Erpressungs-Trojaner auf dem Vormarsch

Locky, Bart, Satana und Co. verschlüsseln Systeme

Von in IT-Sicherheit
11
Jul
'16

Der Erpressungs-Trojaner Locky machte in den vergangenen Monaten Schlagzeilen: Die IT-Systeme einiger deutscher Krankenhäuser waren mit der Ransomware infiziert worden. Dadurch wurden viele wichtige Abläufe in den Kliniken gestört oder lahmgelegt.

In diesem Artikel erfahren Sie, was Sie tun können, um Ihr Unternehmen zu schützen.

Auf einem Bildschirm ist das Wort Security zu sehen. Es geht um Sicherheitsmaßnahmen bei Erpressungs-Trojanern. Bild: Pixabay/Werner Moser

Die richtigen Sicherheitsmaßnahmen können eine Infektion mit einem Erpressungs-Trojaner verhindern. Bild: Pixabay/Werner Moser

Ransomware zeigt rapide Weiterentwicklung

Ein Worst-Case-Szenario für jedes Unternehmen: Ganz plötzlich sind alle wichtigen Daten verschlüsselt – und zwar nicht nur auf einem Rechner sondern im gesamten Netzwerk. Niemand kann mehr darauf zugreifen und eine Möglichkeit der Entschlüsselung gibt es nicht. Auf dem Bildschirm erscheint eine Lösegeldforderung in einer Cryptowährung wie Bitcoin. Ob bei Zahlung auch wirklich eine Freigabe der Daten erfolgt, ist unsicher.

Ausgelöst wird ein solches Szenario, die „Geiselnahme Ihrer Daten“, durch Ransomware. Die Schadsoftware, oft auch als Krypto- oder Erpressertrojaner bezeichnet, gelangt unbemerkt auf Ihre IT-Systeme und verschlüsselt Ihre Daten. Die Idee von Ransomware ist zwar bereits 1998 aufgekommen, die rapide Weiterentwicklung von Erpressertrojanern nahm allerdings erst etwa zwanzig Jahre später Fahrt auf.

Was ist Ransomware? – Die Antwort bekommen Sie in unserem IT-Lexikon.

Die Erpresser-Trojaner Locky und Co.

Kurz nach der Entwicklung von „Locky“ infizierten sich an nur einem einzigen Tag mehr als 17.000 Rechner mit dem Krypto-Trojaner. Nach Bekanntwerden von Locky und ähnlich agierenden Trojanern im Februar 2016 startete die Suche nach einer Möglichkeit, die verschlüsselten Dateien wieder zu entschlüsseln.

In den folgenden Monaten zeigten sich erste Erfolge im Kampf gegen die Schadsoftware: Die Entschlüsselung der vom Trojaner „TeslaCrypt“ befallenen Dateien wurde ermöglicht. Auch fand man die Schlüssel anderer Ransomware wie von „MicroCopy“.

Doch die Gefahr war noch nicht gebannt. Es folgten weitere Rückschläge. Allein im Juni 2016 identifizierte man sechs neue Varianten der Schadsoftware. Mit „Bart“, „Satana“, „WildFire Locker“ und Co. sind Erpressungs-Trojaner im Umlauf, denen eines gemein ist: Sie gelangen über Sicherheitslücken auf die IT-Systeme und verschlüsseln alle Dateien der befallenen Computer und Netzwerke.

Trojaner verschlüsseln Daten und fordern Lösegeld

Während für die Ransomware Satana nahezu moderate 0,5 Bitcoins (umgerechnet 303 Euro/Stand 2016) gefordert waren, lagen die Kosten für eine Entschlüsselung von Bart schon bei 3 Bitcoins (1817 Euro/Stand 2016). MicroCopy verlangte sogar 48.48 Bitcoins – umgerechnet 29.360 Euro (Stand 2016).

Schon hier wird klar, dass eine Zahlung besonders für Unternehmen kleiner oder mittlerer Größe nicht so einfach zu leisten ist. Noch dazu ist ein Ende der Fahnenstange nicht in Sicht. Cyberkriminelle verlangen immer größere Summen für die Entschlüsselung von Daten und der Wert von Bitcoins steigt. Inzwischen (2020) ist 1 Bitcoin 9.623 Euro wert.

Zudem gibt es keine Garantie für die Freigabe der verschlüsselten Daten nach der Zahlung. Daher wird dazu geraten, das Lösegeld nicht zu zahlen. Sicherheitsexperten auf der ganzen Welt arbeiten daran, eine Möglichkeit der Entschlüsselung für die verschiedenen Schadsoftwares zu entwickeln. Allerdings ist es ein komplizierter Prozess, Lösungen für einen Erpressungs-Trojaner zu finden. Vor allem weil die Erpresser nicht schlafen und ihre Trojaner ständig verändern und weiterentwickeln.

Ein Hacker sitzt an einem Rechner. Er versucht, Erpressungs-Trojaner zu verbreiten. Bild: Unplash/Mika Baumeister

Geben Sie Kriminellen und ihren Erpressungs-Trojanern keine Chance! Bild: Unplash/Mika Baumeister

Erpressungs-Trojaner: Schulen Sie die Security Awareness!

Daher sollten Sie umfassende Vorsichtsmaßnahmen treffen. Stellen Sie sicher, dass für Ihr Unternehmen die Gefahr einer Infektion mit Krypto-Trojanern und dem damit verbundenen Datenverlust minimal ist.

Sie fragen sich, wie sich ein Unternehmen am besten gegen Verschlüsselungs-Trojaner wie Locky absichern kann? Und welche Werkzeuge und Maßnahmen Sie als Unternehmer ergreifen können, um Ihre Daten zu schützen? In erster Linie sollten Sie Ihre Mitarbeiter für die Bedrohungslage sensibilisieren und über neue Entwicklungen auf dem Laufenden bleiben.

Meist reicht eine gesunde Portion Misstrauen gegenüber E-Mail-Anhängen von unbekannten Absendern und Aufmerksamkeit bei der Internet-Nutzung schon aus, um viele Gefahren zu umgehen. Das Stichwort dazu lautet Security Awareness – und die lässt sich durch spezielle Schulungen trainieren. Und dann gibt es auch noch einige technische Maßnahmen, die Sie unbedingt ergreifen sollten. 

Mit Backup-Management absichern

Halten Sie Ihre Programme und Betriebssysteme unbedingt auf dem aktuellsten Stand. Die Krypto-Trojaner verteilen sich auch über sogenannte Exploit Kits, die gezielt nach Schwachstellen in Ihren Systemen suchen und diese zum Eindringen nutzen. Mithilfe von regelmäßigen Updates können Sie diese schließen.

Darüber hinaus sollte schnellstmöglich eine regelmäßig ablaufende Datensicherung eingerichtet werden. Besonders wichtig bei einem umfassenden Backup-Management: Damit diese Sicherungskopien nicht auch befallen werden, sind Backups von Ihrem Netzwerk zu entkoppeln oder auf einem professionell geschützten Netzwerkspeicher abzulegen. Zusätzlich ist ein professionelles Anti-Virus-Management unabdingbar.

Wie steht es um die IT-Sicherheit in Ihrem Unternehmen? Wir unterstützen Sie gern bei der Einrichtung geeigneter Sicherheitsmaßnahmen gegen Erpressungs-Trojaner und andere Schadsoftware. Gern beantworten wir Ihre Fragen zu allen Themen rund um IT-Sicherheit. Wenden Sie sich für eine erste unverbindliche Beratung einfach an Ihren lokalen Partner des IT-SERVICE.NETWORK.

Janine

Fragen zum Artikel? Frag den Autor

Enrico, 4. August 2016 um 19:20

Das große Problem bei Locky ist wohl, dass es sich so rasend schnell verbreitet und auch vor Cloud-Speichern nicht halt macht. Da hilft wohl wirklich nur allerbeste Vorsorge! Microsoft natürlich am Besten auch so konfigurieren, dass Makro-Code erst nach Rückfrage ausgeführt wird und nur bei Dokumenten aus vertrauenlicher Quellen zu. LG Enrico

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.