Der sichere Umgang mit Fehlern in Ransomware

Ransomware wird immer gefährlicher - und gilt für viele als "Geißel der modernen, digitalen Welt". Wir klären zwar fortlaufend Nutzer darüber auf, was sie tun können. Aber dennoch bleibt es schwer, der teilweise Top-Verschlüsselung einen Schritt voraus zu sein. Und so werden auch weiter Unternehmen lahmgelegt und Gesetzgebern und Strafverfolger obendrein fragen nach Lösungen, um kriminelle Verschlüsselung rückgängig zu machen. Aber wenn wir die Schlüssel zu Ransomware knacken, helfen wir dann nicht auch den Bösewichten, es beim nächsten Mal besser zu machen?

Anfang dieses Monats berichteten die Entwickler von Ransomware-Entschlüsselungsprogrammen auf einem Workshop-Treffen im Herzen der Tschechischen Republik, wie sie einen Teil des Codes geknackt und die Daten der Nutzer wiederhergestellt haben. Durch sorgfältige Analyse fanden sie manchmal Fehler in den Implementierungen oder Operationen der Krminellen, die es ihnen ermöglichten, den Verschlüsselungsprozess umzukehren und die verschlüsselten Dateien wiederherzustellen.

Aber wenn die "guten Jungs" nun das Tool der Öffentlichkeit präsentieren, können die Cybergangster ihre "Waren" blitzschnell umkonfigurieren - nur dann mit Taktiken, die "völlig unhackbar" sind und die Forscher daran hindern, den nächsten Stapel von Dateien zu knacken. Im Grunde debuggen die Forscher den Code der Kriminellen, was die Security-Forschung im schlimmsten Fall für die Zukunft nur weiter erschwert.

Wir lösen das Problem also nicht, wir jagen es, reagieren darauf und "übermalen den Schaden". Aber jeder Erfolg könnte nur vorübergehend sein. Gerade für kleinere Unternehmen, die in ihrer Verzweiflung zahlen um im Geschäft zu bleiben, oft unmöglich ist, den Großteil der Verwüstungen zu beheben.

Auch die Regierungen sind - trotz aller guten Absichten - reaktiv. Sie können Empfehlungen aussprechen, bei der Reaktion auf Vorfälle behilflich sein und vielleicht auch Unterstützung schicken, aber auch das ist reaktiv und bietet einem frisch getroffenen Unternehmen wenig Trost.

Also gehen sie dazu über, die Finanzströme zu verfolgen. Aber die Bösewichte sind in der Regel gut darin, sich zu verstecken - sie können sich all die guten Werkzeuge leisten, die sie mit einem Teil des Geldes bezahlen, das sie gerade gestohlen haben. Und offen gesagt, wissen sie vielleicht mehr als viele Regierungsvertreter. Es ist, als würde man einen F1-Rennwagen mit einem einigermaßen schnellen Pferd jagen.

So oder so sollten die Forscher mehr sein als nur Betatester für Kriminelle.

Wir können die Tools der Cyberkriminellen nicht einfach erkennen und blockieren, da sie Standard-Systemtools nutzen können, die für den täglichen Betrieb Ihres Computers verwendet werden. Open-Source-Tools sind der Klebstoff, der das gesamte System zusammenhält, aber sie können auch der sein, der den Verschlüsselungsprozess der Ransomware zusammenhält, die das System sperrt.

Also konzetrieren wir uns auf die Vorgehensweisen der Kriminellen. Wenn man in einer Werkstatt einen Hammer in der Hand hält, ist das nicht schlimm, solange man nicht gegen ein Fenster schlägt und es zerstört. In ähnlicher Weise kann die Erkennung eines verdächtigen Vorgangs den Beginn eines Angriffs anzeigen. Allerdings ist es schwierig, dies bei der Geschwindigkeit neuer Angriffsvarianten zuverlässig zu realisieren.

Hier in Europa werden erhebliche Anstrengungen unternommen, um die Regierungen verschiedener Länder zusammenzubringen und Informationen über Ransomware-Trends auszutauschen. Aber die Gruppen, die diese Initiativen voranbringen wollen, sind nicht direkt mit der Strafverfolgung befasst; sie können nur hoffen, dass die Strafverfolgungsbehörden schnell handeln. Aber das geschieht eben nicht mit der gleichen Geschwindigkeit wie sich Malware weiterentwickelt.

Die Cloud ist uns auf jeden Fall eine große Hilfe, da Sicherheitslösungen sie nutzen können, um aktuelle Angriffsszenarien schnellstmöglich zu erkennen. So wird Computer nahezu verzögerungsfrei in die Lage versetzt mögliche Angriffe stoppen zu können.

Das verkürzt die Effektivität und somit auch Lebensdauer von Ransomware-Tools und -Techniken, so dass sie nicht viel Geld verdienen können. Die Entwicklung guter Ransomware kostet die Bösewichte Geld, und sie wollen eine Gegenleistung. Wenn ihre Schadprogramme nur ein- oder zweimal funktionieren, zahlt sich das nicht aus. Wenn es sich nicht auszahlt, werden sie etwas anderes machen, das sich auszahlt.

Sichern Sie Ihre Datenträger

Ein Profi-Tipp von der Konferenz: Sichern Sie Ihre verschlüsselten Daten, wenn Sie von Ransomware betroffen sind. Falls irgendwann ein Entschlüsselungsprogramm veröffentlicht wird, haben Sie vielleicht noch eine Chance, verlorene Dateien in der Zukunft wiederherzustellen.

Der beste Zeitpunkt für eine Datensicherung ist natürlich, wenn Sie nicht von Ransomware erpresst werden, aber es ist nie zu spät, damit zu beginnen. Der WeLiveSecurity-Leitfaden zu den Backup-Grundlagen ist zwar schon 7 Jahre alt, bietet aber immer noch praktische Informationen darüber, wie Sie das Problem angehen und eine Lösung entwickeln können, die für Ihr Heim oder Ihr kleines Unternehmen geeignet ist.

ESET versus Ransomware

Falls Sie sich fragen, wie ESET zur Entwicklung von Ransomware-Entschlüsselungsprogrammen steht: Wir verfolgen einen gemischten Ansatz. Wir wollen Menschen vor Ransomware (die wir oft als Diskcoder- oder Filecoder-Malware klassifizieren) schützen und Möglichkeiten zur Datenwiederherstellung bieten. Gleichzeitig möchten wir die kriminellen Banden, die hinter dieser Geißel stecken, nicht darauf aufmerksam machen, dass wir das technologische Äquivalent zum Öffnen ihrer verschlossenen Türen mit einem Satz digitaler Dietriche geschaffen haben.

In einigen Fällen kann ein Entschlüsselungsprogramm veröffentlicht und der Öffentlichkeit über den entsprechenden ESET Knowledgebase-Artikel zur Verfügung gestellt werden. Zum aktuell Zeitpunkt haben wir dort etwa ein halbes Dutzend Entschlüsselungstools zur Verfügung. Weitere solcher Tools sind auf der Website der No More Ransom-Initiative verfügbar, mit der ESET seit 2018 zusammenarbeitet. In anderen Fällen schreiben wir zwar Entschlüsselungsprogramme, informieren aber nicht die breitere Öffentlichkeit über sie.

Die Kriterien für die öffentliche Information, dass ein Entschlüsselungsprogramm entwickelt wurde, sind bei jeder Ransomware unterschiedlich. Diese Entscheidungen basieren auf einer sorgfältigen Bewertung vieler Faktoren, z. B. wie verbreitet die Ransomware ist, wie schwerwiegend sie ist, wie schnell die Ransomware-Autoren Programmierfehler und Schwachstellen in ihrer eigenen Software ausbessern und so weiter. Selbst wenn sich Betroffene an ESET wenden, um Unterstützung bei der Entschlüsselung ihrer Daten zu erhalten, werden spezifische Informationen darüber wie die Entschlüsselung durchgeführt wurde nicht öffentlich bekannt gegeben, damit die Entschlüsselung so lange wie möglich funktionieren kann. Wir sind der Meinung, dass dies der beste Kompromiss zwischen dem Schutz der Kunden vor Ransomware und der Möglichkeit ist, bei der Entschlüsselung von Dateien so lange wie möglich zu helfen. Wenn die Kriminellen erst einmal wissen, dass es Lücken in ihrer Verschlüsselung gibt, werden sie diese möglicherweise beheben, und es kann lange dauern, bis andere Schwachstellen gefunden werden, die eine Wiederherstellung der Daten ermöglichen, ohne dass der Eigentümer Lösegeld bezahlt.

Der Umgang mit Ransomware, sowohl mit ihren Betreibern als auch mit dem Ransomware-Code selbst, ist ein kniffliger Prozess und oft ein Schachspiel, das sich über Wochen, Monate oder sogar Jahre hinziehen kann, während die Guten gegen die Bösen kämpfen. ESET versucht, so viel Gutes wie möglich zu tun, d. h. so vielen Menschen wie möglich für so lange wie möglich zu helfen. Das bedeutet auch, dass Sie die Hoffnung nicht aufgeben sollten, wenn Sie auf ein von Ransomware betroffenes System stoßen. Es besteht immer noch die Möglichkeit, dass ESET Ihnen dabei helfen kann, Ihre Daten wiederzubekommen.

Ransomware mag ein Problem sein, das nicht in absehbarer Zeit verschwinden wird. ESET tut jedoch sein Bestes, um Sie vor ihr zu schützen. Denn es bleibt auch bei Ransomware die alte Weisheit: "Es ist immer noch besser, Schaden von vornherein zu verhindern, als ihn heilen zu müssen".

Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!