Patch me if you can: Ransomware 3.0 – der Widerstand wächst

Vor wenigen Wochen feierte „Industrie 4.0“ ein wichtiges Jubiläum: 10 Jahre! Aus IT-Sicht mag das wie eine absurd lange Zeit klingen – Kubernetes etwa wurde erst drei Jahre später geboren. Während die fünfte industrielle Revolution allerdings noch eine Zeit lang auf sich warten lassen dürfte, schalten wir in der IT die Versionsnummern gerne viel schneller hoch.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Was der Philosoph Ludwig Wittgenstein „Familienähnlichkeit“ nannte, versuchen wir in Software zu meiden wie der Daemon das Weihwasser: In der Natur sind Dinge nicht immer geradlinige Fortentwicklungen voneinander, sondern können sich in einer Vielzahl von Aspekten ähneln oder eben unterscheiden. Weil das uns und unsere Supply Chain up- wie downstream in Teufels Küche bringt, bemühen wir uns, lineare Narrative zu erzwingen, was sich woraus logisch entwickelt hat, und dies mit Labels und – noch besser – Zahlen festzuschreiben: Windows 3.11, macOS 11.4, Firefox ESR 78.11.0.

Ich minor ja nur…

Das Erhöhen einer Versionsnummer kann üblicherweise viererlei bedeuten: erstens reine Fehlerkorrekturen (Patchlevel), zweitens rückwärtskompatible neue Funktionen (Minor-Version), drittens nicht rückwärtskompatible Veränderungen der Außenschnittstellen (Major-Version).

Letzteres – das Über-den-Haufen-Werfen des Kontrakts, den unser Betrachtungsgegenstand mit den Nutzerinnen und Nutzern geschlossen hat – sollte also nur mit Bedacht und gutem Grund geschehen. Zum Beispiel, wenn ein Schreiberling auf der Suche nach einem knalligen Titel ist. Denn viertens werden Versionsnummern gerne vor dem Komma inkrementiert, wenn die Marketingabteilung Futter für eine neue Kampagne braucht.

Was bilde ich mir also ein, frech „Ransomware 3.0“ in den Titel zu setzen? Nutzt Emotet jetzt Quantenkryptografie? Verteilt sich TrickBot neuerdings via eingeimpftem Chip? Läuft die Sodinokibi-Ransomware als Smart Contract in einer DeFi-Blockchain (Decentralized Finance)? Keineswegs! Trotzdem erleben wir hier gerade eine Revolution.

Andrew Rose, Resident CISO beim Sicherheitsanbieter Proofpoint, hat im Januar den Begriff Ransomware 3.0 für den Qualitätssprung verwendet, dass Kryptotrojaner Fehler in Daten einbauen und diese zunächst unbemerkt in die Datensicherung hineinlaufen lassen könnten, um Backups zu vergiften und so den Druck zu erhöhen. Das stellt jedoch eher einen Evolutionsschritt im Katz-und-Maus-Spiel dar, in dem Angreifer nach immer neuen Hebeln suchen. So werden schon heute gezielt Backups gesucht und vernichtet, auch wenn dies aufseiten der Angreifer noch ein gerüttelt Maß an Handarbeit benötigt.

Die wahre Veränderung spielt sich zurzeit auf der politischen Ebene ab, quasi in der Arena „Gut“ gegen „Böse“. Man könnte sagen, dass es die Cyberkriminellen mit dem Angriff auf die Colonial-Benzinpipeline im Mai zu weit getrieben haben. Galten bislang Ransomware-Opfer gewissermaßen als bedauernswert, aber irgendwie gefühlt auch „teilweise selbst schuld“, da sie nicht genug vorgesorgt haben, ist nun plötzlich ein starker Staat aufgetreten, ach was, aufgewacht, der in Gestalt des FBI den Verbrechern das erbeutete Geld in Robin-Hood-Manier durch Beschlagnahme wieder abgenommen hat – nachdem er ihnen vorher noch eine Entschuldigung für den angeblich fehlgeleiteten Angriff (moralisch) abgerungen hat.

Klar ist: Ransomware wird es weiterhin geben. Und mit ihren kleinen Quantensprüngen an Gemeinheit wird sie auch immer wieder neue Opfer finden. Klar ist allerdings auch: Zukünftig steht die Kavallerie bereit. Zumindest, wenn der Angriff die „Falschen“ trifft. Der ehemals Wilde Westen des Internet, wo in Bezug auf Security weitgehend Rechtlosigkeit beziehungsweise das Recht des Stärkeren herrschte und jedenfalls das Prinzip Selbstverteidigung galt, wird zwar noch nicht in einen Rechtsstaat, aber in ein wogendes Kräftemessen zwischen Exekutive und Outlaws transformiert.

Dabei dürfte heutige Ransomware historisch rückblickend betrachtet eher immer noch einer Version 0.3 oder sogar 0.0.3 entsprechen. Zu stümper- und fehlerhaft sind viele Ansätze (glücklicherweise) immer noch, zu abhängig davon, dass wir konkrete Fehler machen. Und wie beim Durchimpfen der Bevölkerung wird es erst so richtig spannend, wie sich Ransomware weiterentwickelt, wenn wir immer mehr IT-Betriebe mit sicheren Backups und akzeptabler Detektion ausstatten.

Vier Fäuste für ein Halleluja

Da wir die Geschichte des Wilden Westens kennen, wissen wir, wo beziehungsweise wie es enden wird: Stabilisierung ist in Bezug auf Ransomware nicht so bald zu erwarten. Im Gegenteil, es stehen uns noch wilde(re) Jahre bevor. Aber auf die Dauer wird sich ein Kräftegleichgewicht herausbilden, in das Unternehmen, Cyberkriminelle, Behörden und zwischenstaatliche Organisationen genauso eingebunden sein werden wie Versicherungen und die digitale Zivilgesellschaft. Lediglich die Frage, wie lange die (Ransomware-)Mafia noch einen großen Einfluss auf unser gesellschaftliches Leben haben wird, ist heute noch nicht zu beantworten. Hier kommt es auch sehr auf den politischen Willen aller Beteiligten an.

Übrigens: Technisch könnten wir die semantische Versionierung („MAJOR.MINOR.PATCH“) sowieso zugunsten von Rolling Ransom Releases aufgeben: „Ryuk 2107 LTI (Long Term Instability)“ macht doch gleich viel mehr Sinn.

(ur)