Das Thema Ransomware und insbesondere Crypto-Ransomware beherrscht die Schlagzeilen. Alle rechnen damit, dass es noch schlimmer wird. Mittlerweile gehen Firmen sogar dazu über, Geld zurückzustellen, um die Cyberkriminellen, die ihre Dateien verschlüsseln, zu bezahlen und dadurch wieder an ihre Informationen – die Grundlage ihres Geschäfts – zu kommen. Doch jetzt ist eine Variante der Erpressersoftware aufgetaucht, die sich merkwürdig verhält: „Ranscam“ entschlüsselt Dateien auch nach Bezahlung des „Lösegelds“ nicht. Damit dürfte die Bereitschaft der Opfer sinken, auf die Forderungen der Online-Gangster einzugehen. Ist das der Anfang vom Ende von Ransomware, folgt nun gewissermaßen der „Rexit“?
Statt Dateien zu verschlüsseln, werden sie von „Ranscam“ gelöscht. Auf den ersten Blick sieht das nach typischer Trittbrettfahrerei aus. Anstatt Zeit und Ressourcen zur Entwicklung einer „richtigen“ Ransomware zu investieren, hofft man auf Opfer, die einfach zahlen. Gedanken um die Wiederherstellung der Daten braucht sich der Schreiber von „Ranscam“ nicht zu machen. Diese neue Masche hat allerdings Auswirkungen auf das gesamte Ökosystem der Ransomware-Hintermänner.
Steckt ein Nestbeschmutzer dahinter?
Sollte „Ranscam“ im größeren Maßstab (negative) Bekanntheit erlangen, sinkt natürlich bei Opfern generell die Bereitschaft zu zahlen – auch bei Infektionen mit „normaler“ Erpressersoftware. Denn die Botschaft lautet: Es lohnt sich nicht zu zahlen, da die Daten ohnehin weg sind. Und das ist dem Geschäftsmodell natürlich nicht förderlich. Welche persönlichen oder gar gesundheitlichen Konsequenzen das jetzt für die Hintermänner von Ranscam hat, die damit unter Umständen ein florierendes Geschäftsmodell osteuropäischer Cyberkrimineller mit guten Verbindungen zur organisierten Kriminalität zerstören, sei dahingestellt.
Aus unseren Forschungen wissen wir, dass unseriöse Anbieter oder Käufer von Untergrundprodukten oder Dienstleistungen durchaus an den virtuellen Pranger gestellt werden. Beim sogenannten „Doxing“ werden alle erreichbaren Daten des Betroffenen, teilweise inkl. aller persönlichen Daten wie Wohnadresse, Familienstand, Hobbies etc. gesammelt und in Foren veröffentlicht. Der Schritt in die reale Welt, bei der dann ein unfreundlicher Zeitgenosse auf einmal vor der Haustüre steht oder beim Kindergarten wartet, ist dann nur noch ein kleiner. Und in diesen Fällen geht es „nur“ um unseriöse Transaktionen. Bei Ranscam sprechen wir aber von der Gefährdung eines ganzen Untergrund-Wirtschaftszweigs. Da kommen auf einmal ganz andere Größenordnungen zum Tragen – evtl. auch mit ganz anderen Konsequenzen für den Delinquenten.
Noch einmal ordentlich Kasse machen?
Der zeitlich damit zusammenfallende massive Anstieg von Angriffen mit der Locky-Ransomware lässt sich vor diesem Hintergrund auf mehrere Arten deuten: Vielleicht ist die Brisanz von „Ranscam“ doch nicht so hoch wie von den Hintermännern „normaler“ Ransomware befürchtet (oder potentiellen Opfern erhofft). Oder aber sie stellt einen Versuch dar, jetzt noch einmal ordentlich Kasse zu machen, bevor das Erpressersoftware-Geschäftsmodell in sich zusammenbricht. Natürlich besteht auch die Möglichkeit, dass der „Ranscam-Effekt“ schlichtweg verpufft.
Nicht zahlen, Vorsorge treffen!
Was für Privatanwender mit viel Zeit und Mühe verbunden ist, kann für Unternehmen existenzbedrohend sein. Firmen, die auf ihre Daten nicht mehr zugreifen können, müssen unter Umständen ihren Geschäftsbetrieb einstellen. Der bereits erwähnte Ansatz, auf die Bedrohung durch Erpressersoftware durch rein finanzielle Vorsorge zu reagieren, entpuppt sich spätestens mit „Ranscam“ als falsch.
Denn auch vor „Ranscam“ gab es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.