![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Heute noch ein kurzer Ausblick auf das Thema Erpressungs-Software, die \"gef\u00fchlt\" rasant um sich greift. Neben eigenen Beobachtungen habe ich noch \"Offizielles\" auf den Schreibtisch bekommen. Und ich habe mal ein paar Gedanken zusammen geschrieben, warum wir erst am Anfang einer riesigen Welle an Cyber-Crime-Vorf\u00e4llen stehen.<\/p>\n
<\/p>\n
Es d\u00fcrfte eigentlich mittlerweile jedem Blog-Leser klar sein: Ransomware, also Erpressungssoftware hat mittlerweise Hochkonjunktur. In 2015 waren es nur einige Randnotizen, die sich mit \"Incidents\" im fernen Amiland befassten. Aber nun kommen die Einschl\u00e4ge n\u00e4her \u2013 und treffen deutsche Firmen, Beh\u00f6rden und Nutzer. Locky, TRUN etc. sind die Stichw\u00f6rter, die auch hier im Blog auftreten (siehe Linkliste). Lasst uns doch mal einen Blick weg vom heimischen PC \u2013 in Richtung Industrie werfen und das Thema etwas umfassender beleuchten.<\/p>\n
Die Cyber-Kriminellen, die solche Ransomware entwickeln, haben ja Erfolg. Der Ratschlag, keinesfalls zu zahlen<\/a>, wird ja nicht beherzigt. Das FBI r\u00e4t Betroffenen<\/a> sogar zu zahlen, wor\u00fcber ich nur den Kopf sch\u00fctteln kann. Meinen Informationen nach (siehe auch hier<\/a>), hat die Klinik in Hollywood<\/a> gezahlt \u2013 und seit gestern geht die Meldung Erpressungstrojaner: Stadtverwaltung kauft sich mit 1,3 Bitcoin frei<\/a> im Internet herum.<\/p>\n Laut einer Umfrage vom Januar 2016 w\u00fcrden viele Unternehmen (24.6 %) bei einer Infektion mit Ransomeware zahlen, um wieder an die verschl\u00fcsselten Daten heranzukommen. Und laut einer Bitdefender-Umfrage, zahlt jedes dritte Opfer in Deutschland (siehe ZDNet-Artikel hier<\/a>).<\/p>\n Es ist also ein riesiges Gesch\u00e4ftsfeld mit echten Margen \u2013 Unternehmen sind bereit, bis zu 1 Million US $ zu zahlen. Da ist es nur logisch, dass 'man' als Entwickler richtig investiert. Laut diesem Bericht ist der erste quelloffene Vertreter dieser Schadsoftware gesichtet worden. Die Jungs haben also Ressourcen und Handwerkszeug. Zwischenzeitlich sitzen hoch spezialisierte Cyber-Kriminelle in Arbeitsteilung an dem Thema und verbessern Locky & Co.<\/p>\n Virenscanner sind erst einmal f\u00fcr Stunden und Tage blind, so dass die Sch\u00e4dlinge nicht erkannt werden. Die von mir im Artikel Was sch\u00fctzt vor Locky und anderer Ransomware?<\/a> angerissenen, administrativen Vorkehrungen mag die IT vieler Firmen nicht treffen. Also ein Schlaraffenland.<\/p>\n Vom Antivirus-Spezialisten ESET habe ich nun einige Informationen auf den Tisch bekommen, die die obigen Thesen st\u00fctzen. Die Autoren Robert Lipovsky, Lukas Stefanko und Gabriel Branisa aus dem ESET Forschungslabor sehen Ransomware zunehmend auch als Problem<\/u> f\u00fcr Nutzer mobiler Endger\u00e4te. Ransomware mit Lockscreen- und Verschl\u00fcsselungsfunktionen sorgen seit vielen Jahren f\u00fcr hohe finanzielle Einbu\u00dfen und Datenverluste. Die Schadprogramme wurden genauso wie beispielsweise SMS-Trojaner in den vergangenen Jahren technologisch weiterentwickelt. Dabei adaptieren die Malware-Autoren h\u00e4ufig die bew\u00e4hrten Techniken der Desktop-Malware.<\/p>\n Sowohl unter Windows als auch auf Android fordert Ransomware-Malware L\u00f6segeld von den Nutzern. Die \u00fcbliche Masche: Die Besitzer werden beschuldigt, illegale Inhalte heruntergeladen zu haben. Die Crypto-Ransomware auf Android funktioniert \u00e4hnlich wie das ber\u00fcchtigte Pendant unter Windows und nutzt \u00e4u\u00dferst starke Verschl\u00fcsselungstechniken, um es den Opfern quasi unm\u00f6glich zu machen, ihre Daten ohne L\u00f6segeldzahlung zur\u00fcckzuerhalten.<\/p>\n Da immer h\u00e4ufiger pers\u00f6nliche Daten wie Fotos auf Smartphones anstatt auf PCs gesichert werden, steigt die Gefahr vor Datendiebstahl durch Android-Ransomware. Die Forscher der ESET Studie konnten auch neue Angriffsziele identifizieren. Das Augenmerk liegt l\u00e4ngst nicht mehr nur auf Osteuropa, Angriffe mit Android\/Simplocker und Android\/Lockerpin zielen vor allem auf Nutzer in den USA.<\/p>\n Den Ratschlag der ESET-Leute: \"Jeder Android-Nutzer sollte sich der Bedrohung durch Ransomware bewusst sein und zur Pr\u00e4vention entsprechende Security-Apps installieren\" kann man imho aber knicken. Denn diese Tools sind bei gut gemachter Ransomware erst einmal eine ganze Zeit lang blind.<\/p>\n Obwohl, laut ESET, einige Ransomware-Apps nur als Scareware laufen, bluffen und private Daten gar nicht verschl\u00fcsseln, werden nach Simplocker in 2014 immer mehr Varianten entwickelt, die tats\u00e4chlich Informationen verschl\u00fcsseln und im Anschluss L\u00f6segeld zur Freischaltung erpressen. Hinzu kommt, dass einige der Sch\u00e4dlinge die Dateien gar nicht mehr dechiffrieren k\u00f6nnen, weil die entsprechenden Decodier-Keys von Anfang an fehlen. Deswegen sollte man auch all seine Daten regelm\u00e4\u00dfig mit einem Backup sichern\", so Raphael Labaca Castro, Security Researcher bei ESET. Auch das \"Backup\"-Thema hat seine T\u00fccken \u2013 das funktioniert nur, wenn der Sch\u00e4dling keinen Zugriff auf die Sicherungsmedien hat.<\/p>\n Die Entwicklung der Android-Ransomware, unterschiedliche Varianten, Angriffsvektoren und Pr\u00e4ventionsma\u00dfnahmen, finden sich im ESET Report \u201eThe Rise of Android Ransomware\"<\/a>, der kostenlos auf dem ESET Security-Blog WeLiveSecurity<\/a> zum Download bereit steht.<\/p>\n Abschlie\u00dfend noch ein paar Worte meinerseits, warum wir gerade erst den Anfang dieser Entwicklung erleben. Gem\u00e4\u00df den obigen Ausf\u00fchrungen steckt \"Potential in diesem Gesch\u00e4ftsfeld\", was Ganoven anlockt. Und die Ransomware wird professioneller und effektiver. Und die technologische Entwickler leistet der \"Entwicklung des Gesch\u00e4ftsfelds\" momentan kr\u00e4ftig Vorschub.<\/p>\n Warum? Schaut in die Medien und ins Internet: Das hohe Lied der Cloud wird allerorten gesungen. Alles muss vernetzt sein \u2013 sonst bist Du old school \u2013 und narrensicher muss die Technik auch bedienbar sein. Sonst scheitern Greti und Pleti<\/a> im Heimbereich \u2013 und in der Firma kommt der Helpdesk nicht mehr aus dem Stress raus. Ach ja, ich verga\u00df: In Firmen wird momentan das hohe Lied von \"Industrie 4.0\" im Management gefl\u00f6tet \u2013 und es gibt den neuen Song vom \"Internet of Things\".<\/p>\n M\u00f6glicherweise fragt ihr euch, wie man im IT-Management von Firmen nur so bl\u00f6d sein kann, und sich selbst ans Messer liefert. Edmund Stoiber wusste: Nur die d\u00fcmmsten K\u00e4lber w\u00e4hlen ihren Metzger selber. Aber dr\u00f6seln wird das Ganze mal ein wenig auf. Ich habe mir mal gerade den \"Aluhut\" aufgesetzt und einen Blick durch \"meine Brille\" auf die Technikwelt geworfen.<\/p>\n Mein Abflug aus der Industrie ist zwar 22,5 Jahre her, aber so einige Dynamiken und Gedankenans\u00e4tze sind mir noch bekannt \u2013 und da d\u00fcrfte sich nix ge\u00e4ndert haben. Momentan wird die Softwarewelt durch US-Firmen\/Produkte beherrscht \u2013 Apple, Google\/Alphabet, Microsoft etc. Und die US-Administration ist gerade dabei, den Rest der Welt wegen Handelsrestriktionen \u00fcber Handelsabkommen zu schleifen. Stichworte sind TPP (Asia-Pacific) und TTIP. Ich habe die Tage mal das Standesorgan der deutschen Ingenieure, die VDI nachrichten<\/a>, ausgewertet. Da wird klar, wie die Chose l\u00e4uft \u2013 \"halb zog man sie, halb sanken sie hin\".<\/p>\n Gleichzeitig findet sich am 6. November 2015 eine Sonderbeilage \"Exklusiv Industrie 4.0\" mit Schlagzeilen \"Deutschland ben\u00f6tigt den digitalen Befreiungsschlag\" \u2013 da soll der Mittelstand sturmreif geschossen werden; \"Ins Zeitalter der vernetzten Industrie\" und so weiter, wo sich jeder, der das nicht hat, als hoffnungslos \"outdated\" empfinden muss.<\/p>\n Die kursiv dargestellten Ausz\u00fcge sind Wort-Zitate aus den VDI nachrichten-Beitr\u00e4gen, die online im Internet verf\u00fcgbar sein. Die Gesamtartikel stecken leider hinter einer Paywall.<\/p><\/blockquote>\n Als Mitglied im Management, bist Du i.d.R. nicht mehr in den Niederungen der Technik drin, sollst aber Ideen liefern, um besser als der Mitbewerb zu sein. Aus meiner Industriet\u00e4tigkeit ist mir h\u00e4ngen geblieben, dass so der Druck im upper Management aufgebaut wird \"der da hat das schon, und was machen wir\". Und die armen IT-Fritzen kommen von mehreren Seiten unter Druck: Die Gesch\u00e4ftsf\u00fchrung fragt \"was machen wir\" und die Produktion sagt \"wann machen wir\". Wie will sich dann der IT-Dienstleister (denn dass ist er ja, auch bei interner IT) wehren?<\/p>\n Und noch etwas: Es kommt nur am Rande in obigen Zitaten vor. IT-Verantwortliche stehen vor immer komplexeren Aufgaben. Gehe ich mal die Sicherheitsbeitr\u00e4ge des letzten Jahres durch, zeigt sich immer deutlicher, dass die IT-Verantwortlichen und die Entwickler das mit der Sicherheit nicht schaffen k\u00f6nnen \u2013 weil das System schlicht kaputt ist. Ich schrieb weiter oben, dass ich vor 22,5 Jahren aus der Industrie ausgestiegen bin. In dieser Zeit hatte ich das zweifelhafte Vergn\u00fcgen, als junger Ingenieur in Normenaussch\u00fcsse zur technischen Automatisierung \"delegiert worden zu sein\" \u2013 habe also mitbekommen, wie Standards entstehen. Da hat sich keiner um Sicherheit Gedanken gemacht.<\/p>\n Ein junger Entwickler, der bei Automatisierungsfirmen oder Siemens & Co. anheuert, ist froh, wenn er das Zeugs halbwegs zum Laufen bringt. Wenn Sicherheitsfunktionen zu implementieren sind, setzt er auf Frameworks, die er von (US-Firmen) Drittanbietern \u00fcbernimmt. Bleibt zu hoffen, dass er das Ganze im Sinne des Framework-Architekten implementiert, um keine Sicherheitsl\u00fccken aufzurei\u00dfen. Und es bleibt zu hoffen, dass die Framework-Implementierung keine B\u00f6cke enth\u00e4lt. Gleichzeitig gibt es in den USA Bestrebungen, in alles und jedes Backdoors f\u00fcr Beh\u00f6rden einzubauen. Ach ja, wir setzen momentan auf Infrastruktur, deren Entwurfsgrundlagen f\u00fcr die verwendeten Standards mehrere Jahrzehnte alt sind. Und t\u00e4glich werden gravierende L\u00fccken in der Implementierung breit genutzter Software aufgedeckt (denkt nur an die Sicherheitsl\u00fccken in Linux, in diversen Bibliotheken oder an die SLL-TLS-Zertifikate-Problematiken). Die Kette ist nur so stark wie das schw\u00e4chste Glied. Und ich muss das Ganze ja nicht nur entwickeln lassen \u2013 es kommt die Inbetriebnahme und dann der \u00fcber viele Jahre laufende Wartungszyklus \u2013 wo teilweise Handwerker die Komponenten bei St\u00f6rungen austauschen m\u00fcssen. Fazit: Nicht zu schaffen und \"broken by design\", da zu komplex und nicht mehr beherrschbar. Mit dem obigen Abriss habe ich gerade gezeigt, dass dieses Glied bereits \"by design\" gebrochen ist.<\/p>\n Gelegentlich bekomme ich als (noch) VDI-Mitglied Automatisierungs-Zeitschriften. Gehe ich mal kursorisch durch die Artikel, stelle ich fest: Es wimmelt immer noch von Abk\u00fcrzungen \u2013 nur, dass ich heute 99% nicht mehr verstehe. Aber es kommen die gleichen hohlen Worth\u00fclsen wie vor einem viertel Jahrhundert zum Tragen und bez\u00fcglich Sicherheit gibt es nur Allgemeinpl\u00e4tze. So was wird imho aber im unteren und mittleren Management gerne gelesen \u2013 und wenn man einen Teil der Abk\u00fcrzungen erkl\u00e4ren kann, ist man wichtig (so meine Erfahrungen aus dem fr\u00fcheren Leben).<\/p>\n So, nun setze ich den Aluhut wieder ab. Ist jetzt ein l\u00e4nglicher Artikel (tl;dr;) geworden. Aber die Quintessenz, die man \u2013 auch ohne Aluhut \u2013 ziehen kann: Die Jungs in Politik, Beh\u00f6rden und im Firmen-Management werden es schon vergeigen \u2013 da mache ich mir keine Sorgen. Und als Blogger werde ich (sofern ich das noch erlebe), keinen Mangel an Themen der Art \"Wieder Hack in Stahlwerk oder Hochofen \u2013 Fabrik 4.0 per Cyberangriff stillgelegt \u2013 Millionen L\u00f6segeldzahlung gefordert \u2013 Industriespionage: Fertigungsdaten per Netzwerk direkt auf den Rechner des Mitbewerbs umgeleitet\" haben. K\u00f6nnte nur sein, dass ich diese Nachrichten in einer Frequenz raushauen m\u00fcsste, dass die Leser genervt sind. Gerade die Tage habe ich mal wieder eine Mail bekommen \"es nervt, im Internet jeden Tag drei Meldungen zu Locky zu lesen\" \u2026<\/p>\n In diesem Sinne \u2013 forscher Aufbruch in die Zukunft \u2013 wird schon schief gehen, da bin ich mir sicher. Morgen gibt's noch einen Artikel, den ich aus einer IBM-Studie zum Thema \"Chefetage und IT-Sicherheit\" auf den Tisch bekommen habe. Und sollte jetzt jemand \u00fcberlegen, auf Cyber-Krimineller umzuschulen: Es werden auch immer wieder Leute aus diesem Umfeld erwischt \u2026<\/p>\n \u00c4hnliche Artikel: Heute noch ein kurzer Ausblick auf das Thema Erpressungs-Software, die \"gef\u00fchlt\" rasant um sich greift. Neben eigenen Beobachtungen habe ich noch \"Offizielles\" auf den Schreibtisch bekommen. Und ich habe mal ein paar Gedanken zusammen geschrieben, warum wir erst am Anfang … Weiterlesen Die Jungs werden professioneller<\/h3>\n
ESET-Bericht: Technologische Entwicklung von Ransomware schreitet voran<\/h3>\n
![\"Ransomware-Entwicklung](\"https:\/\/i.imgur.com\/2W5RLAZ.jpg\" "\\"Ransomware-Entwicklung")
\nESET: Entwicklung von Android Ransomware (April 2014 \u2013 Januar 2016)<\/em><\/p>\nNeue Angriffsziele au\u00dferhalb Osteuropas<\/h3>\n
![\"Simplocker\"](\"https:\/\/i.imgur.com\/ltRwCDI.jpg\" "\\"Simplocker\\"")
\nESET: Eine neue Variante von Simplocker gibt sich als NSA aus<\/em><\/p>\nWarum wir bei Ransomware erst am Anfang stehen?<\/h3>\n
\n
\n<\/strong>Crypto-Trojaner die Erste: Win.Trojan.Ramnit?<\/a>
\nCrypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a>
\nCyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)<\/a>
\nWas sch\u00fctzt vor Locky und anderer Ransomware?<\/a>
\nNice: 'BKA-Warnung' vor Locky mit Virus inside<\/a>
\nRansome-Malware legt Klinikbetrieb lahm<\/a>
\nHollywood-Klinik nach Ransomware-Angriff offline<\/a>
\nHacks of the day: Seitensprung-Portal und Klinikdaten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"