Die Vorgehensweise der Täter bei Angriffen mit Ransomware haben sich seit Ende des vergangenen Jahres geändert. Waren früher Phishing-E-Mails mit Links zur Schadsoftware oder Dateianhänge für die Verschlüsselung von Geräten verantwortlich, so erfolgen die Angriffe nun hauptsächlich über Fernwartungstools. Darauf machte das Bundeskriminalamt (BK) am Mittwoch aufmerksam.

Die Schadsoftware zur Verschlüsselung wird nach jüngsten Erfahrungen des Cybercrime Competence Centers im BK bevorzugt über Remote Desktop Protokoll (RPD) Schnittstellen in die Netzwerke eingespielt. Die Schnittstellen werden zum Steuern eines entfernten Computers und Darstellen dessen Bildschirminhaltes benötigt, etwa von einem Außendienstmitarbeiter einer Firma oder einem IT-Techniker.

Zielsetzung

Die Angriffsziele der Täter sind vorwiegend kleine mittlere Unternehmen und deren mangelhaft oder mit einfachen Passwörtern gesicherte Schnittstellen. Die Zugangsdaten werden mit spezieller Softwaregeknackt, um in die Systeme einzudringen und die Daten zu verschlüsseln. Nach der Infizierung erhalten die Opfer eine Nachricht mit den Instruktionen der Erpresser zur Überweisung des Lösegeldes, erläuterte das BK.

Auch die Geldforderungen der Täter haben sich geändert. Früher wurden von den Tätern fixe Geldbeträge für die Entschlüsselung eines Gerätes verlangt. Nun wird nach vorheriger Abschätzung der finanziellen Möglichkeiten der Opfer die Höhe des Lösegeldes individuell abgestimmt. Forderungen von bis zu 30.000 Euro sind bekannt, meist in Form von Bitcoins oder durch Prepaid-Karten. Beide Zahlungsformen sind anonym und erschweren dadurch die Strafverfolgung. Betroffen sind laut BK sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen.

Sonderkommission

Innerhalb des Cybercrime Competence Centers beschäftigt sich die Sonderkommission Clavis mit der Aufklärung von Erpressungen durch Ransomware. Die Ermittler bearbeiten derzeit etwa fünf Anzeigen pro Woche, im vergangenen Jahr waren es noch durchschnittlich 20.

Die Experten der Polizei raten Usern unter anderem, regelmäßig Zugangsdaten zu ändern und komplexe Passwörter inklusive Sonderzeichen zu verwenden und Zugangsmöglichkeiten unter Verwendung von IP-Whitelisting einzuschränken. Falls ein Fernzugriff via RDP-Zugang gar nicht benötigt, wird, sollte diese Funktion ausgeschaltet werden. Für Sicherheitskopien sollte man sich eine Strategie überlegen. Nach der Sicherung sollte das BackUp-Medium vom System getrennt und Share-Links zu BackUp-Servern nach erfolgter Sicherung wieder aufgelöst werden, um ein Übergreifen durch die Schadsoftware zu verhindern. (APA, 14.3.2018)