Ransomware ist seit Mitte der 2000er Jahre eine große Bedrohung für Einzelpersonen und Unternehmen jeder Größe. Laut dem FBI gingen Internet Crime Complaint Center (IC3) 1.783 Beschwerden ein und der Gesamtschaden lag bei über 2,3 Mio. US-Dollar. Dies sind jedoch lediglich die Angriffe, die dem IC3 gemeldet wurden.
Die tatsächliche Anzahl der Angriffe und die damit verbundenen Kosten sind viel höher, da sich viele Unternehmen dafür entscheiden, die Dinge intern zu klären, um jegliche negative Reaktion in der Öffentlichkeit oder durch Stakeholder zu vermeiden und ihren guten Ruf zu wahren. Laut Statista kam es 2017 schätzungsweise zu 184 Millionen Angriffen.
Anfänglich wurden vor allem Einzelpersonen von Ransomware angegriffen und diese Gruppe macht immer noch den größten Teil der aktuell Betroffenen aus. Im Laufe der Zeit begannen Angreifer jedoch, auch Einrichtungen ins Visier zu nehmen, in denen ohne den vollständigen Zugriff auf ihre Daten der Betrieb nicht möglich ist, darunter Krankenhäuser, Universitäten und Behörden. In diesem Artikel werden wir alles Wichtige über Ransomware ansprechen, wie Sie sie verhindern können, was bei einer Infektion zu tun ist und wie wichtig Backups bei der Wiederherstellung nach Ransomware-Angriffen sind.
Ransomware ist eine Art von Malware, die speziell dafür entwickelt wurde, Ihr Computersystem für Sie zu sperren oder Ihre Daten so zu verschlüsseln, dass Sie nicht darauf zugreifen können. Darüber hinaus kann sie die Schwachstellen Ihres Betriebssystems ausnutzen und sich auf andere Netzwerke oder Systeme ausbreiten.
Sobald Ransomware die Computersysteme erfolgreich infiziert hat, fordert die Person, die hinter dem Angriff steht, ein Lösegeld (engl. „ransom“, daher der Name) für das Wiedererlangen des Zugriffs auf Ihre Systeme oder die Entschlüsselung Ihrer Daten. Manche Ransomware nutzt für ihre Zwecke Krypto-Malware, Locker-Programme, Scareware, Doxware (Leakware) und Ransom-as-a-Service (RaaS).
Diese Cyberkriminellen starten solche Angriffe normalerweise aus der Ferne und fordern nicht nachvollziehbare und nicht rückzahlbare Zahlungen in Form von Kryptowährungen wie Bitcoin. Bei einigen jüngsten Ransomware-Angriffen gingen die Kriminellen noch einen Schritt weiter und haben eine Zahlung in Form von Geschenkkarten, etwa von Google Play oder Apple iTunes, gefordert, die später in Waren oder Bargeld umgewandelt werden können.
Leider hinterlassen erfolgreiche Ransomware-Angriffe selten digitale Spuren, mit denen die Täter ermittelt oder das gezahlte Lösegeld zurückgefordert werden können. Außerdem gibt es keine Garantie dafür, dass Ihre Daten vollständig entschlüsselt werden, selbst wenn Sie das Lösegeld bezahlen.
Der erste Ransomware-Vorfall geht auf das Jahr 1989 zurück, wobei ein in Harvard ausgebildeter Biologe die Computer mehrerer Teilnehmer der internen AIDS-Konferenz der WHO infiziert haben soll. Ab Mitte der 2000er Jahre sind Cyberkriminelle mit ihren Angriffen kreativer geworden und ab 2012 verbreitete sich Ransomware mithilfe der asymmetrischen RSA-Verschlüsselung weltweit.
Heutzutage sind Ransomware-Varianten immer raffinierter geworden, wenn es darum geht, Dateien zu verschlüsseln, eine Erkennung zu vermeiden, sich auszubreiten und Lösegeldzahlungen zu erzwingen. Mittlerweile nutzen sie fortschrittliche Entwicklungstechniken wie die Verwendung von Crypter-Software, um das Reverse Engineering extrem zu erschweren, oder erweiterte Verteilungsmethoden, einschließlich vorgefertigter Infrastrukturen, die neue Varianten großflächig unter die Leute bringen.
Spear-Phishing-Kampagnen ersetzen zunehmend herkömmliche Phishing-E-Mails, da letztere häufig als Spam-Mails herausgefiltert werden. Fortgeschrittenere Angreifer haben Toolkits entwickelt, die heruntergeladen und von Personen mit weniger fortgeschrittenen technischen Kenntnissen genutzt werden können. RaaS-Programme haben die Ransomware-Arten CryptoLocker, Locky, CryptoWall und TeslaCrypt revolutioniert.
Darüber hinaus verwenden Angreifer jetzt Offline-Verschlüsselungsmethoden, die legitime Systemfunktionen (wie CryptoAPI von Microsoft) nutzen, um die Notwendigkeit einer Befehls- und Kontrollkommunikation zu umgehen.
Ransomware kann auf viele Arten verbreitet werden, am häufigsten über Phishing-E-Mails mit bösartigen Anhängen. Die E-Mail-Anhänge geben vor, von einem vertrauenswürdigen Absender zu stammen. Sobald Sie eine infizierte Datei heruntergeladen und geöffnet haben, kann sie die Kontrolle über Ihren Computer übernehmen, insbesondere wenn sie über ein integriertes Social-Engineering-Tool verfügt, um Sie zum Gewähren des Administratorzugriffs zu verleiten. Andere aggressivere Arten von Ransomware-Familien nutzen Sicherheitslücken in Ihrem System aus, um Ihren Computer ohne Ihr Zutun zu infizieren und zu verschlüsseln.
Angreifer verwenden auch irreführende Nachrichten in sozialen Medien, um sich Zugang zu den Computern der Opfer zu verschaffen. Einer der am häufigsten verwendeten Kanäle ist Facebook Messenger. Hier erstellt der Angreifer ein Konto, das einem Ihrer aktuellen Freunde zu gehören scheint. Dann sendet er Ihnen Nachrichten mit Dateianhängen. Nach dem Öffnen des Anhangs kann der Angreifer auf Ihr Gerät zugreifen und alle verbundenen Netzwerke sperren.
Ihr Computer kann auch durch Drive-by-Downloads infiziert werden. So nennt man es, wenn Sie unwissentlich eine infizierte Website besuchen, von der ohne Ihr Wissen Malware heruntergeladen und installiert wird. Anschließend kann der Angreifer Daten auf Ihrem Computer verschlüsseln.
Eine Variante namens Crypto-Ransomware verschlüsselt Ihre Dateien und verbreitet sich auf ähnliche Weise über soziale Medien (wie webbasierte Instant Messaging-Apps). Bei anderen Infektionsmethoden werden anfällige Webserver ausgenutzt, um in das Netzwerk Ihres Unternehmens einzudringen, oder bösartige Online-Popups sollen zum Klicken verleiten.
Sobald ein Angreifer Ihre Computersysteme übernommen hat, wird er zunächst Ihre Dateien sperren oder verschlüsseln. Anschließend können die Dateien nur mit einem Schlüssel geöffnet oder entschlüsselt werden, der allein dem Angreifer bekannt ist und wahrscheinlich auf seinem System gespeichert ist.
In diesem Moment erhalten Sie eine Nachricht, in der erklärt wird, dass Ihre Dateien nicht mehr zugänglich sind und ein Lösegeld über eine nicht zurückverfolgbare Zahlungsmethode wie Kryptowährung gefordert wird. Manchmal geht der Angreifer so weit, sich als Strafverfolgungsbehörde auszugeben und zu behaupten, Ihre Systeme aufgrund illegaler Inhalte wie Raubkopien oder Pornografie gesperrt zu haben. Die geforderte Zahlung ist dann die angebliche Geldstrafe.
Bei einem Leakware- oder Doxware-Angriff wird gedroht, vertrauliche Daten auf Ihrem Gerät zu veröffentlichen, sofern Sie nicht bezahlen. Da das Auffinden und Extrahieren solcher Daten jedoch technisches Fachwissen erfordert, basieren die häufigsten Arten von Angriffen auf Verschlüsselung.
Die Verbreitungsart von Ransomware hat sich im Laufe der Jahre von einfachen E-Mail-Anhängen zu infizierten Websites, mobilen Apps und sogar digitaler Werbung weiterentwickelt. Aufgrund der Effektivität hat sich die Nachfrage im Dark Web erhöht, wo es als Ransomware-as-a-Service (RaaS) verkauft wird. Mögliche Ziele sind:
Nach Angaben des US-Justizministeriums kann diese Form der Internetkriminalität Auswirkungen auf globaler Ebene haben. Wie die meisten anderen Malware-Programme infiziert Ransomware häufig ein Computersystem, indem ein Benutzer auf unsichere Links klickt oder verseuchte Programme herunterlädt.
Im Gegensatz zu anderer Malware lässt sie sich jedoch nicht entfernen, indem Sie das BIOS aktualisieren, das Laufwerk löschen oder versuchen, das Betriebssystem auf einen vorherigen Wiederherstellungspunkt zurückzusetzen. Das Programm sperrt Ihre Dateien und stellt dann die Lösegeldforderung. Gleichzeitig erstellt der Angreifer einen einmaligen Entschlüsselungsschlüssel und speichert ihn auf seinen Servern.
Wenn Sie das Lösegeld nicht rechtzeitig bezahlen oder versuchen, das Verschlüsselungsprogramm zu manipulieren, wird der Entschlüsselungsschlüssel dauerhaft gelöscht, wodurch der Zugriff auf sämtliche gesperrte Dateien verloren geht. Meistens bleibt dem Opfer nichts anderes übrig, als den geforderten Betrag zu zahlen.
Obwohl Sie einen infizierten Computer weiterhin verwenden können, kann das Risiko des Verlusts wertvoller Daten die Produktivität erheblich beeinträchtigen. Zu den weiteren negativen Folgen eines Angriffs zählen:
Ransomware kann beängstigend wirken, da Sie dabei wichtige persönliche und geschäftliche Daten verlieren und möglicherweise andere kurz- und langfristige Auswirkungen zu spüren bekommen, selbst wenn Sie das Lösegeld bezahlen. Es gibt jedoch einige praktische Maßnahmen, mit denen Sie sich und Ihre Unternehmen vor Ransomware schützen können.
Speichern Sie nicht alle Daten an einem Ort. Ein regelmäßiges Daten-Backup ist erforderlich, damit Sie aufgrund von Ransomware-Angriffen und anderen Ausfällen verlorene Daten wiederherstellen können. Beachten Sie, dass CryptoLocker auch Daten auf zugeordneten Laufwerken findet und verschlüsselt. Deshalb benötigen Sie einen regelmäßigen Backup-Zeitplan für einen externen Dienst oder ein externes Laufwerk, dem kein Laufwerksbuchstabe zugewiesen ist oder das getrennt wird, wenn kein Backup durchgeführt wird.
CryptoLocker wird häufig in einer Datei mit der Erweiterung „.PDF.EXE“ verbreitet, da Angreifer auf das Standardverhalten von Windows zählen, bekannte Dateierweiterungen zu verbergen oder auszublenden. Indem Sie auf dem Computer einstellen, dass vollständige Dateierweiterungen angezeigt werden, können Sie verdächtige Dateien leicht erkennen.
Ein besonders bemerkenswertes CryptoLocker-Verhalten besteht darin, die ausführbaren Dateien in den Ordnern „Local AppData“ oder „AppData“ auszuführen. Um dem vorzubeugen, können Sie Regeln in Ihrem System erstellen, entweder über Windows oder eine Intrusion Prevention-Software. Sie können legitime Programmdateien, die in "AppData" ausgeführt werden, jederzeit ausschließen.
Wenn Sie einen Gateway-E-Mail-Scanner haben, der empfangene Dateien nach Erweiterungen filtert, kann es ratsam sein, E-Mails mit den Dateierweiterungen „.exe“ oder Dateien mit mehr als einer Dateierweiterung zu blockieren – wenn es eine Erweiterung für eine ausführbare Datei darunter ist.
Wenn Sie ausführbare Dateien empfangen oder senden müssen, nachdem Sie E-Mails mit der Erweiterung ".exe" blockiert haben, können Sie kennwortgeschützte ZIP-Dateien verwenden oder E-Mails über Cloud-Dienste austauschen.
Cryptolocker/Filecoder greift über RDP (Remote Desktop Protocol) auf Zielcomputer zu. Dies ist ein Windows-Dienstprogramm, mit dem andere Benutzer aus der Ferne auf Ihren Desktop zugreifen können. Das Deaktivieren von RDP kann einen großen Beitrag zum Schutz Ihres Computers vor Remote-Angriffen leisten.
Für die Sicherheit sind Sie immer gemeinsam mit Ihren Mitarbeitern verantwortlich. Führen Sie deshalb regelmäßig Mitarbeiterschulungen zur System- und Netzwerksicherheit, zur Bedrohungsanalyse und zu ihrer Rolle bei der Bekämpfung der Internetkriminalität und Ransomware durch.
Malware-Entwickler rechnen häufig damit, dass Benutzer veraltete Software ausführen, deren bekannte Schwachstellen sie für ihren persönlichen oder finanziellen Vorteil ausnutzen können. Regelmäßige Software-Updates können das Angriffspotenzial erheblich verringern. Dies liegt daran, dass einige Anbieter sowohl regelmäßige Sicherheits-Updates als auch Notfall-Updates veröffentlichen.
Sie können Programme automatisch aktualisieren lassen oder Updates manuell von der Website eines Anbieters herunterladen. Beachten Sie, dass Täter ihre Software auch gerne als Update-Benachrichtigungen tarnen.
Wenn Sie sowohl über eine Firewall als auch über Anti-Malware-Software verfügen, können Sie eine potenzielle Bedrohung oder ein verdächtiges Verhalten frühzeitig erkennen. Sie benötigen beide Verteidigungsebenen, da Malware-Entwickler häufig neue Varianten senden, um eine Erkennung zu vermeiden.
Die meisten Malware-Typen werden aus der Ferne ausgeführt. Wenn eine neue Ransomware-Variante von Ihrer Sicherheitssoftware nicht erkannt wird, besteht die Möglichkeit, dass sie von der Firewall blockiert wird, wenn sie versucht, eine Remoteverbindung mit ihrem C&C-Server herzustellen.
Es gibt mehrere Maßnahmen zur Verhinderung von Ransomware, die Sie ergreifen können, um unbefugten Zugriff zu verhindern. Diese Sicherheitsmaßnahmen können Ihre Abwehr erheblich verbessern und Sie vor allen Arten von Cyberangriffen schützen. Dazu gehören:
Sie sollten Einschränkungen für jeden Auftragnehmer oder Mitarbeiter einrichten, der:
Jede Person, jeder Mitarbeiter und Auftragnehmer, die bzw. der Zugriff auf Ihre Systeme hat, schafft eine potenzielle Sicherheitslücke, die Angreifer ausnutzen können. Fluktuation, unzureichende Einschränkungen und das Versäumnis, Kennwörter zu aktualisieren, können die Angriffswahrscheinlichkeit erhöhen.
Sie müssen ein mehrstufiges Erkennungssystem einrichten, um umfassenden Schutz zu gewährleisten. Es sollte über Endgeräteschutz für Benutzersysteme, Intrusion Detection, Enterprise-Virenschutz für Server, Erkennung bekannter Malware, zentrale Protokollierung für Ereigniskorrelation, Netzwerkport-Überwachung und Datenmustererkennung verfügen.
Die schnelle Erkennung böswilliger Aktivitäten ermöglicht die sofortige Eindämmung, bevor es zu einer Ausbreitung und weiteren Schaden kommt. Alle Ihre infizierten Systeme sollten isoliert, repariert und wiederhergestellt werden. Manchmal erkennen Ihre Systeme einen erfolgreichen Ransomware-Angriff möglicherweise erst, wenn es zu spät ist und Sie keinen Zugriff auf Ihre Daten mehr haben. Sogar Ihre Backups können kompromittiert und dadurch unbrauchbar werden.
Daher müssen Ihre Systemadministratoren während der Erkennungsphase wachsam bleiben, damit sie schnell Maßnahmen zur Eindämmung einleiten können, um den Angriff zu stoppen und verschlüsselte Daten wiederherzustellen. Systemadministratoren sollten auch effektive Tools von Drittanbietern installieren, mit denen Angriffe erkannt werden können.
Leider gibt es keine 100%-ige Garantie für Cybersicherheit. Ganz gleich, wie gut Ihre IT-Abteilung in der Erkennung und Blockierung von Angriffen ist: Gelegentlich kommt es zu erfolgreichen Angriffen, die Unternehmen zu einer Wiederherstellung zwingen.
Dabei hängt die Wiederherstellungszeit nach Ransomware-Angriffen davon ab, wie weit sich der Angriff ausbreiten konnte und wie gut Sie vorbereitet sind. Unabhängig davon, ob nur einige wenige Dateien verschlüsselt wurden oder sämtliche Daten an einem Standort, sind in der Regel Ihre wichtigsten Daten von dem Verlust betroffen. Dies ist ein Bewährungstest für Ihre Disaster Recovery-Verfahren und -Tools.
Eine effektive Ransomware-Abwehr hängt letztendlich von Ihrem Know-how ab. Nehmen Sie sich Zeit, um sich mit den besten Optionen für Software-Updates und automatisierte Daten-Backups vertraut zu machen. Sich selbst und Ihre Mitarbeiter über die verräterischen Anzeichen einer Bedrohung oder eines Angriffs sowie über Verbreitungstaktiken wie gefälschte Websites, Drive-by-Downloads und Phishing-Angriffe aufzuklären, sollte für Sie oberste Priorität haben, da dieses Wissen Ihnen helfen wird, sich gemeinsam vor Ransomware zu schützen.
Sie müssen auch Sicherheitslösungen implementieren, die einen erweiterten Schutz vor Bedrohungen ermöglichen. EDR-Tools (Endpoint Detection and Response) eignen sich perfekt zur Überwachung von Aktivitäten in Netzwerken und auf Endgeräten, um Bedrohungen zu identifizieren und unschädlich zu machen. NetBackup-Tools tragen ebenfalls wesentlich dazu bei, Ransomware und andere Angriffstypen zu erkennen und zu verhindern.
Es gibt drei Arten von Tools zur Beseitigung und Vorbeugung von Ransomware. Die erste Kategorie sind Tools zur Desinfektion für Computer, die sauber sein müssen, bevor Sie nach einem Vorfall Daten wiederherstellen können. Diese Funktion ist in vielen gängigen Antivirus-Programmen vorhanden.
Die erste Kategorie sind Tools zur Desinfektion für Computer, die sauber sein müssen, bevor Sie nach einem Vorfall Daten wiederherstellen können. Diese Funktion ist in vielen gängigen Antivirus-Programmen vorhanden.
Die zweite Kategorie umfasst Entschlüsselungs-Tools, die sofort nach einem erfolgten Angriff gestartet werden. Leider ist die Wirksamkeit dieser Tools begrenzt und beruht darauf, dass Experten die einzelnen Schlüsseldatenbanken der Angreifer rekonstruieren, sofern sie aufgespürt wurden.
Die dritte Kategorie sind Schutz-Tools gegen Ransomware, die mithilfe von Verhaltensanalysen Ereignisse erkennen, die auf das Vorhandensein von Ransomware in einem System hinweisen und diese blockieren, bevor es zu Schäden kommt.
Zu den aktuell besten Ransomware-Tools gehören Veritas NetBackup-Appliances, Ransomware Screen Unlocker von TrendMicro, Avast-Tools, BitDefender, Kaspersky-Tools und -Entschlüsselungsprogramme, AVG-Entschlüsselungsprogramme, Webroot SecureAnywhere-Tools, Malwarebytes, McAfee Interceptor Review, No More Ransom und CryptoPrevent.
Das Testen der Wirksamkeit von Ransomware-Schutz-Tools anhand realer Proben ist unglaublich schwierig. Darüber hinaus sind einige Tools spezifisch für bestimmte Vorfälle, die in der Vergangenheit auftraten, aber heute möglicherweise nicht mehr.
Der beste Weg, um die Effektivität dieser Tools zu testen, besteht darin, eine virtuelle Maschine (VM) einzurichten, die Ihrer Systemumgebung entspricht, aber keinen tatsächlichen Netzwerkzugriff hat. Von hier aus können Sie verschiedene Angriffssituationen testen und Wiederherstellungspunkte aus Ihren Backups (z.B. Veritas NetBackup-Appliance) verwenden, um deren Wirksamkeit zu überprüfen.
Crypto-Ransomware für Computersysteme hat sich in den letzten Jahren zu einem Massenphänomen entwickelt. Ohne geeignete Schutz-Tools und Schulungen ist es zu spät, um den Angriff abzuwehren und weitere Schäden zu vermeiden, wenn Sie die Lösegeldforderung sehen. Der Ausbruch verschiedener Ransomware-Typen wie WannaCry oder NotPetya hat gezeigt, welchen erheblichen Schaden ein stark verbreiteter Angriff anrichten kann.
Während Antivirus-Programme immer besser darin werden, einige Arten von Ransomware zu erkennen und zu blockieren (meist indem auf verdächtiges Verhalten geachtet wird), bleibt die richtige Art von Backups die beste Verteidigung gegen diese und andere Malware-Angriffe. Veritas NetBackup-Appliances bieten eine Reihe von Produkten, mit denen Sie Angriffe verhindern und erkennen sowie Ihre Daten wiederherstellen können.
Zu den Veritas-Kunden zählen 95 % der Fortune 100-Unternehmen, und NetBackup™ ist die erste Wahl für Unternehmen, die große Datenmengen schützen müssen.
Erfahren Sie, wie Veritas mit Services für die Datensicherheit in Unternehmen Ihre Daten in virtuellen, physischen, Cloud- und Legacy-Workloads schützt.