Ransomware

Das Wort “Ransom” stammt aus dem Englischen und bedeutet “Lösegeld”. Genau dies ist der Zweck der Ransomware, weshalb sie auch als Erpressersoftware bezeichnet wird. Ransomware ist eine Art von Schadsoftware, die entweder den Zugriff auf einen Computer blockiert oder darauf gespeicherte Daten verschlüsselt. Die Angreifer fordern ein Lösegeld und versprechen, den Zugriff erst nach Zahlung wiederherzustellen.

Der moderne Ransomware-Wahn begann mit dem WannaCry-Ausbruch im Jahr 2017. Dieser groß angelegte und öffentlichkeitswirksame Angriff demonstrierte das Potenzial und die Profitabilität von Ransomware-Angriffen. Seither wurden Dutzende von Ransomware-Varianten entwickelt und in einer Vielzahl von Angriffen eingesetzt. Die Idee geht aber auf den September 1989 zurück, als das Trojanische Pferd AIDS in Form von Disketten per Post an eine Vielzahl von Forschungseinrichtungen versandt wurde. Nach einer gewissen Zeitspanne begann das Programm, die Daten auf der Festplatte zu verschlüsseln.

Ein erfolgreicher Ransomware-Angriff kann für ein Unternehmen unterschiedliche Konsequenzen haben.

• Finanzielle Verluste
• Datenverlust
• Datenpanne
• Ausfallzeiten
• Imageverlust
• Rechtliche und regulatorische Sanktionen

Arten von Ransomware

Die zunehmende Verbreitung von Ransomware hat dazu geführt, dass Ransomware-Angriffe immer komplexer geworden sind. Die folgende Übersicht zeigt die häufigsten Arten von Ransomware:

• Screen locker: Die Programme sperren den Computer des Opfers, um den Zugriff auf Dateien und Daten zu verhindern. In der Regel wird eine Meldung angezeigt, die eine Zahlung zum Entsperren verlangt.
• Verschlüsselnde Ransomware: Bei dieser Art von Ransomware, auch “Crypto-Ransomware” genannt, werden die Dateien des Opfers verschlüsselt. Im Anschluss wird gegen Zahlung eines bestimmten Betrags die Aushändigung des Entschlüsselungsschlüssels versprochen.
• Leakware oder Doxware: Bei Leakware bzw. Doxware handelt es sich um eine Form von Ransomware, die zum Ziel hat, vertrauliche Daten zu stehlen oder auszulesen und mit deren Veröffentlichung zu drohen. Während frühere Formen von Leakware oder Doxware oft Daten stahlen, ohne sie zu verschlüsseln, tun die heutigen Varianten in der Regel beides.
• Wiper: Wiper oder destruktive Ransomware drohen damit, Daten zu zerstören, sofern das Opfer nicht bereit ist, das geforderte Lösegeld zu zahlen. In einigen Fällen erfolgt eine Datenzerstörung durch die Ransomware, selbst wenn das Opfer den geforderten Betrag beglichen hat.

Wie infiziert Ransomware Systeme?

Ransomware-Angriffe nutzen eine Vielzahl von Methoden bzw. Angriffsvektoren, um ein Netzwerk oder Gerät zu infizieren. Zu den bekanntesten Ransomware-Infizierungsvektoren zählen:

• Phishing und andere Social Engineering
• Sicherheitslücken in Betriebssystemen und Software
• Ungeschützte Fernzugänge
• Fehlerhafte Konfigurationen
• Andere Malware
• Herunterladen infizierter Dateien

Phasen eines Ransomware-Angriffs

Für Sicherheitsteams ist das Verständnis des Ablaufs eines Ransomware-Angriffs von essenzieller Bedeutung. Nur so können sie ihre Abwehr stärken, das Risiko eines erfolgreichen Angriffs verringern und Unternehmen effektiv vor den gravierenden Folgen eines Ransomware-Vorfalls schützen. Dabei werden folgende Phasen von den Angreifern durchlaufen:

• Phase 1: Aufklärung und Zielauswahl
  In dieser Phase erfolgt die Identifizierung potenzieller Ziele sowie die Sammlung von Informationen über diese. Ein Mangel an Security Awareness, eine schwache Zugriffskontrolle, unzureichendes Patch Management, eine fehlende Netzwerk-Segmentierung sowie ein schwaches Monitoring machen ein Unternehmen anfällig für diese Phase.
• Phase 2: Erster Zugang
  Diese Phase eines Ransomware-Angriffs ist die kritische Phase, in der Bedrohungsakteure versuchen, einen ersten Zugang zum Netzwerk und den Systemen eines Unternehmens zu erhalten. Dabei setzen die Angreifer eine Reihe von Techniken wie Phishing Emails, Exploit Kits oder Nutzung der Schwachstellen in der Software ein, um sich einen ersten Zugang zu verschaffen.
• Phase 3: Lateral movement und privilege escalation
  In dieser Phase geht es darum, sich im kompromittierten Netzwerk zu bewegen und seine Reichweite auszudehnen. Die Angreifer erkunden das angegriffene Netzwerk, um wertvolle Daten, kritische Systeme und potenzielle Ziele für die Verschlüsselung zu finden. Die Täter nutzen verschiedene Methoden, um sich Zugriff auf die Systeme zu verschaffen. Dazu zählen die Ausnutzung von Fehlkonfigurationen, der Diebstahl und die Wiederverwendung von Zugangsdaten sowie der Missbrauch von vertrauenswürdigen Anwendungen und Diensten.
• Phase 4: Deployment von Ransomware-Payload
  In der vierten Phase eines Ransomware-Angriffs erfolgt die eigentliche Verbreitung der Ransomware-Payload.
• Phase 5: Verschlüsselung und Auswirkungen
  Die Auswirkungen eines Angriffs zeigen sich erst in der Verschlüsselungs- und Auswirkungsphase. In dieser Phase verschlüsseln die Angreifer die Dateien des Opfers und fügen dessen Systemen erheblichen Schaden zu. Die Auswirkungen auf die Systeme des Opfers können gravierend sein und zu Betriebsunterbrechungen, Datenverlust, finanziellen Konsequenzen und Rufschädigung führen.
• Phase 6: Erpressung und Kommunikation
  In der sechsten Phase eines Ransomware-Angriffs erfolgt die Kontaktaufnahme mit den Opfern durch die Bedrohungsakteure, um den Erpressungsprozess einzuleiten. Die Forderung nach Lösegeldzahlungen wird zu diesem Zeitpunkt gestellt, um die Bereitstellung von Entschlüsselungsschlüsseln oder den Zugriff auf die Systeme des Opfers zu erwirken.
• Phase 7: Wiederherstellung und Schadensbegrenzung
  In der Wiederherstellungs- und Schadensbegrenzungsphase eines Angriffs sind Unternehmen vorrangig mit der Wiederherstellung von Systemen, der Wiederherstellung verschlüsselter Daten sowie der Implementierung von Maßnahmen zur Verhinderung künftiger Angriffe befasst.

Schutz vor und Reaktion auf Ransomware

Cybersicherheitsexperten und Bundesbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen Unternehmen, geeignete Maßnahmen zur Abwehr von Ransomware-Bedrohungen zu ergreifen.

• Regelmäßige Erstellung von Backups
  Die effektivste Methode, um sich von einem Ransomware-Angriff zu erholen, besteht in der Wiederherstellung von Daten aus Backups. Durch die Verwendung von Backups kann die Lösegeldforderung umgangen werden, da die Daten aus einer anderen Quelle als den verschlüsselten Dateien wiederhergestellt werden. Eine effektive Maßnahme, um zu verhindern, dass Malware die Backup-Dateien verschlüsselt, besteht darin, eine Kopie Ihrer Backups dezentral zu speichern. In der Regel setzen Unternehmen, die eine dezentrale Backup-Lösung benötigen, auf Backups in der Cloud. Mit Cloud-Backups können Sie eine Kopie Ihrer Dateien geschützt vor Ransomware und anderen Cyberbedrohungen speichern.
• Patch- und Updatemanagement
  Um sich generell vor Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken zu schützen, sollten Updates unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller auch in die IT-Systeme (idealerweise über eine zentrale Softwareverteilung) eingespielt werden.
• Cybersicherheitsschulungen für Mitarbeiter
  Cybersicherheitsschulungen für Mitarbeiter sind ein wichtiges Instrument, um Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.
• Richtlinien zur Zugriffskontrolle
  Durch die Umsetzung von Zugriffskontrollrichtlinien, die unter anderem Multi-Faktor-Authentifizierung, Netzwerksegmentierung und ähnliche Maßnahmen umfassen, kann verhindert werden, dass Ransomware an besonders vertrauliche Daten gelangt. Zudem können Identity-und-Access-Management-(IAM)-Kontrollen eine Ausbreitung von Kryptowürmern auf andere Geräte im Netzwerk verhindern.
• Antiviren und Monitoring
  Durch die Nutzung von Cybersecurity-Tools wie Antiviren-Software, Netzwerküberwachungs-Tools, Endpoint Detection and Response (EDR)-Plattformen sowie Security Information and Event Management (SIEM)-Systeme können Sicherheitsteams Ransomware in Echtzeit abfangen und somit einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit leisten.
• Notfallplan
  Für den Fall einer Verschlüsselung aller Systeme im Netzwerk und eines Erpresserschreibens sollte eine Notfallplanung vorliegen, deren Prozesse zur Reaktion und Wiederherstellung geschäftskritischer Systeme regelmäßig geübt werden. Insbesondere ist es erforderlich, im Vorfeld die geschäftskritischen Systeme zu identifizieren und alternative Kommunikationsmöglichkeiten (außerhalb des kompromittierten Netzwerks) vorzubereiten. Wichtige Telefonnummern und Ansprechpartner sollten offline (in Papierform) verfügbar gemacht werden.

  Neugierig, mehr zu erfahren?

  Unsere Experten stehen Ihnen für eine direkte Beratung zur Verfügung. Gerne unterstützen wir Sie bei der Analyse Ihrer Infrastruktur, der Implementierung geeigneter Maßnahmen, der Erstellung eines Notfallplans sowie der Auditierung des Notfallplans durch eine Simulation eines Ransomware-Angriffs.