Leitfaden zu Ransomware

Leitfaden zu Ransomware

Organisationen in jeder Branche können Ziel von Cyberkriminalität mit Gewinnabsicht sein. In dem umfassenden Leitfaden finden Sie Ratschläge zur Prävention, Erkennung und Wiederherstellung von Ransomware.

Inhaltsverzeichnis

Wenn es um Sicherheitsherausforderungen geht, sind Unternehmen aller Größenordnungen durch die Häufigkeit und Schwere von Ransomware-Angriffen alarmiert. Cyberkriminelle haben es mit spezieller Malware auf jede Branche abgesehen und fordern Lösegeld in ungeahnter Höhe. In diesem umfassenden Leitfaden über Ransomware werden die Arten von Angriffen, gängige Angriffsvektoren, Präventionsmethoden und -tools sowie bewährte Verfahren zur Wiederherstellung erläutert.

Was ist Ransomware?

Ransomware ist eine spezielle Art von Malware, die Daten auf dem Computer des Opfers sperren und verschlüsseln kann. Die Angreifer benachrichtigen dann das Opfer, dass ein Exploit stattgefunden hat und die Daten erst nach Erhalt einer Zahlung entsperrt oder entschlüsselt werden können.

Malware ist der Oberbegriff für jeden bösartigen Code oder jedes Programm, das einem Angreifer explizit die Kontrolle über ein System gibt. Ransomware ist spezifisch, wenn Angreifer eine Zahlung verlangen, um den Zugriff freizugeben oder die Daten zu entschlüsseln und den Opfern den Zugang wieder zu ermöglichen. Wenn Angreifer die Daten eines Opfers auslesen und dann damit drohen, sie preiszugeben, wenn ihre Forderungen nicht erfüllt werden, wird der bösartige Code, der den Angriff ausgelöst hat, als Erpressersoftware bezeichnet.

Arten von Ransomware

Es gibt mehrere Arten von Ransomware, mit denen böswillige Angreifer Lösegeld erpressen. Die traditionellen Typen sind Crypto und Locker. Die zwei neuere Arten haben bei Angreifern an Popularität gewonnen.

  • Ransomware as a Service (RaaS) liegt vor, wenn Cyberkriminelle gegen eine Gebühr Zugang zu bösartigem Code erhalten.
  • Locker blockiert den Zugang zu Computern, und die Angreifer verlangen eine Zahlung, um den Zugang freizugeben.
  • Bei Crypto werden alle oder einige Dateien auf einem Computer verschlüsselt, und die Angreifer verlangen eine Zahlung, bevor sie einen Entschlüsselungsschlüssel aushändigen.
  • Doppelte Erpressung liegt vor, wenn Cyberkriminelle eine Zahlung für die Entschlüsselung der Dateien und eine weitere für die Nichtveröffentlichung verlangen.

Ransomware ist oft unter dem Namen des Malware-Stammcodes bekannt, wie z. B. AIDS-Trojaner, der vor 30 Jahren erstmals auftauchte. Seitdem haben Namen wie GPcode, Trojan WinLock und CryptoLocker aufgrund der von ihnen verursachten Schäden für Schlagzeilen gesorgt. In den letzten zehn Jahren tauchten WannaCry, Goldeneye und Petya auf.  Und vor kurzem hat eine Cyberkriminelle Bande die RaaS-Variante REvil verwendet, um 70 Millionen Dollar Lösegeld von dem Softwaretechnologieunternehmen Kaseya zu fordern.

Ransomware-Vektoren

Ransomware dringt über drei gängige Vektoren in Unternehmen ein: Phishing, Remote Desktop Protocol (RDP) und Missbrauch von Anmeldeinformationen sowie ausnutzbare Sicherheitslücken.

Phishing

Phishing, bei dem Malware in E-Mails eingebettet wird, ist nach wie vor eine der beliebtesten Methoden für Cyberkriminelle, ihre Nutzlast zu übermitteln. Phishing-E-Mails sind inzwischen sehr viel raffinierter geworden und verleiten selbst die versiertesten Benutzer dazu, auf schädliche Links zu klicken.

Sicherheitslücken durch mangelhafte Patching-Techniken

Angreifer suchen nach Schwachstellen, die sie ausnutzen können, und ungepatchte Systeme sind ein attraktives Einfallstor. Webseiten, einschließlich Plugins, und komplexe Softwareumgebungen, die mit Drittanbietern verbunden sind, ermöglichen das unbemerkte Einschleusen von Malware.

RDP und Missbrauch von Anmeldeinformationen

Cyberkriminelle können Malware über RDP einschleusen. RDP ist das Microsoft-eigene Protokoll für den sicheren Fernzugriff auf Server und Desktops. Wenn eine RDP-Umgebung ungesichert ist, verschaffen sich Angreifer Zugang durch Brute-Force-Methoden, legitime Zugangsdaten, die sie über kriminelle Websites erworben haben, und das Ausfüllen von Zugangsdaten.

Die wichtigsten Ransomware-Ziele

Zwar scheint keine Branche von Ransomware verschont zu bleiben, doch einige sind dafür anfälliger als andere.So haben beispielsweise Bildungseinrichtungen stark unter den Angreifern gelitten. 

Ransomware-Ziele nach Branche:

  • Bildung
  • Einzelhandel
  • Unternehmen, professionelle und juristische Dienstleistungen
  • Staatliche Stellen (einschließlich Bundesbehörden und internationale Behörden)
  • IT
  • Fertigung
  • Energie- und Versorgungsinfrastruktur
  • Gesundheitswesen
  • Kommunalverwaltung
  • Finanzdienstleistungen

Viele Unternehmen versuchen die Ransomware zu entfernen, aber das kann sich als äußerst schwierig erweisen. Sicherheitsexperten müssen dafür sorgen, dass die Malware nicht weiter in das System eindringen kann. Die folgenden Schritte zur Entfernung von Ransomware können dabei helfen:

  • Isolieren Sie das infizierte Gerät.
  • Bestimmen Sie den Ransomware-Typ, um gezieltere Abhilfemaßnahmen zu ermöglichen.
  • Entfernen Sie die Ransomware, indem Sie prüfen, ob sie gelöscht ist, sie mit Antimalware- oder Anti-Ransomware-Software in Quarantäne stellen, externe Sicherheitsexperten um Hilfe bitten und sie gegebenenfalls manuell entfernen.

Ransomware-Zahlungen abwägen

Die Entscheidung über die Zahlung eines Lösegelds während eines Ransomware-Angriffs kann sehr schwierig sein. Unternehmen sollten bereits ihre Kriterien für die Erfüllung oder Nicht-Erfüllung von Forderungen kennen. Sie sollten wissen, ob sie darauf vertrauen können, dass sie ihre Systeme und Backups schnell wiederherstellen können, wenn sie die Angreifer zurückweisen. Und sie sollten wissen, welche Schwachstellen sie in den Daten haben, die Angreifer gesperrt, verschlüsselt und potenziell ausgelesen haben.

Einige häufige Gründe für die Zahlung von Lösegeld sind folgende:

  • schnellere Wiederherstellungszeit;
  • Schaden für das Geschäft;
  • überhöhte Wiederherstellungskosten; und
  • Schutz von Kunden- oder Mitarbeiterdaten.

Unternehmen könnten sich gegen die Zahlung eines Lösegelds entscheiden, weil sie glauben, dass dies andere Angreifer ermutigen könnte oder künftige Zahlungen eskalieren könnten. Außerdem gibt es keine Garantie, dass die Daten zurückgegeben werden, und die Zahlung des Lösegelds könnte das Unternehmen in rechtliche Schwierigkeiten bringen.

Wenn Unternehmen sich nicht sicher sind, ob sie den Angreifern nachgeben sollen, können sie auf die Fähigkeiten eines erfahrenen Unterhändlers zurückgreifen. Verhandlungsführer können auch eingesetzt werden, um mit den Bedrohungsakteuren zu verhandeln und bei der Einigung auf einen Lösegeldbetrag zu helfen. Diese Dienstleistungen werden manchmal in Cyber-Versicherungsverträgen berücksichtigt.

Es überrascht nicht, dass sich der Versicherungsschutz für Cyberangriffe mit dem Aufkommen von Ransomware erheblich verändert hat, und Unternehmen sollten ihre Policen sorgfältig prüfen, um sicherzustellen, dass Ransomware-Angriffe abgedeckt sind.

Unternehmen sollten für Folgendes abgesichert sein:

  • Unterbrechung des Geschäftsbetriebs und des abhängigen Geschäftsbetriebs (eines Cloud-Anbieters oder Softwareherstellers);
  • Datenwiederherstellung; und
  • Kosten für Sicherheitsvorfälle und Sicherheitsverletzungen.

Tools zur Erkennung und Entfernung von Ransomware können dazu beitragen, die Wiederherstellung zu automatisieren oder zumindest zu beschleunigen. Sie können die gesamte Malware auf einem Gerät löschen, um sicherzustellen, dass es sauber ist.