Was ist Ransomware eigentlich?
Ransomware ist eine bösartige Software, die durch den Angreifer auf deinem Computer oder Server installiert wird. Die Angreifer nutzen dabei einen sogenannten „exploit“ um Zugang zu deinem System zu erlangen. Dieser erkennt und nutzt die Sicherheitslücken deines Systems aus, um der Schadsoftware den Weg zu ebnen. Wenn die Ransomware erst einmal auf deinem System ist, führt diese sich in der Regel selbst aus und nistet sich ein.
All deine Webseitendaten werden nun extrem stark verschlüsselt, sodass du erst wieder Zugriff auf deine Daten erlangen kannst, wenn du den Forderungen der Erpresser nachkommst. Ransomware gibt es mittlerweile schon seit über 28 Jahren und kam erstmals 1989 auf, als Hacker mit dem PC Cyborg, einem Trojanischen Pferd Virus, versuchten die Opfer zum überweisen von 189$ auf ein Postfach in Panama zu bewegen. Die Hacker benutzten damals aber recht einfach gestrickte Codes, sodass deren Entschlüsselung kaum Probleme bereitete.
Heutzutage verbreitet sich Ransomware in großem Maße. Im Jahr 2017 wurden über 100 neue Varianten veröffentlicht, was zu einem weltweiten Anstieg von Ransomware Attacken um 36% im Vergleich zum Vorjahr führte. Die durchschnittliche Höhe der Forderungen stieg im gleichen Zeitraum sogar um fast 270% auf rund 1077$ pro Geschädigten. [Quelle: Symantec Security Threat Report]
Wie gefährlich diese Attacken mittlerweile geworden sind, konnten wir dieses Jahr im Juli erleben. Vor ein paar Jahren wäre eine Attacke, wie die der WannaCry Ransomware mit Opfern in über 150 Ländern noch unvorstellbar gewesen. Die Attacke auf das britische Gesundheitssystem bei der sogar Ambulanzen von betroffenen Kliniken ferngehalten wurden, werden wir so schnell nicht vergessen. Im Juni befiel die Petya Ransomware in der Ukraine nicht nur den staatlichen Energieversorger, den Flugzeugbauer Antonov und den Lebensmittelgiganten Modelez, sondern auch den Atomkraftreaktor in Tschernobyl in dessen Folge Messungsarbeiten der Radioaktivität nur noch manuell durchgeführt werden konnten. [Quelle: www.zeit.de ]
Mittlerweile werden die Forderungen der Cyberkriminellen von einem Großteil der Betroffenen bezahlt und nicht selten gelingt ein Entschlüsselung. Sicherheitsfirmen,zu denen auch das FBI gehört, empfehlen aber nicht auf die Erpressungsversuche einzugehen. Es wird verständlicherweise befürchtet, dass je öfter diese Attacken gelingen,umso beliebter wird dieses Betrugsmodell bei Kriminellen. Leider bleibt vielen Firmen und Betroffenen oft aber keine andere Möglichkeit, da es ihnen nur in den seltensten Fällen möglich ist die zumeist hochsensiblen Daten anders zurück zu erlangen.
Wordpress wird zur Zielscheibe!
Wie diverse Entwickler für Sicherheits-Plug-ins des CMS Wordpress berichten, macht sich zur Zeit eine Ransomware unter Wordpress Usern breit. Das Prinzip ist das altbekannte. Über Sicherheitslücken in Wordpressinstallationen versucht diese Schadsoftware sich Zugang zu euren Webseitendaten zu verschaffen. Diese werden dann extrem stark verschlüsselt, was die Nutzung der entsprechenden Website und deren Daten unmöglich macht.
Nach jetzigem Stand verlangen die Erpresser 0.2 Bitcoins also rund 700 Euro für die Entschlüsselung der betroffenen Daten. Es wird allerdings darauf hingewiesen, dass die Ransomware zwar eine Möglichkeit anbietet einen Schlüssel einzufügen, jedoch steckt dahinter kein funktionierender Entschlüsselungsmechanismus. Das Aufsuchen eines erfahrenen Programmierers bleibt so meist trotzdem nicht aus. Die einhellige Empfehlung der Experten lautet also den Forderungen nicht nachzukommen, solange der Erpresser eben jene Entschlüsselungsmechanismen nicht liefert.
So sieht die Forderung aus
Wie kann man sich am besten schützen?
In der Regel sollten sie vor allem darauf achten ihre Wordpressinstallation und entsprechende Plug-ins auf dem neusten Stand zu halten. Es empfiehlt sich auch spezielle Anti-Viren Programme und Plug-ins zu installieren oder dazugehörige Upgrades auszuführen. Achten sie auch darauf angemessen Back-Ups zu vollführen und diese nicht nur auf dem Webserver zu platzieren,sondern auch offline zu speichern. Wordpress Updateservice
Wer ist dafür verantwortlich und wie geht es weiter?
Es wird angenommen, dass es sich um eine indonesische Hackergruppe handelt, da einzelne Passagen im Quellcode indonesiche Wörter enthalten und einige der Ransomeversionen in indonesischen Hackerforen gefunden wurden. [Quelle: Wordfence]
Es wird außerdem vermutet, dass die Ransomware gerade noch zu einer voll funktionsfähigen Schadsoftware ausgebaut wird, um dann noch größere und weitläufigere Attacken zu vollführen. Die Experten kommen zu dieser Annahme, weil eben jene Entschlüsselungsmechanismen noch nicht funktionieren. Es handelt sich bis jetzt wohl „nur“ um einen Versuch diese Ransomware auf Wordpresswebsites zu platzieren.
Das kann für den Wordpress-User also nur heißen wachsam zu bleiben und die entsprechenden Sicherheitshinweise zu befolgen. Im Ernstfall lassen sie sich lieber von einem Experten in Ihrer Umgebung beraten. Unser club basic Team steht für sie dafür natürlich gerne mit Expertenrat zur Verfügung.