Ransomware Locky: Die nächste Erpressungswelle rollt
Benachrichtigung aktivierenDürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafftErlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviertWir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Ein Klick und es ist geschehen: Die Erpressungssoftware Locky infiziert derzeit tausende Rechner. Die Opfer dieser Ransomware sollen Lösegeld zahlen, um wieder an ihre Daten zu gelangen. Auch Unternehmen sind in Gefahr.
Geld her, sonst geht nichts mehr: Derzeit schwappt eine Welle von Erpressungssoftware durchs Netz, tausende Nutzer sind offenbar betroffen. Die Ransomware Locky ist dabei besonders aggressiv. Bedroht sind nicht nur Verbraucher, sondern auch Behörden und Unternehmen. Die wichtigsten Fakten im Überblick.
Wie tarnt sich Locky?
Die Kriminellen tricksen ihre Opfer aus – etwa mit gefälschten E-Mails, die nach wichtigen Rechnungen oder Nachrichten klingen, aber den Nutzern schädliche Software unterjubeln. Eine Locky-Variante gibt beispielsweise vor, ein Fax von Sipgate zu enthalten. Eine andere soll eine eingescannte Bilddatei im Anhang haben – entpackt und startet man sie, installiert sich jedoch der Trojaner. Auch Office-Dokumente etwa für Word und Excel können verseucht sein.
Einige Ganoven versuchen außerdem, Locky über verseuchte Websites zu verbreiten. Sie setzen darauf, dass die Systeme vieler Nutzer Sicherheitslücken haben, über die sie den Trojaner einschleusen können – etwa im Browser oder in Erweiterungen wie Flash. Schon deswegen sollten Nutzer ihre Software immer unbedingt aktuell halten.
Was richtet Locky an?
Es handelt sich um sogenannte Ransomware, also Erpressungssoftware. Sie verschlüsselt die Daten des Nutzers und fordert Lösegeld. Locky ist besonders aggressiv und greift auch auf Laufwerke im Netzwerk oder der Cloud zu. Im schlimmsten Fall könnte also auch die Sicherung betroffen sein.
Die Opfer werden aufgefordert, die Summe zu überweisen, meist über eine für Behörden nicht nachvollziehbare Bezahlmethode wie Bitcoin. Wie das geht, wird meist in einer Anleitung erklärt. Üblich sind Summen wie 0,5 Bitcoins, was derzeit knapp 200 Euro entspricht – viele verzweifelte Nutzer sind bereit, das zu zahlen. Die Erpresser drohen, den Schlüssel nach einer Zeit zu löschen und so die Daten dauerhaft unbrauchbar zu machen.
Wie die Hacker zum Ziel kommen
Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.
Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.
Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.
„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.
Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.
Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.
Was tun, wenn die Daten verschlüsselt sind?
Das ist eine schwierige Abwägung. Die Kriminellen geben die Daten häufig wieder frei – mit dieser Ganovenehre stellen sie sicher, dass ihr Geschäftsmodell dauerhaft funktioniert. Eine Garantie gibt es dafür aber nicht. Zudem fördern Nutzer so die Kriminalität im Allgemeinen und die Ransomware-Masche im Besonderen. Das Bundeskriminalamt (BKA) empfiehlt, das Geld nicht zu bezahlen und Anzeige zu erstatten. Falls eine aktuelle Sicherung vorliegt, ist das sicher der beste Weg.
In einigen Fällen lassen sich die Daten wieder herstellen, etwa wenn die Kriminellen Fehler bei der Verschlüsselung gemacht haben. Einige Anti-Virus-Spezialisten bieten für bestimmte Varianten kostenlose „Decrytor“-Software an, auch wenn es manchmal länger dauert, bis sie eine bestimmte Sperre überwinden können. Wer den Trojaner auf frischer Tat ertappt, hat noch die besten Aussichten. Betroffene sollten dann schnell den Rechner ausschalten und mithilfe eines Anti-Viren-USB-Sticks bereinigen.
Wie kann man sich schützen?
Nutzer sollten mit E-Mail-Anhängen grundsätzlich vorsichtig umgehen, gerade wenn sie von unbekannten Absendern stammen. Da die Ransomware nicht selten in Office-Dokumenten enthalten ist, ist es außerdem sinnvoll, die automatische Ausführung sogenannter Makros auszuschalten – diese Miniprogramme für Word & Co können die Verschlüsselungsprogramme installieren. Um Infektionen über verseuchte Websites zu verhindern, sollte man außerdem die Software auf dem Rechner jederzeit aktuell halten und einen Virenscanner verwenden.
Unbedingt ratsam ist außerdem eine regelmäßige Datensicherung auf einem Speichermedium, das nicht permanent an den Rechner angeschlossen ist. So lässt sich gewährleisten, dass Locky oder andere Ransomware im Fall einer Infektion nicht auch das Backup verschlüsselt. Einige Tipps für den Schutz der eigenen Daten finden Sie hier.
Unternehmen sollten noch mehr tun als Privatnutzer. Das Landeskriminalamt NRW empfiehlt beispielsweise, an die Mitarbeiter abgestufte Berechtigungen zu vergeben. Zudem rät die Behörde, sich auf den Fall der Fälle einzustellen. „Ebenso wichtig ist es aber, sich trotz aller Schutzmaßnahmen auf einen Schadenfall so vorzubereiten, damit der Schaden möglichst begrenzt wird“, sagt Cybercrime-Experte Helmut Picko vom LKA. Dazu zählen regelmäßige Datensicherungen, aber auch die Festlegung von Meldewegen und Entscheidungskompetenzen, um schnell handeln zu können.
Hilft ein Anti-Virus-Programm?
Leider nur bedingt. Die Hersteller aktualisieren ihre Anti-Virus-Scanner zwar regelmäßig, allerdings müssen sie dafür die schädliche Software erst einmal kennen. Daran hapert es jedoch: Die Autoren veränderten ihre Programme, „bis eine Erkennung durch die meisten AV-Produkte zum Zeitpunkt der Verbreitung nicht gegeben ist“, erklärt das BSI. Auch die Web-Adressen, über die die Täter Software nachladen, verändern sich ständig.
Das Kommentieren dieses Artikels wurde deaktiviert.