5 Wege, wie Hacker Sie mit Ransomware infizieren

Ransomware-Angriffe begegnen uns täglich in den Schlagzeilen. Meist geraten große Unternehmen ins Visier der Angreifer, denn hier winkt auch das große Geld. Das heißt aber nicht, dass der Durchschnittsbürger davor sicher ist. Bekannt als „Spray-and-Pay“-Ansatz setzen Angreifer hierbei auf Masse und kontinuierliche Einnahmen aus kleineren Beträgen. Und es gibt aktuell zahlreiche Hinweise auf eine Zunahme derartiger Angriffe auf Verbraucher. Es ist also höchste Zeit, dass wir uns mit den wichtigsten Angriffswegen beschäftigen, über die Bedrohungsakteure ihre datenverschlüsselnde Malware-Plage verbreiten.

Als Ransomware bezeichnet man jede Form von Malware, die Daten verschlüsselt und damit unzugänglich macht. Der Angreifer hinterlässt eine Lösegeldforderung mit Zahlungsanweisungen, um den Schlüssel zur Wiederherstellung der Daten zu erhalten. Die zunehmende Verbreitung von digitalen Währungen wie Bitcoin hat dafür gesorgt, dass die Zahl der Angriffe in den vergangenen zehn Jahren immer weiter gestiegen ist. Heute werfen wir einen Blick auf die Top 5 der Angriffswege, über die Ransomware auf Ihre Geräte gelangt.

Warez-Seiten, Torrents, gecrackte Anwendungen

Einige der häufigsten Orte, an denen man sich mit Ransomware infizieren kann, sind Warez-Seiten und Torrents. Hier laden Nutzer in der Regel raubkopierte Inhalte oder inoffizielle Softwarepakete herunter, die keiner offiziellen Prüfung unterliegen. Diese fragwürdigen Kanäle sind der perfekte Ort, um Ransomware unbemerkt einzuschleusen. Bedrohungsakteure laden ihre infizierten Softwarepakete hoch – so zum Beispiel ein beliebtes Spiel oder einen Film –  und erwecken den Eindruck von Vertrauenswürdigkeit. Die Nutzer laden die mit Malware verseuchten Dateien in gutem Glauben herunter und installieren die Ransomware durch ihre Ausführung mit eigenen Händen.

Lassen Sie also lieber die Finger von inoffiziellen Softwarequellen, Warez-Seiten und Torrents! Raubkopierte Software ist grundsätzlich problematisch und Sie gehen darüber hinaus ein unkalkulierbares Ransomware-Risiko ein.

Phishing

Phishing ist wohl der mit Abstand der beliebteste Angriffsvektor für alle Arten von Cyberangriffen und eine gängige Methode, um Ransomware auf Computern zu platzieren. Dabei richten Angreifer entweder täuschend echte Kopien seriöser Websites ein oder verleiten ihre arglosen Opfer per Spam-Nachrichten zum Download von Malware.

Seien Sie also grundsätzlich skeptisch, wenn Sie E-Mails dazu auffordern, einen Link anzuklicken, Ihren Gewinn in Anspruch zu nehmen oder Anhänge herunterzuladen und zu öffnen. Im Zweifelsfall sollten Sie die Adresse des Absenders und den Inhalt der Nachricht überprüfen. Wird als Urheber ein Unternehmen oder eine Organisation angegeben, die Sie auch auf anderem Wege kontaktieren können, sollten Sie das auch tun. So können Sie sicherstellen, dass es sich nicht um einen Betrugsversuch handelt.

Supply Chain

Leider kann Ihnen auch der Download offizieller Software eine böse Malware-Überraschung bescheren. Hierbei spricht man von einem Supply-Chain-Angriff, also einen Angriff auf die Lieferkette. Dabei gelingt es den Angreifern, durch eine Sicherheitsverletzung beim offiziellen Softwareanbieter die Lieferkette zu infiltrieren – zum Beispiel einen beliebten Freeware-Videoplayer wie VLC – und dort die offiziellen Softwareversionen mit Ransomware zu infizieren.

Und auch wenn das sehr unwahrscheinlich klingt, kommt es doch immer wieder vor. Das bekannteste Beispiel ist ein Ransomware-Stamm, der auf die Infektion von Macs über einen beliebten BitTorrent-Client ausgelegt ist. Im Jahr 2016 gelang es Bedrohungsakteuren, The Transmission Project zu hacken und das offizielle Transmission-Binary-Build mit der Ransomware KeRanger zu infizieren. Mithilfe des gültigen Sicherheitszertifikats von Transmission gelang es ihnen, die OS X-eigene Antivirustechnologie XProtect zu umgehen. Weil die App mit einem offiziellen Sicherheitszertifikat signiert war, das von OS X als geprüft eingestuft wurde, wurde die mit Ransomware verseuchte Transmission-App von den Nutzern also selbst installiert. Ziemlich beängstigend, oder?

Dies ist eines der seltenen Beispiele dafür, dass Sie sich selbst bei Einhaltung aller Vorsichtsmaßnahmen Ransomware einhandeln können. Darum empfiehlt es sich auch, grundsätzliche eine zeitgemäße Sicherheitslösung auf Ihrem Computer laufen zu lassen, unabhängig von Ihrem Betriebssystem.

Ungesicherte IoT-Geräte

Vernetzte und intelligente Geräte sind heute kaum mehr wegzudenken. Und auch wenn die meisten davon nicht direkt von Ransomware betroffen sind, gibt es auch hier Ausnahmen. Wenn sich in Ihrem Heimnetzwerk beispielsweise ein nicht gepatchter oder falsch konfigurierter Router befindet, kann das Hackern Tür und Tor in Ihren Computer öffnen, indem sie das Internet mit speziellen Tools nach eben solchen Schwachstellen durchsuchen.

Häufiger sind jedoch unzureichend geschützte oder falsch konfigurierte Netzwerkspeichergeräte (Network Attached Storage/NAS). In jüngster Zeit geraten zum Beispiel Besitzer von QNAP NAS-Geräten vermehrt ins Visier von Angreifern, die sich entweder ungeschützte Freigaben oder Sicherheitslücken im Produkt selbst zunutze machen.

NAS-Nutzer sollten stets die Sicherheitsempfehlungen des Herstellers beachten und die Firmware immer auf dem neuesten Stand halten.

Gibt es Grund zur der Annahme, dass Angreifer eine Zero-Day-Schwachstelle ausnutzen, sollten Benutzer das Gerät hinter einer Firewall schützen und vom Internet isolieren, bis es eine Problemlösung gibt.

Tech-Support-Betrug

Ein weiterer Weg, wie Ransomware ihren Weg auf die Geräte argloser Nutzer findet, ist der so genannten Tech-Support-Betrug. Hierbei haben es Betrüger besonders auf ältere Menschen und andere gefährdete Zielgruppen abgesehen. Sie überzeugen ihre Opfer davon, dass sie technische Unterstützung benötigen und ihnen zu diesem Zweck Fernzugriff auf ihre Computer gewähren müssen. Und schon ist es passiert.

Tech-Support-Betrüger sind sogar bekannt dafür, bei ihren Ransomware-Angriffen ganz ohne eigentliche Ransomware auszukommen. Sie nutzen stattdessen Syskey, eine inzwischen nicht mehr unterstützte Komponente von Windows NT, die die Datenbank des Security Account Manager (SAM) mit einem 128-Bit-RC4-Schlüssel verschlüsselt.

Sie wurde erst Jahrzehnte später mit Windows 10 eingestellt, weil ihre Verschlüsselung nicht mehr sicher war und sie zudem immer wieder für Ransomware-Angriffe missbraucht wurde.

Aber lassen Sie sich nicht täuschen: Support-Betrüger nutzen stattdessen echte Ransomware, und sie lassen sich keine Gelegenheit entgehen, Ihre Daten zu verschlüsseln und Lösegeld für die Wiederherstellung zu fordern.

Denken Sie also immer daran, eine vertrauenswürdige Sicherheitslösung auf Ihrem Computer zu verwenden, um jeglicher Malware – nicht nur Ransomware – keine Chance zu lassen.

Bleiben Sie sicher!