Was ist Ransomware?

Ransomware ist eine wachsende Bedrohung für Organisationen weltweit, da sie von Cyberkriminellen für gezielte und schädliche Angriffe verwendet wird. Es handelt sich um eine Art von Schadsoftware, die den Opfern den Zugriff auf ihre Dokumente, Bilder, Datenbanken und andere Dateien verwehrt, indem sie diese verschlüsselt und ein Lösegeld für die Entschlüsselung fordert. Für die Lösegeldzahlung wird eine Frist gesetzt, wobei nach Ablauf der Frist die Lösegeldforderung verdoppelt oder die Dateien dauerhaft gesperrt werden.

Demo anfordern Mehr erfahren

Was ist Ransomware?

Definition

Ransomware ist weltweit eine immer größer werdende Bedrohung, die alle 10 Sekunden ein neues Opfer fordert. Hier entpacken wir die Ransomware-Bedrohung und erörtern, was Ransomware ist, wie sie funktioniert, wie sich ihre Verwendung in den letzten Jahren geändert hat, wie man sich auf einen Angriff vorbereitet & ihn verhindert und was zu tun ist, wenn man mit einer Ransomware-Infektion konfrontiert wird.

 

Einfach ausgedrückt ist Ransomware eine Art von Schadsoftware, die den Opfern den Zugriff auf ihre Dokumente, Bilder, Datenbanken und andere Dateien verwehrt, indem sie diese verschlüsselt und ein Lösegeld für die Entschlüsselung fordert. Für die Lösegeldzahlung wird eine Frist gesetzt, wobei nach Ablauf der Frist die Lösegeldforderung erhöht werden kann oder der Zugang zu diesen Dateien für immer verloren gehen kann.

Wie Ransomware funktioniert

Ein Verständnis dessen, was Ransomware ist und wie sie funktioniert, ist unerlässlich, um sich darauf vorzubereiten, um sich davor zu schützen. Ransomware ist Malware, die die Dateien eines Opfers verschlüsselt und dann eine Lösegeldforderung stellt, um den Zugang zu diesen Dateien wiederherzustellen. Um erfolgreich zu sein, muss Ransomware Zugang zu einem Zielsystem erhalten, die Dateien dort verschlüsseln und vom Opfer ein Lösegeld fordern.

 

  • Schritt 1. Infizierungs- und Verteilungsvektoren

Wie jede Malware kann Ransomware auf verschiedene Weise Zugang zu den Systemen einer Organisation erhalten. Die Betreiber von Ransomware neigen jedoch dazu, einige wenige spezifische Infektionsvektoren zu bevorzugen. Einer davon sind Phishing-E-Mails. Eine bösartige E-Mail kann einen Link zu einer Website enthalten, die einen bösartigen Download oder einen Anhang mit eingebauter Downloader-Funktionalität hostet. Wenn der E-Mail-Empfänger auf das Phishing hereinfällt, dann wird die Ransomware heruntergeladen und auf seinem Computer ausgeführt.

 

Ein weiterer beliebter Infektionsvektor für Ransomware macht sich Dienste wie das Remote Desktop Protocol (RDP) zunutze. Mit RDP kann ein Angreifer, der den Berechtigungsnachweis eines Mitarbeiters gestohlen oder erraten hat, diesen zur Authentifizierung und zum Fernzugriff auf einen Computer innerhalb des Unternehmensnetzwerks verwenden. Mit diesem Zugriff kann der Angreifer die Malware direkt herunterladen und auf dem Rechner unter seiner Kontrolle ausführen.

 

  • Schritt 2. Dateiverschlüsselung

Die Verschlüsselung der Dateien eines Benutzers ist das, was Ransomware von anderen Malware-Varianten unterscheidet. Durch die Verschlüsselung sensibler und wertvoller Daten kann der Betreiber von Ransomware im Austausch gegen den Entschlüsselungscode ein Lösegeld verlangen, und zwar in der begründeten Annahme, dass das Opfer zahlen wird.

 

Ransomware verwendet in der Regel zwei Arten von Verschlüsselung: symmetrische und asymmetrische Verschlüsselung. Symmetrische Verschlüsselung erfordert den gleichen Schlüssel zur Ver- und Entschlüsselung, während asymmetrische Kryptographie einen öffentlichen Schlüssel zur Verschlüsselung und einen privaten Schlüssel zur Entschlüsselung verwendet.

 

Ransomware-Varianten enthalten eine Liste, die die Arten von Dateien beschreibt, die sie verschlüsseln sollten, unabhängig davon, ob sie bestimmte Dateierweiterungen, Verzeichnisse oder beides auflisten. Für jede dieser Dateien verwendet die Ransomware eine symmetrische Verschlüsselung der Datei und speichert eine mit einem öffentlichen Schlüssel verschlüsselte Kopie des symmetrischen Schlüssels. Der entsprechende private Schlüssel – der zur Entschlüsselung des symmetrischen Schlüssels benötigt wird, der zur Entschlüsselung der Dateien verwendet wird – ist nur dem Betreiber der Ransomware bekannt.

 

  • Schritt 3. Lösegeldforderung

Sobald die Dateiverschlüsselung abgeschlossen ist, ist die Ransomware bereit, eine Lösegeldforderung zu stellen. Verschiedene Ransomware-Varianten implementieren dies auf zahlreiche Arten, aber es ist nicht ungewöhnlich, dass ein Anzeigehintergrund in eine Lösegeldforderung oder in Textdateien geändert wurde, die in jedem verschlüsselten Verzeichnis, das die Lösegeldforderung enthält, platziert werden. Typischerweise ist zu beachten, dass diese Hinweise einen bestimmten Betrag an Kryptowährung als Gegenleistung für den Zugang zu den Dateien des Opfers verlangen. Wenn das Lösegeld bezahlt wird, stellt der Betreiber der Ransomware entweder eine Kopie des privaten Schlüssels bereit, der zum Schutz des symmetrischen Verschlüsselungscodes verwendet wurde, oder eine Kopie des symmetrischen Verschlüsselungscodes selbst. Diese Informationen können in ein Entschlüsselungsprogramm eingegeben werden (das ebenfalls von einem Cyberkriminellen bereitgestellt wird), das damit die Verschlüsselung umkehren und den Zugang zu den Dateien des Benutzers wiederherstellen kann.

Die Ransomware-Bedrohung

Jetzt, da wir verstehen, was Ransomware ist, wollen wir uns damit befassen, warum sie so viel Aufmerksamkeit erhält. In erster Linie ist Ransomware eine der größten und bekanntesten Cyber-Bedrohungen, die es gibt. Im Jahr 2019 wurden die Kosten für Ransomware-Angriffe auf 11,5 Milliarden US-Dollar geschätzt. Es wird erwartet, dass sich dieser Betrag bis 2021 auf 20 Milliarden US-Dollar fast verdoppeln wird. Ransomware-Angriffe betreffen eine Vielzahl von Systemen, darunter auch Mobilgeräte wie Smartphones und Tablets. Allein im Jahr 2019 wurden über 68.000 neue Trojaner entdeckt, die Ransomware auf Mobilgeräten installiert haben. Ein erfolgreicher Ransomware-Angriff kann für ein Unternehmen erhebliche Kosten, Schäden und Ausfallzeiten verursachen, da alle betroffenen Systeme bereinigt und wiederhergestellt werden müssen. Obwohl alle Branchen ins Visier genommen werden, konzentrieren sich die Cyberkriminellen eher auf kritische Infrastrukturen wie Krankenhäuser, Städte und Schulen. Weitere Informationen entnehmen Sie bitte den neuesten Ransomware-Angriffen.

Die Entwicklung von Ransomware

Der erste bekannte Ransomware-Angriff erfolgte 1989. Die allererste bekannte Malware-Erpressung wurde als der AIDS-Trojaner, alias PC Cyborg, bezeichnet. Diese Low-Tech-Malware wurde in über 20.000 Disketten an AIDS-Forscher verteilt. Sie hat Dateien auf dem Laufwerk versteckt, die Dateinamen verschlüsselt und dem Benutzer eine Nachricht angezeigt, dass seine Lizenz zur Nutzung einer bestimmten Art von Software abgelaufen sei. Der Benutzer wurde aufgefordert, Lösegeld in Höhe von 189 USD zu zahlen, um ein Reparaturwerkzeug zu erhalten. Das Entschlüsselungsprogramm konnte leicht direkt aus dem Code des Trojaners extrahiert werden, wodurch die Malware fehlerhaft wurde, da der Erpresser nicht bezahlt werden musste.

Die meisten Ransomware-Varianten folgen den gleichen Schritten, um von der Erstinfizierung zur Lösegeldforderung zu gelangen. In den letzten Jahren hat sich jedoch die Art und Weise, in der Ransomware von Cyberkriminellen eingesetzt wird, dramatisch verändert.

 

  • Groß angelegte, zufällige Angriffe

Bei den ersten Ransomware-Angriffen wurde bei der Auswahl der Ziele nach dem Grundsatz „Quantität vor Qualität“ vorgegangen. Diese Angriffe zielten darauf ab, so viele Computer wie möglich mit Ransomware zu infizieren und im Austausch gegen den Entschlüsselungscode ein relativ kleines Lösegeld zu verlangen.

 

WannaCry ist ein Paradebeispiel für diesen Umgang mit Ransomware. WannaCry ist ein Ransomware-Wurm: ein Teil der Ransomware, der eine Schwachstelle ausnutzt, um sich selbst zu verbreiten, anstatt sich auf Phishing-E-Mails zu verlassen oder schwache Referenzen auszunutzen.

 

WannaCry hat die von der NSA entdeckte und von den Shadow Brokers durchgesickerte EternalBlue-Schwachstelle ausgenutzt, um innerhalb von vier Tagen über 200.000 Computer zu infizieren. Bei einer Lösegeldforderung von 300 bis 600 US-Dollar wäre zu erwarten, dass der Angriff den Cyberkriminellen eine beträchtliche Summe einbringen würde, auch wenn nur ein Bruchteil der Opfer bezahlen würde. Erfahren Sie mehr über WannaCry Ransomware-Angriff.

 

  • Unternehmen und Institutionen im Visier

Im Laufe der Zeit haben sich die Ransomware-Angriffe weitgehend von groß angelegten, zufälligen Angriffen abgewandt. Eines der Probleme bei dieser Strategie besteht darin, dass der Durchschnittsbürger nicht über das Know-how verfügt, ein Lösegeld in Kryptowährung zu zahlen. Infolgedessen wurden Cyberkriminelle entweder nie bezahlt oder verbrachten eine beträchtliche Zeit damit, Menschen durch den Prozess zu führen.

 

Daher sind mittlerweile die meisten Ransomware-Angriffe viel gezielter. Die Verwendung von Spear-Phishing-E-Mails und RDP als Übermittlungsmethoden hat zugenommen, was die Erfolgschancen von Angriffen erhöht. Diese zielgerichteteren Angriffe haben auch höhere Lösegeldforderungen zur Folge, da sich die Cyberkriminellen auf Organisationen konzentrieren, die es sich nicht leisten können, ihre Daten zu verlieren, und die über die notwendigen Ressourcen verfügen, um das Lösegeld zu zahlen, wie die oben genannten Krankenhäuser, Schulen, Städte und Großunternehmen.

 

Die Ryuk-Ransomware ist eine der bekanntesten Ransomware-Varianten, die diesen neuen, gezielteren Angriff durchführt. Infektionen mit Ryuk-Ransomware sind auf eine bestimmte Organisation zugeschnitten und erfordern, dass die Opfer den Angreifer per E-Mail kontaktieren, um eine Lösegeldzahlung auszuhandeln. Dieser persönlichere Ansatz ist auch mit einem höheren Preis verbunden, da Ryuk immer wieder Rekorde für die bisher höchsten Lösegeldforderungen aufstellte.

 

  • Bündelung von Datendiebstahl

Die jüngste Etappe in der Entwicklung von Ransomware dient der Bewältigung des Problems, dass sich Ransomware-Opfer häufig dafür entscheiden, das geforderte Lösegeld nicht zu zahlen. Viele Organisationen haben sich dafür entschieden, auf eigene Faust und zu viel höheren Kosten eine Wiederherstellung zu versuchen, anstatt Cyberkriminellen zu erlauben, von ihren Angriffen zu profitieren.

 

Ransomware-Betreiber, wie die hinter den Maze- und REvil-Ransomware-Varianten, haben auf diesen Trend reagiert, indem sie die Funktionalität des Datendiebstahls in ihrer Ransomware gebündelt haben. Bevor die Daten auf einem Zielcomputer verschlüsselt werden, wird ein Teil der Daten von der Malware exfiltriert, um sie als Druckmittel gegen das Opfer zu verwenden. Wenn das Ziel des Angriffs sich weigert, das Lösegeld zu zahlen, können diese Daten veröffentlicht oder an den Meistbietenden verkauft werden. Dies könnte zu einem Verlust des Wettbewerbsvorteils oder zu Strafen nach der Allgemeinen Datenschutzverordnung (DSGVO) oder ähnlichen Gesetzen zum Schutz der Privatsphäre führen und Ransomware-Opfern einen zusätzlichen Zahlungsanreiz bieten.

Die beliebtesten Ransomware-Varianten

  • CryptoWall – Ransomware, die als Doppelgänger von Cryptolocker begann, diese aber schließlich übertraf. Nach dem Abzug von Cryptolocker wurde CryptoWall zu einer der bisher prominentesten Ransomwares. CryptoWall ist dafür bekannt, dass es AES-Verschlüsselung verwendet und seine Command & Control-Kommunikation über das anonyme Tor-Netzwerk abwickelt. Es wird über Exploit-Kits, Malvertising und Phishing-Kampagnen weit verbreitet.
  • WannaCry – Ransomware, die im Mai 2017 in einem großen Angriff verbreitet wurde und einen Windows-SMB-Exploit namens EternalBlue verwendet, um sich innerhalb und zwischen Netzwerken auszubreiten. Es hat mehr als 100.000 Computer infiziert, indem es eine nicht gepatchte Sicherheitslücke von Microsoft Windows ausgenutzt hat.
  • Jaff – Ransomware, die seit Mai 2017 vom Necrus-Botnet über Spam-E-Mails verbreitet wird, die einen PDF-Anhang mit einer eingebetteten DOCM-Datei enthalten. Als die Malware zum ersten Mal auftauchte, wurde sie mit einer Infizierungsrate von ca. 10.000 versendeten E-Mails pro Stunde massiv verbreitet.
  • Locky – Ransomware, mit deren Verbreitung im Februar 2016 begonnen wurde und die sich hauptsächlich über Spam-E-Mails verbreitet, die einen als Word- oder Zip-Anhang getarnten Downloader enthalten, der dann die Malware, die die Benutzerdateien verschlüsselt, herunterlädt und installiert.
  • TorrentLocker – Ransomware, die Benutzerdokumente, Bilder und andere Dateitypen verschlüsselt. Die Opfer werden aufgefordert, den Angreifern bis zu 4,1 Bitcoins (damals etwa 1.800 US-Dollar) zu zahlen, um ihre Dateien zu entschlüsseln.
  • Cerber – Eine Offline-Ransomware, was bedeutet, dass sie nicht mit dem C&C-Server kommunizieren muss, bevor Dateien auf einem infizierten Computer verschlüsselt werden. Sie wird hauptsächlich über Malvertising-Kampagnen verbreitet, die Exploit-Kits nutzen, aber auch über Spam-Kampagnen. Sie wird von ihrem Autor als Ransomware as-a-Service betrieben; der Autor rekrutiert gegen einen Teil der Lösegeldzahlung Partner zur Verbreitung der Malware.

Schutz vor und Verhinderung von Ransomware

Richtige Vorbereitung kann die Kosten und Auswirkungen eines Ransomware-Angriffs drastisch senken. Die folgenden Schritte können die Gefährdung einer Organisation durch Ransomware reduzieren und ihre Auswirkungen minimieren:

  • Cyber-Sensibilisierungsschulung und -ausbildung: Ransomware wird häufig über Phishing-E-Mails verbreitet. Es ist von entscheidender Bedeutung, die Anwender darin zu schulen, wie sie potenzielle Ransomware-Angriffe erkennen und vermeiden können. Da viele der aktuellen Cyber-Angriffe mit einer zielgerichteten E-Mail beginnen, die noch nicht einmal Malware enthält, sondern nur eine sozial konstruierte Nachricht, die den Benutzer dazu auffordert, auf einen bösartigen Link zu klicken, wird die Aufklärung der Benutzer häufig als eine der wichtigsten Verteidigungsmaßnahmen angesehen, die eine Organisation einsetzen kann.
  • Kontinuierliche Datensicherungen: Die Definition von Ransomware besagt, dass es sich um Malware handelt, die so konzipiert ist, dass die Zahlung eines Lösegelds die einzige Möglichkeit ist, den Zugang zu den verschlüsselten Daten wiederherzustellen. Automatisierte, geschützte Datensicherungen ermöglichen einer Organisation die Wiederherstellung nach einem Angriff mit einem Minimum an Datenverlust und ohne Zahlung von Lösegeld. Die regelmäßige Datensicherung als Routineprozess ist eine sehr wichtige Praxis, um Datenverluste zu verhindern und im Falle einer Beschädigung oder Fehlfunktion der Festplattenhardware wiederherstellen zu können. Funktionale Backups können Unternehmen auch dabei helfen, sich von Ransomware-Angriffen zu erholen.
  • Patching: Das Patchen ist eine entscheidende Komponente bei der Abwehr von Ransomware-Angriffen, da Cyberkriminelle häufig nach den neuesten unentdeckten Exploits in den zur Verfügung gestellten Patches suchen und dann auf Systeme abzielen, die noch nicht gepatcht sind. Daher ist es von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass auf alle Systeme die neuesten Patches angewendet werden, da dies die Anzahl potenzieller Schwachstellen innerhalb des Unternehmens verringert, die ein Angreifer ausnutzen könnte.
  • Benutzer-Authentifizierung: Der Zugriff auf Dienste wie RDP mit gestohlenen Benutzerdaten ist eine beliebte Technik von Ransomware-Angreifern. Die Verwendung einer starken Benutzer-Authentifizierung kann es für einen Angreifer schwieriger machen, ein erratenes oder gestohlenes Passwort zu verwenden.
  • Anti-Ransomware-Lösungen: Die Notwendigkeit, alle Dateien eines Benutzers zu verschlüsseln, bedeutet, dass die Ransomware beim Ausführen auf einem System einen eindeutigen Fingerabdruck aufweist. Spezialisierte Anti-Ransomware-Lösungen können dies nutzen, um potenziell bösartige Prozesse zu identifizieren und zu beenden und so den verursachten Schaden zu minimieren.

Entfernung von Ransomware – Was tun, wenn Sie infiziert sind

Eine Lösegeldforderung möchte niemand auf seinem Computer sehen, da sie zeigt, dass eine Ransomware-Infizierung erfolgreich war. An diesem Punkt können einige Schritte unternommen werden, um auf eine aktive Ransomware-Infizierung zu reagieren, wobei eine Organisation die Entscheidung treffen muss, ob sie das Lösegeld zahlt oder nicht.

 

  • Wie man eine aktive Ransomware-Infizierung eindämmen kann

Viele erfolgreiche Ransomware-Angriffe werden erst erkannt, nachdem die Datenverschlüsselung abgeschlossen ist und eine Lösegeldforderung auf dem Bildschirm des infizierten Computers angezeigt wurde. Zu diesem Zeitpunkt sind die verschlüsselten Dateien wahrscheinlich nicht wiederherstellbar, aber es sollten sofort einige Schritte unternommen werden:

 

  1. Isolieren des Rechners: Einige Ransomware-Varianten werden versuchen, sich auf angeschlossene Laufwerke und andere Rechner zu verbreiten. Begrenzen Sie die Verbreitung der Malware, indem Sie den Zugriff auf andere potenzielle Ziele unterbinden.
  2. Lassen Sie den Computer eingeschaltet: Die Verschlüsselung von Dateien kann einen Computer instabil machen, wobei das Ausschalten eines Computers zum Verlust des flüchtigen Speichers führen kann. Lassen Sie den Computer eingeschaltet, um die Wahrscheinlichkeit einer Wiederherstellung zu maximieren.
  3. Backup erstellen: Die Entschlüsselung von Dateien für einige Ransomware-Varianten ist ohne Zahlung des Lösegelds möglich. Erstellen Sie eine Kopie der verschlüsselten Dateien auf einem Wechseldatenträger für den Fall, dass in Zukunft eine Lösung verfügbar wird oder eine fehlgeschlagene Entschlüsselungsbemühung die Dateien beschädigt.
  4. Auf Decryptoren prüfen: Überprüfen Sie mit dem No More Ransom Project, ob ein kostenloser Decryptor verfügbar ist. Wenn dies der Fall ist, lassen Sie es auf einer Kopie der verschlüsselten Daten laufen, um zu sehen, ob es die Dateien wiederherstellen kann.
  5. Um Hilfe bitten: Computer speichern manchmal Sicherungskopien von Dateien, die darauf gespeichert sind. Ein Experte für digitale Forensik kann unter Umständen diese Kopien wiederherstellen, wenn sie von der Malware nicht gelöscht wurden.
  6. Löschen und Wiederherstellen: Stellen Sie den Rechner von einem sauberen Backup oder einer Betriebssysteminstallation wieder her. Dadurch wird sichergestellt, dass die Malware vollständig von dem Gerät entfernt wird.

 

  • Sollten Sie das Lösegeld zahlen?

Die Definition von Ransomware besagt, dass sie entwickelt wurde, um die Opfer in eine Lage zu versetzen, in der sie sich zwischen der Zahlung eines Lösegelds und dem Verlust des Zugangs zu ihren Daten für immer entscheiden müssen. In vielen Fällen sind die Kosten für ein Lösegeld niedriger als der Versuch, ohne Zahlung eine Wiederherstellung zu erreichen.

 

Die bewährten Verfahren der Cyber-Sicherheit besagen jedoch, dass das Lösegeld nicht gezahlt werden soll. Dafür gibt es eine Reihe von Gründen:

  • Ransomware ist profit-orientiert: Betreiber von Ransomware erstellen und verwenden diese Malware, um damit Geld zu verdienen. Die Zahlung eines Lösegeldes ermöglicht ihnen die Fortsetzung ihrer Tätigkeit und hält die Bedrohung durch Ransomware aufrecht.
  • Bezahlen zeigt die Bereitschaft zu zahlen: Die Zahlung eines Lösegeldes zeigt einem Cyberkriminellen, dass Sie bereit sind, ein Lösegeld zu zahlen, um eine Cyber-Bedrohung zu beenden. Dadurch erhöht sich häufig die Wahrscheinlichkeit, zur Zielscheibe künftiger Angriffe zu werden.
  • Bezahlen garantiert keine Wiederherstellung: Die Zahlung eines Lösegeldes setzt voraus, dass man dem Cyberkriminellen vertraut, den Entschlüsselungscode im Austausch zur Verfügung zu stellen. Allerdings erhalten nicht alle Lösegeldzahler einen Schlüssel, und selbst mit einem Schlüssel werden nicht alle Daten erfolgreich wiederhergestellt.
  • Die Entscheidung, ob eine Organisation es sich leisten kann, ein Lösegeld zu zahlen oder nicht, liegt bei der Organisation selbst. Obwohl bewährte Verfahren besagen, dass Lösegeldforderungen niemals bezahlt werden sollten, ist jeder Fall einzigartig.

Wie kann Check Point helfen

Die Anti-Ransomware-Technologie von Check Point verwendet eine speziell entwickelte Engine, die die raffiniertesten, ausweichendsten Zero-Day-Varianten von Ransomware abwehrt und verschlüsselte Daten sicher wiederherstellt, um Geschäftskontinuität und Produktivität zu gewährleisten. Die Wirksamkeit dieser Technologie wird jeden Tag von unserem Forschungsteam überprüft und zeigt immer wieder hervorragende Ergebnisse bei der Identifizierung und Eindämmung von Angriffen.

 

SandBlast Agent, Check Points führendes Produkt für Endpunkt-Prävention und -Reaktion, enthält Anti-Ransomware-Technologie und stellt Schutz für Webbrowser und Endpunkte bereit, wobei es Check Points branchenführenden Netzwerkschutz nutzt. SandBlast Agent bietet vollständige Echtzeit-Bedrohungsprävention und -Behebung für alle Malware-Bedrohungsvektoren und ermöglicht es Mitarbeitern, unabhängig von ihrem Aufenthaltsort sicher zu arbeiten, ohne dass die Produktivität beeinträchtigt wird.

 

Empfohlene Ressourcen

Diese Website verwendet Cookies, um höchste Benutzerfreundlichkeit zu gewährleisten. Verstanden, danke! MEHR INFOS