternehmen heutzutage angegriffen wird, und was passiert anschließend?

Willkommen in der Welt von Ransomware

Laut Wikipedia: Ransomware (von englisch ransom für „Lösegeld“) sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung und auf das ganze Computersystem verhindern kann. Dabei werden Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

BKA-Trojaner, 2012

Die Geschichte von Verschlüsselungssoftware beginnt bereits 1989. Damals wurden per Post Disketten an verschiedene Forschungseinrichtungen geschickt. Richtig los ging es aber erst ab 2012, damals noch mit dem BKA-Trojaner, der Strafverfolgungsbehörden imitierte und zur Entsperrung ein Bußgeld forderte, das oftmals mittels Paysafecard bezahlt werden sollte. Meistens konnten die betroffenen Systeme jedoch leicht bereinigt werden.

Locky, 2016

Professioneller wurde die Erscheinung mit der Einführung von Kryptowährungen, welche anonymisierte Zahlungen wesentlich vereinfachten. Die erste größere Ransomware-Welle war Locky im Jahr 2016. Locky verbreitete sich durch Office-Dokumente mit Makro-Code, die als Rechnungen getarnt waren und per E-Mail verschickt wurden. Wurde der Makro-Code ausgeführt, wurden alle Dateien auf dem betroffenen System verschlüsselt und hatten die Endung .locky, die dem Trojaner auch seinen Namen gab. Damals wurde noch ein recht geringes Lösegeld von 0,5 Bitcoin (2016 ~200 €, heute Feb. 2026 ~24.000 €) für die Entschlüsselung erpresst. Die Presse in Deutschland berichtete von etwa 17.000 befallenen Rechnern.

WannaCry, 2017

Um den Verschlüsselungstrojaner WannaCry zu verstehen, müssen wir uns den Exploit EternalBlue anschauen. EternalBlue ist ein Exploit (ein Programm zur Ausnutzung einer Sicherheitslücke), welches einen Fehler in der SMB-Implementierung ausnutzt und die vollständige Übernahme des betroffenen Systems ermöglicht. Mittels SMB werden Zugriffe auf Dateien und Verzeichnisse in Windows-Netzwerken ermöglicht.

Die NSA benutzte die Schwachstelle über mehr als fünf Jahre für ihre eigenen Hacking-Aktivitäten. Der sogenannten Gruppe „The Shadow Brokers“ gelang es, der NSA diesen Exploit zu entwenden, und sie veröffentlichte ihn anschließend.

Auf Grundlage von EternalBlue wurde anschließend, vermutlich von der Lazarus-Gruppe aus Nordkorea, der Computerwurm WannaCry entwickelt. WannaCry ist ein Netzwerkwurm, initial per E-Mail verbreitet, der Windows-Betriebssysteme befällt und nach Befall die Dateien auf dem System verschlüsselt und eine Lösegeldzahlung verlangte. Betroffen waren vor allem Windows-XP- und -7-Systeme, die damals nicht über die aktuellste Updateversion von Microsoft verfügten.

Der Angriff mit WannaCry begann am 12. Mai 2017, und es waren über 230.000 Computer in 150 Ländern betroffen. Teile des britischen Gesundheitswesens mit mehreren Krankenhäusern waren arbeitsunfähig, Unternehmen wie FedEx, Renault und verschiedene Autohersteller meldeten Störungen, und große Teile des russischen Innenministeriums waren betroffen, um nur einige Beispiele zu nennen. Bereits am selben Tag wie der Angriff fanden Sicherheitsforscher einen Notausschalter für den Wurm. Das Schadprogramm versuchte, auf eine nicht registrierte Domain zuzugreifen. Nachdem diese registriert wurde und öffentlich erreichbar war, stoppte der Wurm seine Weiterverbreitung. Insgesamt verursachte der Angriff einen gesamtwirtschaftlichen Schaden von ~4 Milliarden $.

Ransomware als organisierte Kriminalität

Etwa zur gleichen Zeit wie mit der Erscheinung von WannaCry begann das sogenannte Big Game Hunting. Gruppen wie REvil, Conti oder LockBit begannen, gezielt Unternehmensstrukturen aufzubauen, mit verschiedenen Verantwortungsbereichen und skalierbarem Umsatz und Gewinn. Die russischsprachige Gruppe Conti etwa bot ihre eigene Ransomware inkl. Infrastruktur als Ransomware-as-a-Service an. Käufer mussten dann einen Teil des Lösegelds an Conti direkt abgeben. Neben diesem Service griff Conti auch selbst Unternehmen an, verschlüsselte diese, erpresste Lösegeld und veröffentlichte geklaute Unternehmensdaten auf ihrem Darknet-Blog.

Conti zählt bis heute als erfolgreichste Hackergruppe, die es je gegeben hat. So legte die Gruppe 2021 das gesamte staatliche Gesundheitssystem Irlands lahm, mit einem wirtschaftlichen Schaden von 100 Millionen Euro, und ein Jahr später (2022) musste der Präsident von Costa Rica den nationalen Notstand ausrufen, nachdem Conti das Finanzministerium dort angegriffen hatte. 2021 erwirtschaftete die Gruppe, mit ca. 40 bis 60 Mitgliedern, einen Umsatz von 180 Millionen $. Im August 2022 setzte die US-Regierung zehn Millionen Dollar Kopfgeld auf fünf Führungspersönlichkeiten der Gruppe aus. Dabei wurden nur die Nicknamen veröffentlicht, was wohl bedeutet, dass selbst die US-Regierung nicht wusste, wer hinter Conti steckte.

Nachdem mit dem Ukrainekrieg 2022 etliche Interna von Conti geleakt wurden, löste sich die Gruppe auf, und die Mitglieder wanderten zu Gruppen wie BlackBasta oder LockBit ab.

Wie läuft ein Ransomware-Angriff heutzutage ab?

Nicht jede Ransomware-Gruppe ist gleich, aber die meisten gehen nach der traditionellen Cyber-Kill-Chain vor:

1. Initial Access

Das erste Ziel beim Angriff auf ein Unternehmen oder eine Behörde ist der Einbruch in das interne Unternehmensnetzwerk. Dafür gibt es drei bewährte Methoden:

1. Initial Access Broker (IABs): Das sind Verkäufer, die im Darknet Zugänge in interne Netzwerke anbieten. Das können Mitarbeiter des Unternehmens selbst sein oder professionelle Verkäufer, die mit verschiedenen Zugängen handeln.

2. Spear-Phishing / Social Engineering: maßgeschneiderte E-Mails mit schädlichen Anhängen an ausgewählte Zielpersonen. Die Gruppe Lazarus kontaktierte etwa ihre Zielpersonen mit Fake-Rekrutier-Profilen auf LinkedIn und schickte diesen Dokumente mit Schadcode.

3. Technische Schwachstellen: schlecht gesicherte Remote-Zugänge (VPN / RDP) oder andere Fehlkonfigurationen in der exponierten IT-Infrastruktur gewähren den Zugang ins interne Netzwerk.

2. Reconnaissance & Discovery

Sobald die Hacker im Netzwerk sind, muss dieses ausgekundschaftet werden, ohne dass das Opfer davon Wind bekommt. Tools wie Cobalt Strike oder AdFind kommen zum Einsatz. Das Ziel: die Architektur verstehen. Wo liegen die Backups? Wo sind die Kronjuwelen (Kundendaten, geistiges Eigentum)?

3. Privilege Escalation & Lateral Movement

In dieser Phase breiten sich die Angreifer im Netzwerk aus. Credentials werden aus den Arbeitsspeichern ausgelesen und Fehlkonfigurationen im Active Directory ausgenutzt, um die Rechte zu erweitern, andere Systeme zu übernehmen und Netzwerk-Segmentierungen zu überwinden. Ziel ist fast immer, den Domain-Controller zu übernehmen, quasi das Herz einer Windows-Umgebung.

4. Data Exfiltration

Haben die Angreifer genügend Rechte, werden erst möglichst viele Unternehmensdaten exfiltriert. Hierfür nutzen diese oft legitime Cloud-Tools wie Rclone oder Mega.nz, um unter dem Radar von Sicherheitssystemen zu bleiben. Dies ist der „Double Extortion“-Hebel: Selbst wenn die Firma ein Backup hat, drohen die Angreifer mit der Veröffentlichung der Daten.

5. Encryption

Wenn die Daten gestohlen und die Backups (wenn möglich) korrumpiert oder gelöscht waren, wird die Ransomware scharfgeschaltet. Hochqualitative Ransomware-Malware kann Multi-Threading nutzen, um Server innerhalb von Minuten unbrauchbar zu machen. Damit ist das Opfer handlungsunfähig, und man findet sich im Darknet wieder, mit einem Timer, der nach unten zählt, bis alle Daten veröffentlicht werden:

6. Lösegeldverhandlung

Das Opfer findet nach der Verschlüsselung einen Link zu einem anonymen Chat und kann hier mit den Angreifern verhandeln. Oft haben die Angreifer eigene Teams, die über die finanzielle Situation des Opfers Bescheid wissen, und passen ihre Lösegeldforderungen entsprechend an. Am Beispiel der Akira-Gruppe: Sie starteten eine Verhandlung so:

Dem Opfer wird eine Liste mit allen verschlüsselten Dateien zugeschickt:

Und eine initiale Lösegeldforderung eingeleitet:

Das Opfer darf sich 3 bis 4 Dateien aus der List.7z aussuchen, als Beweis, dass Akira wirklich im Besitz der Daten ist:

Anschließend wird noch ein wenig hin und her verhandelt:

Option A: Es wird eine finale Lösegeldforderung akzeptiert und bezahlt:

Option B: Es kommt zu keiner Einigung, und die Angreifer veröffentlichen alle Unternehmensdaten auf ihrer Webseite:

Hier findet ihr weitere Verhandlungschats.

Darknet-Blogs

Schauen wir uns zum Abschluss an, was es bedeutet, wenn Unternehmensdaten veröffentlicht werden. Eine Liste von aktiven Ransomware-Gruppen findet ihr hier. Unter „Known Locations“ findet ihr auch die entsprechenden Links zu deren Darknet-Blogs. Wenn man mit den Angreifern keine Einigung finden konnte, findet man sich dann am Beispiel Safepay in einem Disclosure-Blog wieder:

Und alle Welt hat Zugriff auf die geklauten Unternehmensdaten, von Rechnungen über Kommunikationsverläufe bis hin zu Ausweisen.

Wie geleakte interne Unternehmensdaten weiter genutzt werden, könnt ihr euch selbst ausmalen. Die Sache ist nur: Andere Akteure werden damit in realen Farben malen.

Gesellschaftliche Auswirkungen

Die Schäden durch Cyberkriminalität erreichen in Deutschland aktuell jedes Jahr neue Rekordwerte. Hierein fällt nicht nur Ransomware, sondern beispielsweise auch Wirtschaftsspionage und Sabotage.