Der AvosLocker – Ein neues Werkzeug der digitalen Geiselnehmer
Autor:in
Lisa Wossal & Andre HechenbergerDer AvosLocker ist eine neue Ransomware-Variante und seit Juni 2021 aktiv. Er verschlüsselt Dateien auf dem befallenden Windows-System, welche dadurch nicht mehr geöffnet werden können oder nicht mehr lesbar sind. Typisch für Ransomware-Attacken ist die daraufhin folgende Forderung nach Lösegeld – im Fall des AvosLockers eine Bezahlung für die Entschlüsselung der Dateien.
“Ransomware-Angriffe sind nicht einfach mehr nur ein gewinnbringendes Mittel der organisierten Kriminalität. Ihre schwerwiegenden Auswirkungen sind mit gezielten Sabotage-Akten zu vergleichen. Um Ransomware bilden sich ganze Ökosysteme an Dienstleistungen und Plattformen. Die Auswirkung: Es kann jeden treffen, überall.”
Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik, findet im Rahmen der Veröffentlichung des IT-Sicherheitslagebildes drastische Worte. Eine bestimmte Form dieser “Geiselnehmer-Software”(Ransomware) ist der AvosLocker Virus.
Und plötzlich sind die Daten weg
Diese Ransomware-Variante verschlüsselt Daten auf dem angegriffenen System. Die betroffenen Daten kriegen eine „.avos“ Erweiterung in ihrem Dateinamen. So wird zum Beispiel aus der Datei quartalsbericht.xlsx die Datei quartalsbericht.xlsx.avos. Dadurch wird der Inhalt unzugänglich. Der AvosLocker nutzt zwei starke Verschlüsselungsalgorithmen: AES – um Daten zu verschlüsseln und RSA – um generierte AES-Schlüssel zu verschlüsseln. Das ist eine übliche Kombination, die von vielen Ransomware-Varianten genutzt wird und eine starke Verschlüsselung garantiert.
In jedem befallenen Ordner befindet sich dann noch eine weitere Datei namens GET_YOUR_FILES_BACK.txt. In dieser Textdatei geben die Angreifenden den Hinweis, dass die Daten mit einem AES-Schlüssel (Advanced Encryption Standard) verschlüsselt wurden. Sie raten dazu, den Computer während des Verschlüsselungsprozesses nicht herunterzufahren, da Daten sonst beschädigt werden können. Es folgt die Aufforderung zur Zahlung für die Entschlüsselung mit einem Link zu einer Onion-Website. Auf der Website gibt es verschiedene Inhalte: Auf der Leak-Seite werden die Namen der letzten Angegriffenen und ein Beweis für die gestohlenen Daten veröffentlicht. Zu ihrem individuellen Bereich kommen Betroffene durch Eingabe einer ID, die sich ebenfalls in der Textdatei finden lässt. Neben dem nochmaligen Hinweis, dass der Kauf der Entschlüsselung die einzige Möglichkeit ist, die Daten zurückzubekommen, finden Betroffene dort konkrete Angaben und Forderungen. In einer Notiz wird erwähnt, um welche Daten es sich handelt, zum Beispiel Sozialversicherungsnummern, finanzielle Dokumente etc. Häufig folgt an dieser Stelle die Drohung, dass die entsprechenden Daten veröffentlicht werden, sollte keine Kooperation stattfinden. Weiterhin befindet sich auf der Website ein Countdown, der den aktuellen Preis und die verbleibende Zeit zur Kooperation anzeigt. Auch eine Test-Entschlüsselung wird angeboten: Die Angegriffenen können testweise eine verschlüsselte Datei hochladen, um zu verifizieren, dass diese erfolgreich entschlüsselt werden kann. Ein Support-Modul lässt bei weiteren Fragen die Interaktion mit einem Support-Bot zu.
Wenn Kriminelle erst mal die eigenen Daten als Geisel genommen haben und Lösegeld fordern, ist es meist zu spät. Die Entschlüsselung ohne den Kontakt zur angreifenden Person ist nahezu unmöglich. Trotzdem wird geraten, nicht mit den Angreifenden zu kommunizieren oder zu zahlen. Denn es gibt keine Garantie, dass die Cyberkriminellen die Daten nach der Zahlung auch wirklich wieder frei geben.
Wie konnte das passieren?
Der AvosLocker gelangt über zwei Wege auf den Rechner, um die Daten zu kidnappen: E-Mail-Spam und Trojaner. Oftmals werden unvorsichtige Anwender:innen durch E-Mails dazu gebracht Anhänge zu öffnen, in denen sich der Avos-Verschlüsseler befindet. Der Kreativität sind hierbei keine Grenzen gesetzt. Egal, ob es sich um vermeintliche Urlaubsbilder, eine Rechnung, oder eine Paketbenachrichtigung handelt, sobald die Datei geöffnet wird, beginnt die Verschlüsselung der Daten.
Auch die Trojaner, welche zur Installation der Avos-Verschlüsselung genutzt werden können, kommen durch raffinierte Täuschungen auf den Firmenrechner. So stehen im Internet Installationsdateien bereit, welche als Updates für Ihren Browser, oder andere Programme getarnt sind. Lädt man diese “Updates” herunter und führt sie aus, verschlüsselt AvosLocker die Daten des Opfers und die Cyberkriminellen erpressen Lösegeld.
Wie kann man sich schützen?
Ransomware-Attacken sind eine grundlegende Bedrohung für Unternehmen und Einzelpersonen. Neben der Gefahr, wertvolle Daten zu verlieren, bedeutet ein Angriff meist einen finanziellen Verlust, einen Rückgang der Produktivität und einen Vertrauensverlust der Kundschaft. Wenn der AvosLocker ein System einmal verschlüsselt hat, hat man schlechte Karten. Der AvosLocker muss vom Betriebssystem entfernt werden, was die verschlüsselten Daten aber nicht wiederherstellt. Die einzige Lösung ist, die Daten von einem Backup wiederherzustellen.
Um zu verhindern, dass Kriminelle auf das System kommen und Daten stehlen, hilft also nur eins: Vorsicht. Legen Sie regelmäßige Backups an, die an unterschiedlichen Orten – also auch auf anderen Servern oder nicht verbundenen Speichermedien – gespeichert werden, und testen Sie regelmäßig, diese wiederherzustellen. Halten Sie Ihre Software stets aktuell. Verringern Sie Ihre Angriffsfläche, indem Sie ungenutzte oder unwichtige Programme entfernen. Nutzen Sie starke Passwörter und Multi-Faktor-Authentifizierungen. Und vor allem: Sensibilisieren Sie regelmäßig Ihre Mitarbeitenden im Umgang mit verdächtigen E-Mails und unseriösen Updates. Um die Resilienz Ihrer Mitarbeitenden zu messen und ggf. gezielt nachzubessern, können Sie beispielsweise den Increase Your Skills Phishing-Attack-Simulator nutzen. Hier können Sie in einer sicheren Umgebung messen wie Ihre Mitarbeitenden auf Phishingangriffe reagieren. Denn bei einem echten Angriff reicht ein einziger Fehler und schon ist Ihr Unternehmen in der Hand der digitalen Geiselnehmer.