Erpressungstrojaner sind seit Jahren eine beliebte Methode von organisierten Cyberkriminellen, Geld zu verdienen. Der aktuelle Angriff ist eine Variante von «Petya», einer Schadsoftware, die seit einem Jahr bekannt ist. Erste Erpressungstrojaner gab es schon vor mehr als zehn Jahren, im Herbst 2013 begann der eigentliche Höhenflug der Methode – mit «CryptoLocker», der erstmals die digitale Währung Bitcoin als Lösegeld-Zahlungsweg einsetzte.
Guido Berger (@guidoberger) leitet SRF Digital und berichtet seit 2006 über Technologie und Games.
Die Methode dieser Erpressungstrojaner ist immer gleich: Über Lücken im System dringen sie auf die Computer der Opfer ein. Sie verschlüsseln die Daten dort ganz oder teilweise. Die Maschine ist danach nicht mehr benutzbar, die Daten nicht mehr lesbar. Doch eine Lösung scheint nah: Eine meist nur geringe Summe bezahlen, und schon ist alles wieder gut – versprechen die Erpresser.
Kleine Firmen zahlen oft
Gerade Privatpersonen oder kleinere Unternehmen gehen oft auf diese Erpressung ein. Wer keine Backups hat, ist oft bereit, zu bezahlen. Das wissen die Erpresser – hat das Opfer einmal Zahlungsbereitschaft signalisiert, folgt auf die zunächst tiefe Forderung nicht selten sogleich eine höhere.
Deshalb empfehlen alle Experten, nie zu bezahlen. Weil es erstens keine Garantie gibt, dass die Erpresser ihre Versprechen einhalten. Und weil zweitens jedes Opfer, das bezahlt, die Verbrecher finanziert und damit weitere Angriffe mitverursacht.
«Petya» nutzt gleiche Lücke wie «Wannacry»
Als Mitte Mai der Erpressungstrojaner «WannaCry» die Runde machte und Spitäler Patienten nach Hause schicken mussten, geriet das Problem, auf das Spezialisten schon seit Jahren hinweisen, in den Blick einer breiten Öffentlichkeit. Der aktuelle Angriff erfolgt nun nur sechs Wochen später. Das wirft die Frage auf: Hat man nichts dazu gelernt?
«Petya» scheint die gleiche Lücke zu nutzen, über die auch «WannaCry» eindrang, und die wäre eigentlich seit März geschlossen. Es gibt allerdings auch unbestätigte Berichte, dass auch Systeme auf dem neusten Stand betroffen waren. Es ist also möglich, dass diese neue Variante von «Petya» mehr Pfeile im Köcher hat und auch andere, vielleicht noch unbekannte Lücken ausnutzen kann.
Geld oder Schaden als Ziel?
Auf einen Angriff vorbereitet ist man also nur, wenn man seine Systeme immer auf dem neusten Stand hält – damit zumindest bekannte Lücken geschlossen sind. Doch auch dann kann ein Befall nicht ausgeschlossen werden. Man braucht deshalb zusätzlich einen guten Notfall-Plan: Sichere und häufige Backups, um betroffene Systeme wiederherstellen zu können, und bereitstehende Ersatzlösungen, um kritische Systeme weiter betreiben zu können.
Denn möglicherweise geht es aktuell gar nicht darum, Geld zu verdienen. «Petya» und auch «WannaCry» verbreiteten sich sehr schnell. Normalerweise fliegen Erpressungstrojaner eher unter dem Radar, damit sich die Opfer alleine fühlen und versuchen, die Peinlichkeit möglichst schnell aus der Welt zu schaffen. Wenn der Angriff aber so viel Aufmerksamkeit erregt, sinkt die Zahlungsbereitschaft der Opfer stark. Im Falle von «Petya» scheint auch der Weg, wie das Lösegeld zu den Erpressern fliessen sollte, eher stümperhaft umgesetzt zu sein.
Deshalb könnte noch ein anderes Motiv hinter dem Angriff stecken. Es wird spekuliert, dass es schlicht darum ging, möglichst viel Schaden anzurichten. Oder dass jemand die Verbreitungs- und Infektions-Methoden der neuen «Petya»-Variante testen wollte, um spätere Angriffe vorzubereiten.
Doch unabhängig vom Motiv der Angreifer ist klar: Jedes Unternehmen und jede Privatperson muss damit rechnen, Opfer eines solchen Angriffes zu werden. Und sich entsprechen wappnen: Systeme immer auf dem neusten Stand halten, regelmässige und vollständige Backups machen, einen Notfallplan in der Schublade haben.
