Ransomware – vom Schadcode auf Diskette bis zu modernen Strategien
Wussten Sie, dass es erpresserischen Schadcode schon seit den 80er-Jahren gibt? Ein Dreiteiler auf heise+ erzählt die spannende Geschichte der Ransomware.
(Bild: WhataWin, Shutterstock.com / bearbeitet durch heise online)
Während es Malware-Kategorien wie "Virus" oder "Trojaner" gefühlt schon ewig gibt, existiert Ransomware in der Wahrnehmung vieler erst seit ein paar Jahren. Doch weit gefehlt: Erpresserische Malware als eine der derzeit größten Bedrohungen im Bereich Cybercrime hat zeitlich und technisch betrachtet schon einen weiten Weg hinter sich.
Eine dreiteilige Artikelreihe auf heise+ liefert spannenden und hochaktuellen Lesestoff für die Feiertage. Sie spürt der Entwicklung der Ransomware von den Anfängen bis in die Gegenwart nach. Dabei beleuchtet sie sowohl die technische Umsetzung und Optimierung als auch die allmähliche Professionalisierung der kriminellen Strukturen, die die Grundlage heutiger Millionen-Erpressungen bilden.
Schadcode per Post & Wettlauf gegen die AV-Industrie
Den ersten Trampelpfad auf dem Weg zur wirkungsvollen Erpressung ebnete Ende der 80er-Jahre ausgerechnet ein Wissenschaftler. Der exzentrische Evolutionsbiologe Dr. Popp verschickte die allererste Ransomware, getarnt als medizinisches Informationsprogramm, auf Diskette. Dabei folgte er einer Strategie, die man rückblickend als frühes Spear-Phishing bezeichnen würde: Zu den Empfängern der rund 20.000 Disketten zählten neben Abonnenten einer Computerzeitschrift speziell auch Ärzte und medizinische Einrichtungen. Mit dem als "Aids-Trojaner" bekannt gewordenen Schadcode und wissenschaftlichen Veröffentlichungen, die spätere Erpresser inspirierten, befasst sich Teil 1 der Artikelreihe:
Nach einer längeren Pause trat 2004 eine neue Ransomware in die Fußstapfen des Aids-Trojaners. Der verschlüsselnde "GPCode" nutzte die Vorzüge des World Wide Web als Verbreitungsweg und feilte bis 2011 an einer "unknackbaren" Verschlüsselung. Teil 2 der Artikelreihe beschreibt das jahrelange Kopf-an-Kopf-Rennen zwischen GPCode-Entwickler und Anti-Virensoftwareindustrie.
Erpressung im Namen des Gesetzes
(Bild: evild3ad.com)
Auf GPCode folgten nervige Screenlocker, an die sich viele Leser noch erinnern dürften: Etwa ab 2011 boomte die Erpressungsstrategie des Blockierens statt Verschlüsselns. Als Vorwand des auch BKA-Trojaner genannten Schadcodes dienten Polizei-Logos und angeblich verübte Straftaten. Dahinter verbarg sich letztlich aber nichts als heiße Luft und zumeist war eine Datenrettung gut machbar. Ab 2013 besannen sich Ransomware-Entwickler deshalb zurück auf Verschlüsselung als wirksameres Druckmittel, das bis heute als Erpressungstaktik vorherrscht.
Der dritte und letzte Teil schildert diese Phase des Experimentierens, zeigt aber auch, wie moderne Ransomware mit neuen, brandgefährlichen Taktiken ihren Weg zur perfekten Erpressung fortsetzt:
(ovw)