Was ist Ransomware?

Ransomware ist eine Malware, die einem Benutzer oder einer Organisation den Zugriff auf Dateien auf ihrem Computer verweigern soll. Durch die Verschlüsselung dieser Dateien und die Forderung nach einem Lösegeld für den Entschlüsselungsschlüssel versetzen Cyberangreifer Unternehmen in die Lage, dass die Zahlung des Lösegelds der einfachste und kostengünstigste Weg ist, wieder Zugriff auf ihre Dateien zu erhalten. Einige Varianten verfügen über zusätzliche Funktionen – wie z. B. Datendiebstahl –, um Ransomware-Opfern einen weiteren Anreiz zur Zahlung des Lösegelds zu bieten.

Ransomware hat sich schnell zu einer der häufigsten Bedrohungen entwickelt prominent und sichtbare Art von Malware. Die jüngsten Ransomware-Angriffe haben die Fähigkeit von Krankenhäusern, wichtige Dienstleistungen bereitzustellen, beeinträchtigt, die öffentlichen Dienste in Städten lahmgelegt und verschiedenen Organisationen erheblichen Schaden zugefügt.

Ransomware Prevention CISO Guide Sprechen Sie mit einem Experten

Ransomware-Angriff – Was ist das und wie funktioniert er?

Warum kommt es zu Ransomware-Angriffen?

Der moderne Ransomware-Trend begann mit dem WannaCry-Ausbruch im Jahr 2017. Dieser groß angelegte und vielbeachtete Angriff zeigte, dass Ransomware-Angriffe möglich und potenziell profitabel waren. Seitdem wurden Dutzende Ransomware-Varianten entwickelt und für verschiedene Angriffe eingesetzt.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

Wie Ransomware funktioniert

Um erfolgreich zu sein, muss sich Ransomware Zugang zu einem Zielsystem verschaffen, die dortigen Dateien verschlüsseln und vom Opfer ein Lösegeld verlangen.
Während die Implementierungsdetails von Ransomware-Variante zu Ransomware-Variante unterschiedlich sind, teilen sich alle die gleichen drei Kernphasen

  • Schritt 1. Infektions- und Verbreitungsvektoren

Ransomware kann wie jede Malware auf verschiedene Arten Zugriff auf die Systeme eines Unternehmens erhalten. Ransomware-Betreiber neigen jedoch dazu, einige bestimmte Infektionsvektoren zu bevorzugen.

Eine davon sind Phishing-E-Mails. Eine bösartige E-Mail kann einen Link zu einer Website enthalten, die einen bösartigen Download hostet, oder einen Anhang mit integrierter Downloader-Funktionalität. Wenn der E-Mail-Empfänger auf den Phish hereinfällt, wird die Ransomware heruntergeladen und auf seinem Computer ausgeführt.

Ein weiterer beliebter Ransomware-Infektionsvektor nutzt Dienste wie das Remote Desktop Protocol (RDP). Mit RDP kann ein Angreifer, der die Anmeldeinformationen eines Mitarbeiters gestohlen oder erraten hat, diese zur Authentifizierung an einem Computer im Unternehmensnetzwerk und zum Fernzugriff auf diesen verwenden. Mit diesem Zugriff kann der Angreifer die Malware direkt herunterladen und auf dem von ihm kontrollierten Computer ausführen.

Andere versuchen möglicherweise, Systeme direkt zu infizieren, wie WannaCry die EternalBlue-Schwachstelle ausnutzt. Die meisten Ransomware-Varianten haben mehrere Infektionsvektoren.

  • Schritt 2. Datenverschlüsselung

 Nachdem Ransomware Zugriff auf ein System erhalten hat, kann sie mit der Verschlüsselung ihrer Dateien beginnen. Da die Verschlüsselungsfunktion in ein Betriebssystem integriert ist, umfasst dies lediglich den Zugriff auf Dateien, deren Verschlüsselung mit einem vom Angreifer kontrollierten Schlüssel und das Ersetzen der Originale durch die verschlüsselten Versionen. Die meisten Ransomware-Varianten sind bei der Auswahl der zu verschlüsselnden Dateien vorsichtig, um die Systemstabilität sicherzustellen. Einige Varianten ergreifen auch Maßnahmen zum Löschen von Sicherungskopien und Schattenkopien von Dateien, um die Wiederherstellung ohne den Entschlüsselungsschlüssel zu erschweren.

  • Schritt 3. Lösegeldforderung

Sobald die Dateiverschlüsselung abgeschlossen ist, ist die Ransomware bereit, eine Lösegeldforderung zu stellen. Verschiedene Ransomware-Varianten implementieren dies auf vielfältige Weise, aber es ist nicht ungewöhnlich, dass der Anzeigehintergrund in eine Lösegeldforderung geändert wird oder dass in jedem verschlüsselten Verzeichnis, das die Lösegeldforderung enthält, Textdateien abgelegt werden. Typischerweise verlangen diese Notizen einen bestimmten Betrag an Kryptowährung als Gegenleistung für den Zugriff auf die Dateien des Opfers. Wenn das Lösegeld gezahlt wird, stellt der Ransomware-Betreiber entweder eine Kopie des privaten Schlüssels, der zum Schutz des symmetrischen Verschlüsselungsschlüssels verwendet wird, oder eine Kopie des symmetrischen Verschlüsselungsschlüssels selbst zur Verfügung. Diese Informationen können in ein Entschlüsselungsprogramm (ebenfalls vom Cyberkriminellen bereitgestellt) eingegeben werden, das damit die Verschlüsselung rückgängig machen und den Zugriff auf die Dateien des Benutzers wiederherstellen kann.

Während diese drei Kernschritte in allen Ransomware-Varianten vorhanden sind, kann unterschiedliche Ransomware unterschiedliche Implementierungen oder zusätzliche Schritte umfassen. Beispielsweise führen Ransomware-Varianten wie Maze Dateiscans, Registrierungsinformationen und Datendiebstahl vor der Datenverschlüsselung durch, und die WannaCry-Ransomware sucht nach anderen anfälligen Geräten, die infiziert und verschlüsselt werden können.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

Beliebte Ransomware-Varianten

Es gibt Dutzende Ransomware-Varianten, jede mit ihren eigenen einzigartigen Eigenschaften. Allerdings waren einige Ransomware-Gruppen produktiver und erfolgreicher als andere, wodurch sie sich von der Masse abheben.

1. Ryuk

Ryuk ist ein Beispiel für eine sehr gezielte Ransomware-Variante. Die Verbreitung erfolgt häufig über Spear-Phishing-E-Mails oder durch die Verwendung kompromittierter Benutzeranmeldeinformationen zur Anmeldung bei Unternehmenssystemen über das Remote Desktop Protocol (RDP). Sobald ein System infiziert ist, verschlüsselt Ryuk bestimmte Dateitypen (und vermeidet diejenigen, die für den Betrieb eines Computers wichtig sind) und fordert dann ein Lösegeld.

Ryuk gilt als eine der teuersten Arten von Ransomware, die es gibt. Ryuk verlangt dafür Lösegeld durchschnittlich über 1 Million US-Dollar. Daher konzentrieren sich die Cyberkriminellen hinter Ryuk in erster Linie auf Unternehmen, die über die notwendigen Ressourcen verfügen, um ihre Anforderungen zu erfüllen.

2. Labyrinth

Der Labyrinth Ransomware ist dafür bekannt, die erste Ransomware-Variante zu sein Kombinieren Sie Dateiverschlüsselung und Datendiebstahl. Als sich die Opfer weigerten, Lösegeld zu zahlen, begann Maze damit, sensible Daten von den Computern der Opfer zu sammeln und diese anschließend zu verschlüsseln. Sollten die Lösegeldforderungen nicht erfüllt werden, würden diese Daten öffentlich zugänglich gemacht oder an den Meistbietenden verkauft. Die Möglichkeit einer kostspieligen Datenschutzverletzung wurde als zusätzlicher Anreiz zur Zahlung genutzt.

Die Gruppe hinter der Maze-Ransomware hat hat seinen Betrieb offiziell eingestellt. Dies bedeutet jedoch nicht, dass die Bedrohung durch Ransomware verringert wurde. Einige Maze-Tochtergesellschaften sind auf die Verwendung der Egregor-Ransomware umgestiegen, und es wird angenommen, dass die Varianten Egregor, Maze und Sekhmet eine gemeinsame Quelle haben.

3.REvil (Sodinokibi)

Die REvil-Gruppe (auch bekannt als Sodinokibi) ist eine weitere Ransomware-Variante, die es auf große Unternehmen abgesehen hat.

REvil ist eine der bekanntesten Ransomware-Familien im Internet. Die Ransomware-Gruppe, die seit 2019 von der russischsprachigen REvil-Gruppe betrieben wird, war für viele große Sicherheitsverletzungen wie „Kaseya “ und „JBS“ verantwortlich.

In den letzten Jahren konkurrierte es mit Ryuk um den Titel der teuersten Ransomware-Variante. Es ist bekannt, dass REvil dies getan hat forderte 800.000 US-Dollar Lösegeld.

Während REvil als traditionelle Ransomware-Variante begann, hat es sich im Laufe der Zeit weiterentwickelt.
Sie verwenden die Technik der doppelten Erpressung, um Daten von Unternehmen zu stehlen und gleichzeitig die Dateien zu verschlüsseln. Das bedeutet, dass Angreifer nicht nur ein Lösegeld für die Entschlüsselung der Daten fordern, sondern auch damit drohen könnten, die gestohlenen Daten herauszugeben, wenn eine zweite Zahlung nicht erfolgt.

4. Lockbit

LockBit ist eine seit September 2019 in Betrieb befindliche Datenverschlüsselungs-Malware und eine aktuelle Ransomware-as-a-Service (RaaS). Diese Ransomware wurde entwickelt, um große Organisationen schnell zu verschlüsseln und so eine schnelle Erkennung durch Sicherheitsgeräte und IT-/SOC-Teams zu verhindern. 

5. DearCry

Im März 2021 veröffentlichte Microsoft Patches für vier Schwachstellen innerhalb von Microsoft Exchange-Servern. DearCry ist eine neue Ransomware-Variante, die vier kürzlich bekannt gewordene Schwachstellen in Microsoft Exchange ausnutzen soll

Die DearCry-Ransomware verschlüsselt bestimmte Dateitypen. Sobald die Verschlüsselung abgeschlossen ist, zeigt DearCry eine Lösegeldforderung an, in der Benutzer aufgefordert werden, eine E-Mail an die Ransomware-Betreiber zu senden, um zu erfahren, wie sie ihre Dateien entschlüsseln können.

6. Lapsus$

Lapsus$ ist eine südamerikanische Ransomware-Bande, die mit Cyberangriffen auf einige hochkarätige Ziele in Verbindung gebracht wird. Die Cyberbande ist für Erpressungen bekannt und droht mit der Herausgabe sensibler Informationen, wenn den Forderungen ihrer Opfer nicht nachgekommen wird. Die Gruppe prahlte damit, in Nvidia, Samsung, Ubisoft und andere einzudringen. Die Gruppe nutzt gestohlenen Quellcode, um Malware-Dateien als vertrauenswürdig zu tarnen .

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

So schützen Sie sich vor Ransomware

  • Nutzen Sie Best Practices

Durch die richtige Vorbereitung können die Kosten und Auswirkungen eines Ransomware-Angriffs drastisch gesenkt werden. Die Anwendung der folgenden Best Practices kann die Gefährdung einer Organisation durch Ransomware verringern und deren Auswirkungen minimieren:

  1. Cyber-Sensibilisierungsschulung und -Bildung: Ransomware wird häufig über Phishing-E-Mails verbreitet. Es ist von entscheidender Bedeutung, Benutzer darin zu schulen, wie sie potenzielle Ransomware-Angriffe erkennen und vermeiden können. Da viele der aktuellen Cyber-Angriffe mit einer gezielten E-Mail beginnen, die nicht einmal Malware enthält, sondern lediglich eine Social-Engineering-Nachricht, die den Benutzer dazu ermutigt, auf einen schädlichen Link zu klicken, wird die Aufklärung der Benutzer häufig als eine der wichtigsten Abwehrmaßnahmen angesehen eine Organisation bereitstellen kann.
  2. Kontinuierliche Datensicherungen:  Die Definition von Ransomware besagt, dass es sich um Malware handelt, die so gestaltet ist, dass die Zahlung eines Lösegelds die einzige Möglichkeit ist, den Zugriff auf die verschlüsselten Daten wiederherzustellen. Automatisierte, geschützte Datensicherungen ermöglichen es einem Unternehmen, sich von einem Angriff mit minimalem Datenverlust und ohne Zahlung eines Lösegelds zu erholen. Die Durchführung regelmäßiger Datensicherungen als Routineprozess ist eine sehr wichtige Vorgehensweise, um Datenverlusten vorzubeugen und sie im Falle einer Beschädigung oder einer Fehlfunktion der Festplattenhardware wiederherstellen zu können. Funktionale Backups können Unternehmen auch bei der Wiederherstellung nach Ransomware-Angriffen helfen.
  3. Patching: Patching ist eine entscheidende Komponente bei der Abwehr von Ransomware-Angriffen, da Cyberkriminelle in den bereitgestellten Patches oft nach den neuesten unentdeckten Exploits suchen und dann Systeme ins Visier nehmen, die noch nicht gepatcht sind. Daher ist es von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass auf allen Systemen die neuesten Patches installiert sind, da dies die Anzahl potenzieller Schwachstellen innerhalb des Unternehmens verringert, die ein Angreifer ausnutzen kann.
  4. Benutzerauthentifizierung: Der Zugriff auf Dienste wie RDP mit gestohlenen Benutzeranmeldeinformationen ist eine beliebte Technik von Ransomware-Angreifern. Der Einsatz einer starken Benutzerauthentifizierung kann es einem Angreifer erschweren, ein erratenes oder gestohlenes Passwort auszunutzen

  • Reduzieren Sie die Angriffsfläche

Angesichts der hohen potenziellen Kosten einer Ransomware-Infektion ist Prävention die beste Strategie zur Eindämmung von Ransomware. Dies kann erreicht werden, indem die Angriffsfläche reduziert wird, indem Folgendes angegangen wird:

  1. Phishing-Nachrichten
  2. Ungepatchte Schwachstelle
  3. Fernzugriffslösungen
  4. Mobile Malware

  • Stellen Sie eine Anti-Ransomware -Lösungbereit

Die Notwendigkeit, alle Dateien eines Benutzers zu verschlüsseln, bedeutet, dass Ransomware bei der Ausführung auf einem System einen eindeutigen Fingerabdruck hat. Anti-Ransomware-Lösungen sind darauf ausgelegt, diese Fingerabdrücke zu identifizieren. Zu den gemeinsamen Merkmalen einer guten Anti-Ransomware-Lösung gehören:

  • Breite Variantenerkennung
  • Schnelle Erkennung
  • Automatische Wiederherstellung
  • Wiederherstellungsmechanismus, der nicht auf gängigen integrierten Tools basiert (wie „Shadow Copy“, auf das einige Ransomware-Varianten abzielen)

Wie entferne ich Ransomware?

Niemand möchte eine Lösegeldforderung auf seinem Computer sehen, da sie verrät, dass eine Ransomware-Infektion erfolgreich war. An diesem Punkt können einige Schritte unternommen werden, um auf eine aktive Ransomware-Infektion zu reagieren, und eine Organisation muss entscheiden, ob sie das Lösegeld zahlt oder nicht.

  • So entschärfen Sie eine aktive Ransomware-Infektion

Viele erfolgreiche Ransomware-Angriffe werden erst erkannt, wenn die Datenverschlüsselung abgeschlossen ist und eine Lösegeldforderung auf dem Bildschirm des infizierten Computers angezeigt wird. Zu diesem Zeitpunkt sind die verschlüsselten Dateien wahrscheinlich nicht wiederherstellbar, es sollten jedoch sofort einige Schritte unternommen werden:

  1. Quarantäne der Maschine: Einige Ransomware-Varianten versuchen, sich auf angeschlossene Laufwerke und andere Maschinen zu verbreiten. Begrenzen Sie die Verbreitung der Malware, indem Sie den Zugriff auf andere potenzielle Ziele sperren.
  2. Lassen Sie den Computer eingeschaltet: Die Verschlüsselung von Dateien kann dazu führen, dass der Computer instabil wird, und das Ausschalten des Computers kann zum Verlust des flüchtigen Speichers führen. Lassen Sie den Computer eingeschaltet, um die Wiederherstellungswahrscheinlichkeit zu maximieren.
  3. Erstellen Sie ein Backup: Die Entschlüsselung von Dateien für einige Ransomware-Varianten ist möglich, ohne das Lösegeld zu zahlen. Erstellen Sie eine Kopie der verschlüsselten Dateien auf Wechselmedien für den Fall, dass in Zukunft eine Lösung verfügbar wird oder ein fehlgeschlagener Entschlüsselungsversuch die Dateien beschädigt.
  4. Suchen Sie nach Entschlüsselern: Erkundigen Sie sich beim No More Ransom Project, ob ein kostenloser Entschlüsseler verfügbar ist. Wenn ja, führen Sie es auf einer Kopie der verschlüsselten Daten aus, um zu sehen, ob die Dateien wiederhergestellt werden können.
  5. Bitten Sie um Hilfe: Computer speichern manchmal Sicherungskopien der darauf gespeicherten Dateien. Ein Experte für digitale Forensik kann diese Kopien möglicherweise wiederherstellen, wenn sie nicht durch die Malware gelöscht wurden.
  6. Löschen und Wiederherstellen: Stellen Sie die Maschine aus einem sauberen Backup oder einer Betriebssysteminstallation wieder her. Dadurch wird sichergestellt, dass die Malware vollständig vom Gerät entfernt wird

Wie kann Check Point helfen?

Die Anti-Ransomware- Technologie von Check Point nutzt eine speziell entwickelte Engine, die sich gegen die ausgefeiltesten, flüchtigsten Zero-Day-Varianten von Ransomware wehrt und verschlüsselte Daten sicher wiederherstellt, um Geschäftskontinuität und Produktivität zu gewährleisten. Die Wirksamkeit dieser Technologie wird täglich von unserem Forschungsteam überprüft und zeigt stets hervorragende Ergebnisse bei der Erkennung und Abwehr von Angriffen.

Harmony Endgerät, Check Points führendes Endgeräte-Präventions- und Reaktionsprodukt, umfasst Anti-Ransomware-Technologie und bietet Schutz für Webbrowser und Endgeräte, indem es die branchenführenden Netzwerkschutzmaßnahmen von Check Point nutzt. Harmony Endgerät bietet vollständige Echtzeit-Bedrohungsprävention und -behebung für alle Malware-Bedrohungsvektoren und ermöglicht es Mitarbeitern, unabhängig von ihrem Aufenthaltsort sicher zu arbeiten, ohne die Produktivität zu beeinträchtigen.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK