Kaspersky: Ransomware im ersten Quartal größte Bedrohung

Kaspersky hat einen „IT Threat Evolution“ genannten Bericht zur Cybersecurity-Gesamtlage im ersten Quartal 2016 veröffentlicht (PDF). Seiner Darstellung nach hat sich Ransomware als Bedrohung Nummer eins von Advanced Persistent Threats (APT) geschoben, und es gibt Zeichen, dass solche Erpressersoftware fürs Gesamtjahr 2016 die größte Gefahr bleiben wird.

Die Sicherheitsforscher verzeichneten im Zeitraum Januar bis März 2900 neue Ransomware-Versionen, was einem Anstieg um etwa 14 Prozent entspricht. Die Zahl der betroffenen User stieg um 30 Prozent. Kasperskys Sicherheitsprodukte erkannten und verhinderten 372.602 Ransomware-Angriffe auf Computersysteme und 2896 Versuche, Ransomware auf Mobilgeräten zu installieren.

Als größte technische Neuerung stellen die Autoren des Berichts die Fähigkeiten des Schadprogramms Petya, das nicht nur einzelne Dateien verschlüsselt, sondern die ganze Festplatte – und dazu noch nötigenfalls ohne Internetverbindung. Die verbreitetsten Ransomware-Familien im ersten Quartal waren aber Teslacrypt (58,4 Prozent), CTB-Locker (23,5 Prozent) und Cryptowall (3,4 Prozent). Alle drei werden hauptsächlich über Spam- und Phishing-Mails mit Links auf präparierte Webseiten verbreitet.

Nach Ländern beobachtete Kaspersky Lab besonders viele Ransomware-Angriffe in Deutschland und Frankreich. Rechnet man die absoluten Zahlen aber auf die Userbasis um, sind beide nicht in den Top 10 vertreten. Vielmehr liegen dann die Niederlande, Italien und Belgien auf den Spitzenplätzen.

Als Grund für den Aufstieg von Ransomware gibt Kasperskys Chief Security Expert Aleks Gostev an, dass die Taktik einfach gut funktioniert. „Kommt die Ransomware einmal ins System eines Nutzers, gibt es fast keine Chance, sie ohne Datenverlust wieder loszuwerden. Die Forderung, mit Bitcoin zu zahlen, macht den Bezahlvorgang anonym und fast nicht nachvollziehbar, was für Betrüger sehr attraktiv ist.“ Dagegen seien technische Gegenmaßnahmen, die etwa unerwünschte Verschlüsselung verhindern, bei Endanwendern und Einzelpersonen nahezu unbekannt.

Mit Ransomware hängt auch ein weiterer von Gostev beschriebener Trend zusammen: „Ein weiterer bedrohlicher Trend ist das Geschäftsmodell Ransomware-as-a-Service (RaaS), bei dem Cyberkriminelle eine Gebühr für die Verbreitung von Malware bezahlen oder eine Beteiligung an den Lösegeldzahlungen infizierter User versprechen.“

Eine Möglichkeit, einem Ransomwarebefall ohne Zahlung zu entkommen, ist freilich das Einspielen eines Backups. Daneben gelingt es in seltenen Fällen, die kryptografischen Mittel der Ransomware auszuhebeln. So stellte Kaspersky selbst kürzlich ein Entschlüsselungstool für die Ransomware CryptXXX bereit. Opfer können damit ihre verschlüsselten Dateien wiederherstellen, ohne das geforderte Lösegeld von mehr als 400 Euro zu zahlen. Dafür wird jedoch eine noch nicht verschlüsselte Originaldatei benötigt. Einige Wochen zuvor war auch die Verschlüsselung des genannten Programms Petya geknackt worden. Und eine Malware, die sich als das Spiel „Far Cry“ tarnte, fiel gar einer Hintertür in der von ihr genutzten Verschlüsselungslösung zum Opfer.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de