Was ist Ransomware und wie kann man sich vor ihren Gefahren schützen

Ransomware ist eine große Bedrohung, die sowohl Heim- als auch Geschäftsanwender betrifft.

Mit einem vorübergehenden oder dauerhaften Verlust von Daten und Informationen beeinträchtigt Ransomware Ihr Kapital und den Ruf Ihres Unternehmens. Es ist wichtig, Ihre Vermögenswerte vor einem Ransomware-Angriff zu schützen, bevor es zu spät ist, die möglichen Konsequenzen zu erkennen.

Zuerst müssen Sie Ihr Sicherheitsframework auf Schwachstellen untersuchen, die ein bösartiges Ransomware-Programm einladen könnten, jedes Protokoll überwachen, um aufkommende Ransomware-Bedrohungen zu erkennen, und die besten Praktiken der Cybersicherheit anwenden, um eine starke Verteidigung aufzubauen.

Software wie SIEM-Software, Antivirus-Lösungen, Schwachstellenbewertungstools, E-Mail-Anti-Spam-Software helfen, Ransomware zu bekämpfen.

Was ist ein Ransomware-Angriff? 

Ausgehend von seinen Wurzeln in der Kryptovirologie (dem Studium der Kryptographie zur Gestaltung bösartiger Software) verschlüsselt Ransomware die Dateien der Opfer auf einer Festplatte und fordert eine Zahlung, um sie zu entschlüsseln. Einige Malware-Programme sind einfach, wie Scareware, die eine sachkundige Person leicht überwinden kann, um Zugang zu ihren Daten zu erhalten. Viele Ransomware-Programme nutzen jedoch Techniken wie die kryptovirale Erpressung, bei der die Entschlüsselung der Dateien ohne den Entschlüsselungsschlüssel kompliziert wird.

Hacker verwenden in der Regel Trojaner, die als echte Dateien getarnte Malware, um eine Ransomware-Infektion durchzuführen. Sie müssen vorsichtig sein, wenn Sie eine Datei herunterladen, die als legitimer Anhang in Ihrer E-Mail kam, oder auf einen Link klicken, der Sie zu einer gefälschten Website führt, da es sich leicht um einen Social-Engineering-Angriff wie Phishing handeln kann. Trojaner können auch durch eine Schwachstelle im Netzwerkdienst eingesetzt werden. 

In der aktuellen Cybersicherheitslandschaft entwickeln Hacker Stämme von KI-gestützter Malware, die die Bedingungen verbergen, die erforderlich sind, um die Dateien zu entsperren, während sie nicht nachverfolgbare bösartige Software auf Ihrem Gerät einsetzen.

Angesichts der Ausfallzeiten, des Daten- und Informationsverlusts, der Beeinträchtigung der Funktionalität, der Gerätekosten, der Netzwerkkosten, der Lösegeldforderung und mehr kann ein Ransomware-Angriff einem Unternehmen einen erheblichen finanziellen Verlust zufügen. Es ist wichtig, geeignete Präventivmaßnahmen zu ergreifen, um Ihr Netzwerk und System vor solchen Malware-Angriffen zu schützen.

Wie funktioniert Ransomware?

Datei-verschlüsselnde Ransomware folgt einer Technik der kryptoviralen Erpressung. Das Konzept wurde ursprünglich von Young und Yung an der Columbia University erfunden. Dann wurde es auf der IEEE Security and Privacy Konferenz 1996 vorgestellt.

In diesem Prozess wird der private Schlüssel des Angreifers dem Opfer nie offengelegt. Da der symmetrische Schlüssel zufällig generiert wird, kann er nicht von anderen Ransomware-Opfern verwendet werden.

Wenn Ransomware in die Systeme eindringt, führt sie eine Nutzlast aus – ein Programm, das bösartige Aktionen durchführt. Die Nutzlast sperrt das System oder behauptet, es zu sperren (wie ein Scareware-Programm). In einigen Fällen zeigt sie eine Warnmeldung an, die behauptet, Sie hätten illegale Aktivitäten auf Ihrem System durchgeführt.

Es gibt Fälle, in denen Ransomware Sie aus dem Betriebssystem aussperrt, indem sie die grafische Benutzeroberfläche (GUI) in Microsoft Windows oder den Master Boot Record ändert, um einen Neustart zu verhindern.

Arten von Ransomware

Es gibt verschiedene Arten von Ransomware, die entwickelt wurden, um mehrere Motive des Angreifers zu befriedigen. Werfen Sie einen Blick auf die Typen, um einen Ransomware-Angriff zu identifizieren, falls Sie jemals auf einen stoßen.

Datei-verschlüsselnde Ransomware

Datei-verschlüsselnde Ransomware sind Programme, die eine Nutzlast in Ihren Systemen einsetzen, die Ihre Dateien mit Techniken wie kryptoviraler Erpressung und anderen verschlüsselt. Wenn sie eingesetzt wird, führt das Malware-Programm eine Nutzlast aus, die Sie auf typische Weise aus Ihrem System aussperrt. Diese Nutzlasten können manchmal falsche Warnmeldungen von Strafverfolgungsbehörden anzeigen, die Sie über illegale Aktivitäten auf Ihrem System informieren.

In einigen Fällen kann es eine zweistufige Nutzlast geben, bei der das Opfer dazu verleitet wird, ein Skript auszuführen, das das Hauptvirus in das System herunterlädt. In frühen Versionen des Dual-Payload-Ransomware-Programms enthielt ein Microsoft 365-Dokument ein Skript mit einem angehängten VBScript-Makro oder es war in der Windows Scripting Facility (WSF)-Datei vorhanden.

Auch bestimmte Stämme von Datei-verschlüsselnder Ransomware verwenden Proxys, die mit dem Tor-Hidden-Service verbunden sind, was es schwierig macht, den genauen Standort des Cyberkriminellen zu verfolgen.

Nicht-verschlüsselnde Ransomware

Nicht-verschlüsselnde Ransomware-Programme sind kein Teil von Verschlüsselungstools, aber sie schränken den Zugriff auf Ihre Dateien und Informationen ein. Es gibt Fälle, in denen Benutzer aus ihren Systemen ausgesperrt werden und pornografische Bilder angezeigt werden, sodass der Benutzer aufgefordert wird, Premium-SMS zu senden, um einen Code zum Entsperren zu erhalten. 

Die Ransomware Winlock folgte einem ähnlichen Verfahren im August 2010 und schaffte es, über 16 Millionen US-Dollar von verschiedenen Endbenutzern zu erpressen.

Manchmal ist das Hauptziel von nicht-verschlüsselnder Malware, den Benutzer zu frustrieren, um Versuche zu unternehmen, die Seite zu schließen. In solchen Fällen können Benutzer eine Warnmeldung sehen, die sie für illegale Handlungen auf ihrem Gerät verantwortlich und haftbar macht. 

Leakware

Es wird auch als Extortionware, Doxware und Exfiltrationware bezeichnet. Einfach ausgedrückt ist Leakware das Gegenteil von Ransomware. In Fällen, in denen letztere den Zugriff eines Benutzers auf seine Informationen einschränkt, droht Leakware dem Benutzer, seine Informationen öffentlich zu machen. Die Angreifer setzen das Opfer unter Druck, das Lösegeld zu zahlen, um die Offenlegung ihrer sensiblen Daten zu vermeiden. 

Leakware-Programme zielen hauptsächlich auf Benutzer ab, die Informationen Dritter in ihren Systemen gespeichert haben. Dazu gehören Kundendaten, Finanzdaten und mehr. Benutzer, die Informationen wie Geschäftsgeheimnisse oder vertrauliche Informationen eines Produkts haben, können auch potenzielle Ziele solcher Angriffe sein. Informationen, die für einen Benutzer wichtig sind, wie ihre sensiblen Gesundheitsdaten oder peinliche Informationen, treiben in vielen Fällen auch einen Leakware-Angriff an.

Mobile Ransomware

Als die Popularität von Ransomware auf Computersystemen zunahm, war ihre Einführung in Mobiltelefone unvermeidlich, da sie lohnend war. Angreifer zielten hauptsächlich auf Android-Smartphones ab, um die Möglichkeit zu nutzen, Apps aus Drittanbieterquellen herunterzuladen und zu installieren.

Bei mobiler Ransomware lädt eine ahnungslose Person eine App herunter, die ein als APK-Datei getarntes Ransomware-Programm ist. Die Nutzlast führt ein Programm aus, das eine Sperr- oder Warnmeldung über anderen Anwendungen auf Ihrem Telefon anzeigt. Manchmal kann die Nutzlast Sie dazu verleiten, Administratorrechte zu gewähren, bei denen die Ransomware tiefer in Ihr Gerät eindringen kann. 

Ransomware kann auch digitale Kameras betreffen, indem sie Schwachstellen im Picture Transfer Protocol (PTP) ausnutzt. Ein solcher Angriff wurde im August 2019 auf der Defcon als Proof-of-Concept-Angriff vorgestellt.

Ransomware as a Service (RaaS)

RaaS erfüllt die Bedürfnisse eines Hackers, um einen Ransomware-Angriff zu starten. Es ist wie ein SaaS-Angebot, bei dem einige Cybercrime-Organisationen eine monatliche Lizenzgebühr erheben, während andere eine Provision aus dem von einem Opfer erpressten Lösegeld nehmen.

Ein typisches RaaS-Abonnement kostet etwa 50 US-Dollar und enthält einen Ransomware-Code und einen Entschlüsselungsschlüssel. Es ermöglicht Anfängern mit geringen Fähigkeiten im Hacking, in die Welt der Cyberkriminalität einzutreten und ihre bösartigen Methoden und Taktiken zu testen.

RaaS-Organisationen führen ihre Operationen auf dem Dark Web auf raffinierte Weise durch. Wie jedes typische SaaS-Geschäft hat RaaS drei Abonnementmodelle: Gold, Silber und Bronze.

Doppel- und Dreifach-Erpressungsransomware

Doppel- und Dreifach-Erpressungsransomware sind fortschrittliche und zunehmend bösartige Formen von Ransomware-Angriffen, die in den letzten Jahren aufgetaucht sind.

Doppel-Erpressung folgt dem normalen Ransomware-Angriffsmuster, indem Opfer dazu erpresst werden, ein Lösegeld zweimal zu zahlen.

Dreifach-Erpressungsransomware geht einen Schritt weiter, indem sie eine dritte Bedrohungsebene einführt. Zusätzlich zur Verschlüsselung der Daten des Opfers und der Drohung, sie zu leaken, drohen Angreifer auch, die Geschäftsabläufe des Opfers zu stören oder einen Distributed Denial of Service (DDoS) Angriff auf ihre Systeme zu starten, wenn das Lösegeld nicht bezahlt wird.

Was ist die Auswirkung von Ransomware? 

Fast ein Viertel (24%) der Vorfälle, die Malware betreffen, sind Ransomware. Die Auswirkungen eines Ransomware-Angriffs können verheerend sein. Selbst wenn Sie das Lösegeld zahlen, gibt es keine Garantie, dass Sie Zugriff auf Ihre Daten erhalten, was zu noch schlimmeren Konsequenzen führen kann. 

Es spielt keine Rolle, ob Sie aus einem großen oder einem kleinen Unternehmen stammen; ein Ransomware-Angriff wird sowohl Ihr Kapital als auch Ihren Ruf beeinträchtigen, was ein kostbares Gut im Geschäft ist. Es kann auch zu erheblichen Ausfallzeiten mit einer verlängerten Wiederherstellungszeit führen, was Ihr Geschäft verheerend beeinträchtigt.

Wie schützt man sein Netzwerk vor Ransomware?

Ransomware ist eine anhaltende Bedrohung für Heim- und Unternehmensbenutzer gleichermaßen. Da sie zu einem vorübergehenden oder dauerhaften Informationsverlust für eine Entität führt und finanzielle und rufschädigende Verluste verursacht, ist es wichtig, Milderungsstrategien zu haben. Sie sollten die besten Praktiken der Branche übernehmen, die sich auf die Prävention und Reaktion auf einen Ransomware-Angriff konzentrieren.

Haftungsausschluss: Diese Richtlinien basieren auf Empfehlungen der US-Regierung. G2 bietet keine Rechtsberatung an. Wenn Sie rechtliche Fragen haben, konsultieren Sie einen zugelassenen Anwalt.

Schulen Sie Ihr Personal

Mitarbeiter sind vielleicht der einfachste Weg für Cyberakteure, Ihre Sicherheitsverteidigung zu durchdringen. Es ist von größter Bedeutung, Ihre Mitarbeiter gegen die Techniken bösartiger Hacker zu schulen, um Malware in Ihre Netzwerke einzuschleusen.

Bildung Ihrer Mitarbeiter, nicht auf Social-Engineering-Versuche hereinzufallen, die sie dazu verleiten, auf einen unaufgeforderten Link zu klicken oder ihre Passwörter preiszugeben. Es ist ratsam, Ihr Team mit simulierten Phishing-E-Mails, Pretexting und mehr zu testen.

Ergreifen Sie präventive Maßnahmen

Der beste Weg, um Ihre Netzwerke zu schützen vor Ransomware ist es, geeignete präventive Maßnahmen zu ergreifen und Vorsichtsmaßnahmen zu treffen. Um eine Ransomware-Injektion zu vermeiden, empfiehlt die US-Regierung die folgenden Vorsichtsmaßnahmen.

• Implementieren Sie ein Schulungsprogramm, um das Bewusstsein unter Ihren Mitarbeitern zu verbreiten und sicherzustellen, dass sie gut über Ransomware und deren Verbreitung informiert sind.
• Authentifizieren Sie eingehende E-Mails, um E-Mail-Spoofing zu verhindern. Stellen Sie sicher, dass Sie E-Mail-Spam-Filter haben, um Phishing-Versuche zu verhindern.
• Scannen Sie eingehende und ausgehende E-Mails, um zu verhindern, dass ausführbare Dateien die Benutzer erreichen.
• Blockieren Sie bösartige IP-Adressen, indem Sie Ihre Firewall konfigurieren. 
• Erwägen Sie die Verwendung eines Patch-Management-Systems, um Firmware, Software und Betriebssysteme auf Ihrem Computer zu patchen.
• Führen Sie regelmäßig einen Scan auf Viren und Malware mit Antivirensoftware und Anti-Malware-Software durch.
• Regulieren Sie Benutzerzugriffsrechte effektiv. Stellen Sie sicher, dass keinem Benutzer Admin-Zugriff gewährt wird, bis es unvermeidlich wird. Diejenigen, die Admin-Rechte benötigen, sollten sie mit Vorsicht und nur bei Bedarf verwenden.
• Verwalten Sie Zugriffsrechte auf Dateien, Verzeichnisse und Freigaben mit der Struktur des geringsten Privilegs im Hinterkopf.
• Erwägen Sie die Verwendung eines Office-Viewers, um MS-Office-Dateien zu öffnen, die per E-Mail geliefert werden, anstatt die vollständige Suite zu verwenden. Stellen Sie sicher, dass Makros für Dateien, die per E-Mail übertragen werden, deaktiviert sind.
• Verhindern Sie die Ausführung eines Programms von gängigen Ransomware-Standorten wie temporären Ordnern, die beliebte Internetbrowser unterstützen.
• Wenn das Remote Desktop Protocol (RDP) nicht verwendet wird, sollten Sie es deaktivieren.
• Erlauben Sie die Ausführung von Programmen nur aus bekannten und vertrauenswürdigen Quellen.
• Verwenden Sie virtualisierte Umgebungen, um Betriebssystemumgebungen oder bestimmte Programme zu verwenden.
• Aktivieren Sie die logische und physische Trennung von Netzwerken für verschiedene Einheiten in Ihrer Organisation, während Sie Daten basierend auf dem organisatorischen Wert kategorisieren.

Stellen Sie die Geschäftskontinuität sicher

Da Ransomware-Angriffe zu einem vorübergehenden oder dauerhaften Datenverlust führen können, ist es ratsam, ein Daten-Backup bereit zu haben. Es hilft Ihnen, die Geschäftskontinuität sicherzustellen, falls der unglückliche Vorfall eintritt. 

Die US-Regierung empfiehlt, mindestens einmal im Jahr Penetrationstests und Schwachstellenbewertungen durchzuführen.

Stellen Sie sicher, dass Ihre Backups sicher sind und nicht dauerhaft mit dem Computer oder den Netzwerken verbunden sind, die sie sichern. Es gibt Fälle, in denen cloudbasierte Backups in einem Ransomware-Vorfall gesperrt werden könnten, bei dem die Systeme und Netzwerke die Informationen in Echtzeit sichern. Diese sind von entscheidender Bedeutung für die Vorfallreaktion und -wiederherstellung, da sie Ihnen helfen, wieder in Betrieb zu gehen, um Ausfallzeiten zu vermeiden, wenn Vorfälle auftreten.

Echte Beispiele für Ransomware-Angriffe

Ransomware-Angriffe haben seit jeher sowohl Einzelpersonen als auch Unternehmen verwüstet. Hier sind einige Ransomware-Angriffe, aus denen man lernen kann.

Reveton

Eine Ransomware namens Reveton, basierend auf dem Citadel-Trojaner, verbreitete sich 2012 in europäischen Ländern. Ihre Nutzlast zeigte eine alarmierende Nachricht von Strafverfolgungsbehörden an, die behauptete, dass es illegale Aktivitäten wie das Herunterladen von unlizenzierten Software oder Kinderpornografie auf Ihrem Gerät gegeben habe. Die Nachricht forderte die Benutzer auf, eine Geldstrafe mit einem anonymen Prepaid-Cash-Service-Gutschein wie einem Paysafecard zu zahlen.

Um die falsche Illusion zu verstärken, wurden den Benutzern ihre IP-Adressen und Aufnahmen von ihrer Webcam gezeigt, um zu beweisen, dass sie verfolgt wurden und die Nachricht tatsächlich von einer Strafverfolgungsbehörde stammte. 

Der Ransomware-Trojaner verwendete Logos der Metropolitan Police Service, der Police National E-Crime Unit und der Verwertungsgesellschaft PRS for Music, insbesondere wenn er den Benutzer beschuldigte, illegale Musik heruntergeladen zu haben. Im Jahr 2012 begann er zunächst in europäischen Ländern zu verbreiten, und später, im August 2012, wurden Reveton-Varianten in den Vereinigten Staaten entdeckt.

Cryptolocker 

Cyptolocker-Ransomware-Angriff trat erstmals im September 2013 auf und infizierte Maschinen, die Microsoft Windows-Betriebssysteme verwendeten. Die Ransomware wurde als E-Mail-Anhang übertragen, der die Tatsache ausnutzte, dass das Windows-Betriebssystem die Dateierweiterung nicht anzeigte und sie als PDF-Datei tarnte. Da es sich um eine Datei-verschlüsselnde Ransomware handelte, zeigte sie eine Nachricht an, um eine Zahlung in Bitcoin oder Prepaid-Gutscheinen zu leisten, um die Dateien vor einer angegebenen Frist zu entsperren.

Es wird angenommen, dass Cryptolocker etwa 3 Millionen US-Dollar von den Opfern erpresste, bevor es im Mai 2014 durch die Operation Torvar isoliert wurde, die das Gameover Zeus-Botnetz, das für seine Verbreitung verwendet wurde, ausschaltete.

Im September 2014 wurden Benutzer in Australien von einer Ransomware namens Cryptolocker. F, identifiziert von Semantic und nicht mit dem ursprünglichen Cryptolocker verwandt, aufgrund der Unterschiede in den Operationen, angegriffen. Der Malware-Trojaner wurde durch E-Mails verbreitet, die als fehlgeschlagene Paketzustellungsbenachrichtigungen von Australia Post getarnt waren, um E-Mail-Scanner zu umgehen. Die Nutzlast wurde bereitgestellt, wenn ein Benutzer eine Webseite besuchte und einen CAPTCHA-Code eingab. 

CryptoWall

CryptoWall erschien 2014, wo es Benutzer mit Windows-Betriebssystemen angriff. Ein Stamm von CryptoWall verbreitete sich durch Malvertising im Zedo-Werbenetzwerk und zielte auf mehrere prominente Websites ab. Es setzte die Nutzlast ein, nachdem es die Benutzer auf bösartige Websites umgeleitet hatte und das Browser-Plugin-Exploit-Kit verwendete. Barracuda Networks beobachtete, dass die Nutzlast mit der digitalen Signatur signiert war, um einen falschen Anschein von Authentizität zu erwecken. 

CryptoWall 3.0 wurde durch betrügerische E-Mails verbreitet, die die Nutzlast durch Ausführen eines bösartigen Codes im JavaScript bereitstellten, der als .jpg-Datei im E-Mail-Anhang getarnt war. Es erstellte auch neue Instanzen von explorer.exe und svchost.exe, um mit den Servern zu kommunizieren und der Erkennung zu entgehen.

Die Ransomware löschte die Volume-Schattenkopie und installierte Spyware, um Passwörter und Bitcoin-Wallets während der Verschlüsselung zu stehlen. Rund 1000 Opfer kontaktierten das FBI, um eine CryptoWall-Infektion zu melden, mit einem geschätzten Verlust von mindestens 18 Millionen US-Dollar. Der neueste Ransomware-Stamm, CryptoWall 4.0, modifizierte seinen Code, um der Erkennung durch Antivirenprogramme zu entgehen, und verschlüsselte sowohl Dateien als auch die Dateinamen. 

Fusob

Fusob erschien 2015 als typische mobile Ransomware, die Benutzer erschreckt, um von ihnen zu erpressen. Es zeigt Warnmeldungen an, um eine Geldstrafe für illegale Aktivitäten auf Ihrem Gerät zu zahlen, oder andernfalls rechtliche Konsequenzen zu erleiden. Die Ransomware tarnt sich als pornografischer Videoplayer und verleitet Benutzer dazu, sie herunterzuladen. 

Wenn heruntergeladen, überprüft Fusob die Sprache des Mobilgeräts; wenn es eine andere Sprache als Russisch oder bestimmte osteuropäische Sprachen verwendet, sperrt es das System und fordert ein Lösegeld, um es zu entsperren. Die Ransomware betraf Opfer in Deutschland, Großbritannien und den USA.

WannaCry

WannaCry-Ransomware verwendet einen Exploit-Vektor namens Eternal Blue, der angeblich von der US National Security Agency (NSA) durchgesickert ist. Es erschien im Mai 2017 und verbreitete sich in über 150 Ländern, wo es ein Lösegeld in Bitcoin forderte. 

Der Angreifer gab den Opfern eine Frist von sieben Tagen, nach der, wenn ein Lösegeld von 300 US-Dollar nicht bezahlt wurde, sie die verschlüsselten Daten und Dateien löschen würden. Es betraf den britischen National Health Service (NHS) so sehr, dass 16 Krankenhäuser Patientenbesuche und geplante Operationen absagen mussten.

Petya

Petya-Ransomware trat im März 2016 auf. Sie zielte auf den Master Boot Record ab, indem sie das NTFS-Dateisystem verschlüsselte. Wenn das System neu gestartet wurde, blockierte Petya es daran, in Windows zu booten. Im Juni 2017 wurde ein Stamm von Petya verwendet, um einen globalen Cyberangriff durchzuführen, der hauptsächlich auf die Ukraine abzielte, aber auch mehrere andere Länder betraf. 

Sicherheitsexperten spekulierten, dass der Angriff nicht dazu gedacht war, Lösegeld vom Benutzer zu erpressen, sondern um Störungen zu verursachen. Aufgrund bestimmter Designänderungen gab es keine Möglichkeit, es nach Zahlung des Lösegelds zu entsperren.

SamSam

Im Jahr 2016 tauchte eine neue Ransomware-Variante namens SamSam auf, die auf Jboss-Server abzielte. Sie nutzte Schwachstellen auf schwachen Servern aus, indem sie einen Remote-Desktop-Protokoll (RDP)-Brute-Force-Angriff durchführte, um schwache Passwörter zu erraten, bis eines gebrochen wurde. 

Sie zielte auf Gesundheits- und Regierungsbehörden ab, durch die die Autoren etwa 6 Millionen US-Dollar erpressten und einen geschätzten Schaden von über 30 Millionen US-Dollar verursachten.

Schützen Sie Ihre Vermögenswerte vor Ransomware

Ransomware hat Institutionen und Organisationen in Bezug auf Finanzen und Ruf enormen Schaden zugefügt. Sie können nie vorhersagen, wann und wie sie an Ihrer digitalen Türschwelle auftauchen könnte. Das Einzige, was Sie tun können, ist, sich bewusst und vorbereitet zu sein – immer.

Bereit, den nächsten Schritt zu machen? Entdecken Sie Malware-Analyse-Tools, um verschiedene Malware in Ihrem System zu isolieren und zu untersuchen.   

Dieser Artikel wurde ursprünglich im Jahr 2020 veröffentlicht. Der Inhalt wurde mit neuen Informationen aktualisiert.