Warum die Plage nicht nachlässt

Eine Ransomware-Attacke kann das laufende Geschäft zum Stillstand bringen, unternehmenskritische Daten vernichten, die Produktivität senken und nebenbei noch einen Imageverlust verursachen. Die Zahlung von Lösegeld erscheint da vielen Verantwortlichen als eine vertretbare Methode der Krisen­bewältigung. Doch weit gefehlt. Der Anstieg zielgerichteter Ransomware gegen handverlesene Opfer, von dem Symantec im Laufe des letzten Jahres berichtete, hat diese Dynamik gekippt. Wer Lösegeld zahlt, erkauft sich damit neuerdings neue Attacken und gilt von nun an im Darknet als die vermeintliche «leichte Beute» mit dem garantierten Ertrag.

Was sind die wichtigsten Angriffsvektoren für Ransomware auf Unternehmen in der Schweiz? «Wie fast alle Malware wird Ransomware über verschiedene Kanäle verteilt, über gehackte Webseiten (Drive-by) oder per E-Mail», warnt Serge Droz. Viele dieser Mails würden «professionell daherkommen», beispielsweise als Bewerbung auf eine ausgeschriebene Stelle. Der Kreativität der Angreifer sind offenbar keine Grenzen gesetzt.

«Ransomware ist für die direkte Umsatzgenerierung konzipiert», schrieben Sicherheitsexperten von Symantec kürzlich in einem Bericht. Die Sicherheitsforscher von Trustwave beziffern den ROI einer konventionellen Ransomware-Attacke auf astronomische 1425 Prozent. IBM wiederum spricht von einem weltweiten Schwarzmarkt im Wert von 1 Milliarde US-Dollar.

Mit dem kontinuierlichen Zufluss von Lösegeld entwickeln die Täter ihre Ransomware-Toolkits rasant weiter. Jahr für Jahr erscheinen so um die 100 neue Ransomware-Familien. Cryptolocker, Cerber oder Locky gibt es im Übrigen als sogenannte DIY-Kits (Do-it-yourself-Kits) im Preisbereich zwischen 39 und 3000 Franken zu kaufen. Es handelt sich dabei quasi um «Malware-Fertiggerichte zum Auf­wärmen» für Heimbastler. Viele dieser Tools sind einfach Ramsch, doch darum geht es nicht: Mit ihrer Hilfe können Täter, die hinter den Ohren ansonsten noch grün sind, ihre Opfer mit Lösegeldforderungen terrorisieren.

Es wird aber noch schlimmer kommen. Die neuste Generation von Ransomware vom März dieses Jahres, getauft auf den Namen Satan, macht mit einem neuen Geschäftsmodell auf sich aufmerksam. Die Ransomware selbst ist kostenfrei, lässt sich mit ein paar Klicks «individualisieren», herunterladen und auf die Opfer loslassen. Für den Vertrieb bekommen die Täter eine Kommission: 25 Prozent ab einem Umsatz von 5 Bitcoins pro Woche und satte 85 Prozent ab 125 Bitcoins pro Woche. Auf die Opfer kommen echt spannende Zeiten zu.