Ransomware: Hacker haben Vorgangsweise geändert

Zugriffe über RPD-Schnittstellen - Erpresserforderungen den finanziellen Möglichkeiten der Opfer angepasst

(c) Pixabay

Die Vorgehensweise der Täter bei Angriffen mit Ransomware haben sich seit Ende des vergangenen Jahres geändert. Waren früher Phishing-E-Mails mit Links zur Schadsoftware oder Dateianhänge für die Verschlüsselung von Geräten verantwortlich, so erfolgen die Angriffe nun hauptsächlich über Fernwartungstools. Darauf machte das Bundeskriminalamt am Mittwoch aufmerksam.

Die Schadsoftware zur Verschlüsselung wird nach jüngsten Erfahrungen des Cybercrime Competence Centers im Bundeskriminalamt bevorzugt über Remote Desktop Protokoll (RPD) Schnittstellen in die Netzwerke eingespielt. Die Schnittstellen werden zum Steuern eines entfernten Computers und Darstellen dessen Bildschirminhaltes benötigt, etwa von einem Außendienstmitarbeiter einer Firma oder einem IT-Techniker.

Die Angriffsziele der Täter sind vorwiegend kleine mittlere Unternehmen und deren mangelhaft oder mit einfachen Passwörtern gesicherte Schnittstellen. Die Zugangsdaten werden mit spezieller Software geknackt, um in die Systeme einzudringen und die Daten zu verschlüsseln. Nach der Infizierung erhalten die Opfer eine Nachricht mit den Instruktionen der Erpresser zur Überweisung des Lösegeldes.

Freikauf gegeiselter Daten mit Bitcoin

Auch die Geldforderungen der Täter haben sich geändert. Früher wurden von den Tätern fixe Geldbeträge für die Entschlüsselung eines Gerätes verlangt. Nun wird nach vorheriger Abschätzung der finanziellen Möglichkeiten der Opfer die Höhe des Lösegeldes individuell abgestimmt. Forderungen von bis zu 30.000 Euro sind bekannt, meist in Form von Bitcoins oder durch Prepaid-Karten. Beide Zahlungsformen sind anonym und erschweren dadurch die Strafverfolgung. Betroffen sind laut Bundeskriminalamt sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen.

Innerhalb des Cybercrime Competence Centers beschäftigt sich die Sonderkommission Clavis mit der Aufklärung von Erpressungen durch Ransomware. Die Ermittler bearbeiten derzeit etwa fünf Anzeigen pro Woche, im vergangenen Jahr waren es noch durchschnittlich 20.

Die Experten der Polizei raten Usern unter anderem, regelmäßig Zugangsdaten zu ändern und komplexe Passwörter inklusive Sonderzeichen zu verwenden und Zugangsmöglichkeiten unter Verwendung von IP-Whitelisting einzuschränken. Falls ein Fernzugriff via RDP-Zugang gar nicht benötigt wird, sollte diese Funktion ausgeschaltet werden. Für Sicherheitskopien sollte man sich eine Strategie überlegen. Nach der Sicherung sollte das BackUp-Medium vom System getrennt und Share-Links zu BackUp-Servern nach erfolgter Sicherung wieder aufgelöst werden, um ein Übergreifen durch die Schadsoftware zu verhindern.

Die Presse - Testabo

Testen Sie jetzt „Die Presse“ und „Die Presse am Sonntag“ sowie das „Presse“-ePaper und sämtliche digitale premium‑Inhalte 3 Wochen kostenlos und unverbindlich.

Jetzt 3 Wochen testen
Meistgekauft
    Meistgelesen
      Kommentar zu Artikel:

      Ransomware: Hacker haben Vorgangsweise geändert

      Sie sind zur Zeit nicht angemeldet.
      Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.