Was ist Ransomware?

Was ist Ransomware?

Ransomware ist eine Art schädlicher Software (Malware), die den Zugriff auf das Computersystem des Opfers oder dessen Daten blockiert, normalerweise indem sie die Daten verschlüsselt. Die Angreifer fordern dann ein Lösegeld (englisch "ransom") vom Opfer, um den Zugriff wiederherzustellen. Das Opfer erhält nach der Zahlung des Lösegelds (oft in Kryptowährungen wie Bitcoin) in der Regel einen Entschlüsselungsschlüssel oder Anweisungen zur Wiederherstellung des Zugriffs auf die betroffenen Daten. Der Begriff "Ransomware" setzt sich aus den englischen Wörtern "ransom" (Lösegeld) und "software" (Software) zusammen, was die grundlegende Funktionsweise dieser Bedrohung beschreibt.

Erläuterung des Begriffs / Definition:

• Ransom: Dies ist das Lösegeld, das von den Angreifern gefordert wird. Es ist der Betrag, den das Opfer zahlen muss, um wieder Zugang zu seinen verschlüsselten Daten zu erhalten.
• Ware: Dieser Teil des Begriffs stammt aus "Software" und weist darauf hin, dass es sich um ein Programm oder eine Anwendung handelt, die entwickelt wurde, um den Computer oder die Daten des Opfers zu schädigen oder zu sperren.
  

Ransomware kann auf verschiedene Weise verbreitet werden, einschließlich Phishing-E-Mails, infizierte Software-Downloads oder durch Sicherheitslücken in Netzwerken und Software. Die Auswirkungen eines Ransomware-Angriffs können verheerend sein, insbesondere für Unternehmen und Organisationen, da sie den Zugang zu kritischen Daten und Systemen verlieren können, was zu erheblichen Betriebsunterbrechungen und finanziellen Verlusten führt.

Wie funktioniert Ransomware?

Um ein System mit Ransomware anzugreifen, muss sich ein Hacker zunächst Zugang zu diesem System verschaffen. Die Methoden, um sich Zugang zu verschaffen, sind durch Zero-Day- oder ungepatchte/unbekannte Exploits ziemlich raffiniert geworden.Sie beginnen oft mit einem Phishing-Angriff, einer bösartigen E-Mail, kompromittierten E-Mail-Anhängen, aggressiven Computerwürmern, der Ausnutzung von Sicherheitslücken, gezielten Angriffen oder Click-Jacking (das Einfügen von alternativen Hyperlinks in legitime anklickbare Inhalte).

Selbst wenn auf dem System ein Virenschutzprogramm installiert ist, könnte sich die Angreifer unbemerkt einschleichen oder möglicherweise Schäden auf Dateiebene verursachen, wenn das Virenschutzprogramm die Signatur der Malware nicht in seinen Dateien hat oder nicht in Echtzeit scannt. Ein Computer im Netzwerk ermöglicht dem Angreifer auch den Zugriff auf andere angeschlossene Rechner und Speichergeräte. 

Arten von Malware / Ransomware

Es gibt zwei Hauptarten von Ransomware: Screenlocker und Verschlüsselungsprogramme.

Verschlüsselungsprogramme verschlüsseln die Daten des Systems und erfordern einen Entschlüsselungsschlüssel zur Wiederherstellung. Screenlocker verhindern den Zugriff auf ein Computersystem mit einem gesperrten Bildschirm.

Bei beiden Arten wird in der Regel ein Sperrbildschirm verwendet, um den Benutzer darüber zu informieren, dass die Ransomware die Kontrolle übernommen hat. Diese Meldung enthält auch den Zahlungsbetrag und Informationen darüber, wie Sie den Zugriff auf die Daten oder die Kontrolle über das System wiedererlangen können, in der Regel durch einen Entschlüsselungscode oder einen anderen Code. Die Nachricht enthält oft eine Warnung, dass die Daten gelöscht oder veröffentlicht werden, wenn keine Zahlung erfolgt. 

Während Angreifer traditionell Lösegeld über Geschenkkarten, Überweisungen oder Prepaid-Bargelddienste forderten, werden heute vor allem Bitcoin und andere Kryptowährungen als Zahlungsmittel eingesetzt. Das Problem ist, dass die Zahlung des Lösegelds keine Garantie dafür ist, dass Benutzer und die betroffenen Unternehmen die Kontrolle über ihre Daten zurückerhalten.

Heutzutage exfiltriert die meiste Ransomware Daten, bevor sie den Verschlüsselungsprozess ausführt, was zu einem Verlust der Datenkontrolle und Verstößen gegen Richtlinien wie HIPAA oder PCI führt. Es gibt keine Garantie dafür, dass die Daten vollständig aus der Kontrolle eines Eindringlings zurückerhalten werden. Manchmal können Angreifer sogar noch mehr Malware auf einem System installieren, nachdem sie das Lösegeld erhalten und die Daten wieder in die Hände des Unternehmens gegeben haben. 

Welche Branchen sind besonders betroffen?

Ransomware kann eine Vielzahl von Zielen angreifen, von Heimcomputern bis hin zu großen, vernetzten IT-Systemen internationaler Unternehmen. Jedes internetfähige Gerät ist potenziell gefährdet.

Ransomware umfasst Organisationen unterschiedlichster Größe und Branche weltweit, dennoch haben Experten bestimmte Muster festgestellt. Einige Branchen sind besonders anfällig, da sie große Mengen sensibler Daten speichern oder weil ein Angriff dort besonders verheerend wäre. Zu den bevorzugten Zielen gehören typischerweise:

• Banken und Finanzdienstleister
• Gesundheitseinrichtungen
• Herstellende Industrie
• Energie- und Versorgungsunternehmen
• Regierungsbehörden
• Bildungseinrichtungen

Diese Sektoren sind aufgrund der möglichen erheblichen Schäden und der hohen Menge an sensiblen Daten besonders attraktiv für Angreifer.

Verbreitung von Ransomware

Ransomware kommt immer häufiger vor, da sich die Angriffsmethoden weiterentwickeln und Hacker Umgehungsmöglichkeiten für Abwehrmaßnahmen finden. Tatsächlich gab es im zweiten Quartal 2021 insgesamt 304,7 Millionen Angriffe (über 3 Millionen Angriffe pro Tag), und das FBI hat eine Warnung herausgegeben, dass 100 neue Ransomware-Stämme jetzt rund um den Globus zirkulieren. Vergleichen Sie diese 304,7 Millionen Angriffe in einem einzigen Dreimonatszeitraum mit den 304,6 Millionen Ransomware-Attacken, die im gesamten Jahr 2020 verzeichnet wurden. 

Und das sagen andere Experten:

• Eine IDC-Studie zu Ransomware 2021 ergab, dass etwa 37 % der Unternehmen weltweit angaben, im Jahr 2021 Opfer einer Form von Ransomware-Angriffen gewesen zu sein. 
• Das Internet Crime Complaint Center des FBI meldete, dass in der ersten Hälfte des Jahres 2021 über 2.000 Ransomware-Beschwerden eingegangen waren. Diese Zahl entspricht einem Anstieg von 62 % im Vergleich zum Vorjahr. 
• Bei einigen der Ziele handelt es sich auch um höchst kritische Systeme. Nach Angaben der Cybersecurity and Infrastructure Security Agency gab es in letzter Zeit Ransomware-Vorfälle in 14 der 16 kritischen US-Infrastruktursektoren.

Ransomware-Beispiele

• WannaCry – Eines der heute bekanntesten Ransomware-Systeme. Dabei handelte es sich um einen verschlüsselnden Computerwurm, der im Mai 2017 veröffentlicht wurde. Unter verschiedenen ähnlichen Namen (WannaCrypt, WCry usw.) zielte er auf Systeme mit veralteten Versionen von Microsoft Windows ab. Der Wurm infizierte etwa 200.000 Computer in 150 Ländern und verursachte wahrscheinlich Schäden in Milliardenhöhe. 
• CryptoLocker – Dieser Verschlüsselungstrojaner war zwischen 2013 und 2014 aktiv. Er verbreitete sich über ein bösartiges Botnet und infizierte E-Mail-Anhänge, bei denen es sich vermeintlich um Benachrichtigungen zur Paketverfolgung handelte. Dies war eines der ersten Systeme, das Bitcoin als Zahlungsmittel verlangte.  
• Petya – Als Teil einer Ransomware-Familie, die seit 2016 aktiv ist, beschädigt Petya den Master Boot Record des betroffenen Computers, löscht den Windows-Bootloader und erzwingt einen Neustart. Wenn sich das System nach dem Neustart wieder einschaltet, verschlüsselt die Malware wertvolle Daten und Bitcoin wird als Lösegeld gefordert. 
• NotPetya – Verwendet ähnliche Taktiken wie Petya und gilt als einer der schädlichsten Angriffe. Sie infiziert und verschlüsselt ebenfalls den Master Boot Record eines Computers und verbreitet sich über einen Wurm ähnlich wie WannaCry. Einige Experten bezeichnen NotPetya als „Wiper“, weil die Ransomware ihre Änderungen am System nicht rückgängig machen kann, so dass ein Angriff das System im Wesentlichen nicht wiederherstellbar macht. 
• Bad Rabbit – Diese Ende 2017 entdeckte Ransomware verbreitet sich über ein falsches Adobe Flash-Update und verschlüsselt die Dateitabellen eines Systems. Sie hatte mehrere wichtige Ziele in der Ukraine und Russland im Visier, darunter den internationalen Flughafen von Odessa und das ukrainische Ministerium für Infrastruktur. 
• Locky – Wurde 2016 veröffentlicht und verbreitete sich über eine E-Mail bezüglich einer scheinbar nicht bezahlten Rechnung. Als die Benutzer den Anhang öffneten, sahen sie eine Seite voller Kauderwelsch mit dem Link „Aktivieren Sie das Makro, wenn Datenkodierung falsch ist“. Wenn der Link angeklickt wurde, verschlüsselte ein Verschlüsselungstrojaner alle Dateien mit einer bestimmten Erweiterung. 
• REvil – Stiehlt Daten, bevor sie verschlüsselt werden. Selbst wenn die Opfer das Lösegeld nicht bezahlen, können die Angreifer sie mit der Drohung, ihre sensiblen Daten zu veröffentlichen, zur Zahlung zwingen. 

Die geschäftlichen Auswirkungen

Ransomware kann ein Unternehmen in mehrfacher Hinsicht kritisch beeinträchtigen. Der erste und offensichtlichste Effekt ist finanzieller Natur. Nach Angaben des Financial Crimes Enforcement Network des US-Finanzministeriums wurden in der ersten Hälfte des Jahres 2021 590 Millionen Dollar für Ransomware ausgegeben. Für das gesamte Vorjahr meldete die Agentur nur 416 Millionen Dollar für dieselben Kosten. Selbst wenn das Lösegeld nicht bezahlt wird, können Firmen aufgrund des Produktivitäts- und Datenverlusts erhebliche finanzielle Verluste erleiden. 

Neben dem finanziellen Schaden kann Ransomware auch den Ruf eines Unternehmens schädigen, wenn sich der Angriff herumspricht oder wenn der Angreifer sensible oder vertrauliche Daten des Opfers veröffentlicht. Rechtsstreitigkeiten im Zusammenhang mit Ransomware-Angriffen können teuer und zeitaufwendig sein und die Mitarbeiter einer Firma von ihrer täglichen Arbeit abhalten. Der National Health Service (NHS) in Großbritannien ist ein warnendes Beispiel für Verluste in Höhe von über 100 Mio. USD aufgrund von Terminabsagen und Ausfallzeiten.

Branchenspezifische Bußgelder können ebenfalls katastrophale Auswirkungen haben, da sie die Kosten für Lösegeld und Wiederherstellung exponentiell erhöhen.

Wie kann man sich vor Ransomware schützen?

• Implementieren Sie Defense-in-Depth-Sicherheit. Mehrere Schichten, die Ihr System durchgängig schützen, sind ein kluger Schritt, um das Risiko von Ransomware und anderen Cyberangriffen zu reduzieren. 
• Klären Sie Ihr Personal über Ransomware und deren Verbreitung auf. Machen Sie Ihre Mitarbeiter auf die verschiedenen Möglichkeiten aufmerksam, wie Angreifer in ein System eindringen können. Dazu gehören Social Engineering und die Übermittlung falscher Dokumente und Anhänge, die Benutzer dazu verleiten, darauf zu klicken. 
• Überwachen Sie Ihre Systeme und erstellen Sie regelmäßig Sicherungskopien Ihrer Daten. Verwenden Sie Überwachungstools, um die IT-Abteilung auf ungewöhnliches Datenzugriffsverhalten und untypischen Datenverkehr aufmerksam zu machen. Außerdem können Sie das Risiko eines Datenverlusts minimieren, indem Sie Sicherungskopien Ihrer Daten anfertigen, von denen mindestens eine Kopie extern aufbewahrt wird. 
• Halten Sie sich an die Zeitpläne für Patches. Da Ransomware in der Regel über bestehende Schwachstellen in ein System eindringt, können regelmäßige Updates dazu beitragen, diese Angriffspunkte zu schließen. 
• Entwickeln und trainieren Sie Reaktionsstrategien. Wenn Sie im Vorfeld planen, können Sie schnell und effizient auf einen Angriff reagieren. Die Vorbereitung mit einer Tabletop-Übung trägt auch dazu bei, dass jeder im Unternehmen weiß, was im Falle eines Angriffs zu tun ist. 
• Sorgen Sie für sichere E-Mails und sicheres Surfen im Internet. E-Mails sind eine häufig genutzte Möglichkeit, wie Ransomware in ein System gelangt. Sie können sichere E-Mail-Gateways nutzen, die potenziell gefährliche E-Mails identifizieren und blockieren und vor zweifelhaften Anhängen und URLs schützen. Ebenso können Web-Gateways den Online-Traffic überwachen, um verdächtige Anzeigen oder Links zu erkennen. 
• Schützen Sie mobile Geräte. Einige Lösungen zur Verwaltung mobiler Geräte können Benutzer auf potenziell böswillige Anwendungen oder Nachrichten hinweisen, die über ein mobiles Gerät empfangen werden. 
• Schränken Sie die administrativen Rechte ein. Vergewissern Sie sich, dass Sie wissen, wer über Admin-Zugriff verfügt, und stellen Sie sicher, dass Sie den Zugriff und die Privilegien widerrufen, wenn Mitarbeiter das Unternehmen verlassen. 
• Setzen Sie Anwendungen auf die Whitelist. Diese Praxis kann Risiken reduzieren, indem sie die Ausführung bestimmter Anwendungen auf einem Gerät oder Computer zulässt, während andere, die nicht speziell autorisiert wurden, blockiert werden. Dies kann der IT-Abteilung helfen, Installationen durch nicht autorisierte Benutzer zu verhindern und böswillige Versuche zu blockieren Malware-Code auszuführen. 
• Übernehmen und implementieren Sie eine Zero Trust-Strategie und -Architektur. Zero Trust schafft eine Struktur und Kontrollmechanismen rund um das Konzept „niemals vertrauen, immer verifizieren“. Dieses grenzenlose Konzept bedeutet, dass Geräten standardmäßig nicht vertraut werden sollte, selbst wenn sie mit einem Netzwerk mit Berechtigung verbunden sind, wie z. B. einem Firmen-LAN, und selbst wenn sie zuvor verifiziert wurden.
• Nutzen Sie die verwaltete Trennung von Anwendungsnetzwerken durch Mikrosegmentierung. Die Mikrosegmentierung nutzt ein Sicherheitsrichtlinienmodell auf Anwendungs-, VM- oder Datenebene, um den Netzwerkverkehr zu und von Ihren Workloads zu kontrollieren. Mit einer so genannten verwalteten Software-Firewall stellen die von einer Mikrosegmentierungslösung implementierten Richtlinien sicher, dass nur der von Ihnen gewünschte Datenverkehr durch bestimmte Anwendungen fließen kann, ohne unerwünschte Netzwerkrisiken zu erhöhen.

Brauche ich einen Schutz vor Ransomware? 

Datensicherheit sollte für jedes Unternehmen, ob groß oder klein, ein wichtiges Anliegen sein. Ransomware-Sicherheit und -Schutz ist ein mehrschichtiger Ansatz, der sich auf die für Ihr Betrieb kritischen Angriffsvektoren konzentriert. Ihre Computer-Betriebssysteme verfügen möglicherweise über integrierte Sicherheitsfunktionen, die das Risiko eines Angriffs verringern können, wie z. B. einen erweiterten Anti-Malware-Schutz für Endgeräte.Nichtsdestotrotz ist es von entscheidender Bedeutung, auch auf der Ebene der Infrastruktur, der Netzwerke und der Daten weitere Schichten für einen robusten, ganzheitlichen Schutz hinzuzufügen. Diese Art von Strategie wird als „Defense-in-Depth“ bezeichnet und stellt sicher, dass selbst ein erfolgreicher Ransomware-Angriff viel weniger Auswirkungen oder einen geringeren Zerstörungsradius hat als ohne.

Zero Trust ist eine führende Strategie zum Schutz vor Ransomware. In Verbindung mit Zero Trust Network Access (ZTNA) schafft Zero Trust kritische Kontrollpunkte für den Zugriff auf jeder Ebene des Technologie-Stacks, nicht nur an der Perimetergrenze zu vertrauenswürdigen Netzwerken, die traditionell von Passwörtern und VPNs gebildet wurde.

Ein einziger Authentifizierungspunkt ist zwar immer noch wichtig für die Sicherheit, bietet aber in der Regel einen umfassenden Zugriff auf Ressourcen. Zero Trust hingegen schafft mehrere Authentifizierungspunkte und richtet sich danach, was ein Benutzer benötigt, und nicht danach, worauf er Zugriff hat.

Was tun nach einem Ransomware-Angriff?

Vorbeugung ist zwar der beste Weg, um Schäden durch Ransomware-Angriffe zu vermeiden, aber es ist dennoch eine gute Idee, zu planen, wie Ihr Unternehmen im Falle eines Angriffs reagieren sollte. Hier finden Sie einige Best Practices für das Verhalten.

Bleiben Sie ruhig und reagieren Sie mit Ihrem Geschäftskontinuitätsplan

Es ist nicht einfach, wenn Sie keinen Zugriff mehr auf Ihre wichtigen Geschäftsdateien haben oder mit der Gefahr einer Datenlöschung konfrontiert werden. Aber es ist wichtig, dass Sie ruhig bleiben und die Situation umfassend einschätzen, bevor Sie handeln. Die Vorausplanung einer auf geschäftskritische Vorgänge ausgerichteten Reaktion kann helfen, in diesem Bereich Prioritäten zu setzen und dafür zu sorgen, dass alle Beteiligten wissen, was zu tun ist, um auf den Angriff zu reagieren. 

Kontaktieren Sie Ihre Notfallteams

In der Regel sollten Sie über ein internes Notfallteam verfügen oder an Dinge wie eine Cyberversicherung angebunden sein, die Ihnen bei der Organisation und Priorisierung Ihrer Reaktion helfen kann.

Melden Sie den Vorfall den Behörden

In Deutschland ist https://www.bsi.bund.de/ eine Ressource, um Ransomware zu melden und die Unterstützung der Bundesbehörden zu erhalten. 

Dokumentieren Sie den Ransomware-Hinweis

Machen Sie ein Foto der Ransomware-Nachricht, das ist hilfreich, wenn Sie eine polizeiliche Anzeige einreichen.

Identifizieren Sie, welche Systeme kompromittiert wurden – und isolieren Sie diese

Ransomware kann andere vernetzte Computer und Geräte infizieren. Stellen Sie die betroffenen Anlagen so schnell und vollständig wie möglich unter Quarantäne. Das kann bedeuten, dass Sie die betroffenen Rechner vom Netzwerk trennen müssen. 

Schalten Sie automatische Wartungsaufgaben sofort aus

Deaktivieren Sie Aufgaben auf den betroffenen Systemen, wie z. B. die Protokollrotation oder das Entfernen temporärer Dateien, und schalten Sie alle betroffenen Geräte aus. Dadurch wird verhindert, dass diese Aufgaben einzelne Dateien verändern, die Sie später für Untersuchungen und Analysen benötigen. 

Trennen Sie alle Datensicherungen

Da die neuesten Ransomware-Stämme versuchen, eine Wiederherstellung zu verhindern, indem sie auf Ihre Backups zugreifen, trennen Sie diese vom Netzwerk. Es ist auch klug, den Zugriff auf die Backups zu verhindern, bis die Ransomware-Malware entfernt ist. 

Prüfen Sie die Konsistenz von Datensicherungen

Wenn vertrauenswürdige Backups nicht mehr verbunden sind, überprüfen Sie den Status und die Konsistenz der Backups mit einem bekannten sauberen Endpunkt. Neuere Ransomware-Angriffe zielen zunehmend auf Backups ab, um die Zahlung eines Lösegelds zu erreichen. 

Versuchen Sie festzustellen, welche Ransomware Ihr System infiziert hat.

Wenn Sie herausfinden können, welcher Ransomware-Stamm Sie befällt, können Sie ihn leichter bekämpfen. Zu den kostenlosen und hilfreichen Online-Diensten gehören ID Ransomware und ein Online-Tool zur Identifizierung von Ransomware von Emsisoft. Auf diesen Seiten können Sie ein Bild der Lösegeldforderung und eine Probe der verschlüsselten Daten hochladen. Die Seiten versuchen dann, den Stamm für Sie zu identifizieren. 

Verwenden Sie Entschlüsselungstools, um zu sehen, ob Sie weitere Aktionen abwenden können 

Es gibt viele Online-Tools, die Ihnen bei der Entschlüsselung erbeuteter Daten helfen – wie z. B. No More Ransom. Wenn Sie den Namen der Ransomware kennen, ist das hilfreich. Suchen Sie nach den neuesten Entschlüsselungen am Ende der Liste. 

Setzen Sie Online- und Kontopasswörter zurück

Erstellen Sie neue Passwörter für Ihre Online-Konten und Anwendungen, sobald Sie die betroffenen Systeme von Ihrem Netzwerk getrennt haben. Ändern Sie diese alle erneut, sobald die Ransomware vollständig entfernt wurde. 

Entscheiden Sie, ob Sie das Lösegeld zahlen oder nicht

Diese Entscheidung ist nicht einfach, und es gibt sowohl Vor- als auch Nachteile, wenn Sie das Lösegeld zahlen oder nicht zahlen. Beachten Sie jedoch, dass Sie ein Lösegeld nur dann bezahlen sollten, wenn Sie bereits alles andere versucht haben und feststellen, dass der Datenverlust schwerwiegender ist als die Zahlung. 

Ziehen Sie Experten hinzu, um die Bedrohung vollständig zu eliminieren

Stellen Sie im Rahmen Ihres Cyber-Notfallplans sicher, dass ein bewährter und vertrauenswürdiger Experte eine Ursachenanalyse durchführt, um die Schwachstellen des Systems zu ermitteln und herauszufinden, welche Systeme betroffen waren. Die Bereinigung und die abschließenden Untersuchungen sollten ebenfalls von einem Experten durchgeführt werden. Angreifer können alle Arten von Hintertüren und unbekannten Zugängen zu Ihrem System nutzen.

Priorisieren Sie die Systemwiederherstellung

Dies sollte in Ihrem Geschäftskontinuitätsplan genau definiert sein. Wenn das nicht der Fall ist, ermitteln Sie die Systeme und Daten, die für Ihren Geschäftsbetrieb am wichtigsten sind und deren Wiederherstellung oberste Priorität hat. Dies sind Anlagen, die sich auf den Umsatz und die Produktivität auswirken. 

Führen Sie einen Post-Mortem-Angriff durch

Um künftige Zwischenfälle zu verhindern, ist es wichtig zu verstehen, wie ein Ransomware-Vorfall in allen technischen Details abgelaufen ist. Dies wird auch zu neuen Sicherheitsinitiativen und -schwerpunkten führen.

Lassen Sie sich von Experten beraten, um die Sicherheit zu verbessern

Im Fall von Ransomware kann der Blitz zweimal einschlagen. In der Tat kommt es ziemlich häufig vor, dass ein Unternehmen von einem zweiten Angriff betroffen ist. Wenn die Schwachstelle, die es dem Angreifer ermöglichte, in das System einzudringen, nicht identifiziert wird, könnte sie erneut genutzt werden. Nutzen Sie vertrauenswürdige Partner oder Vorschläge von Ihrem Notfallteam, um die Sicherheitsmaßnahmen auf breiter Front zu verbessern.