zurück zum Glossar

Was ist

Ransomware

?

Wie funktioniert Ransomware?

Ransomware screenshot

Ransomware beginnt mit einer ersten Infektion des Systems einer Einzelperson oder eines Mitarbeiters bei der Arbeit. Es gibt zwei gängige Methoden, auf denen Ransomware ein Gerät infiziert: über bösartige E-Mails oder URLs.

Bösartige E-Mails, oft genannt Phishing oder Malspam-E-Mails, enthalten oft einen infizierten Anhang. Anhänge haben interessante oder dringende Namen, um Benutzer zum Öffnen zu bewegen. Oft geht es um Steuern, falsche Rechnungen, gefälschte Paketverfolgung oder aktuelle Ereignisse.

Manchmal werden bösartige URLs in E-Mails verwendet, um Benutzer zum Klicken zu verleiten, um webbasierte Angriffe mit Drive-by-Downloads oder Malvertising durchzuführen.

Schauen wir uns an, wie eine frühe Version von Ransomware, CryptoWall, funktioniert, sobald sie auf einem Endpunkt präsent ist. Wenn der Laptop infiziert ist, beschädigt CryptoWall explorer.exe, den Teil von Windows mit dem Startmenü, der Taskleiste, dem Desktop und dem Dateimanager, und startet ihn neu. Anschließend werden die Schattenkopien gelöscht, Malware installiert, Dienste deaktiviert usw. Es wird eine Persistenz hergestellt, sodass das Gerät durch einen Neustart nicht gelöscht wird.

Dann kommuniziert CryptoWall mit seinem Command-and-Control-Server, um den Verschlüsselungsschlüssel zum Sperren von Dateien zu erhalten. Mit dem Schlüssel werden alle Dateien auf dem lokalen System verschlüsselt, ebenso wie alle Dateien, die auf verbundenen Netzlaufwerken erreichbar sind. Aufgrund der Funktionsweise von Ransomware besteht die einzige Möglichkeit, wieder auf sie zuzugreifen, darin, den Verschlüsselungsschlüssel zu verwenden, den Sie erhalten, indem Sie das Lösegeld an die Gruppe hinter CryptoWall zahlen.

Wer sind die Täter?

Fortgeschrittene Ransomware-Angriffe können von Autoren ausgehen, die bestehende Ransomware-Varianten so weit ändern, dass sie durchgesetzt werden. Malware Scanner. Ransomware-Angreifer sind jedoch nicht immer Programmierer. Einige böswillige Akteure kaufen Malware-Software von Autoren und zahlen dem Entwickler einen Prozentsatz der Einnahmen. Dies wird als Ransomware-as-a-Service (RaaS) bezeichnet. Diese Kriminellen sind im Zeitalter der anonymen Kryptowährung schwer aufzuspüren.

Warum verbreitet sich Ransomware?

Gemeldete Ransomware-Vorfälle stieg 2021 um 62% im Vergleich zu 2020. Ransomware-Angriffe nehmen aus verschiedenen Gründen rasant zu.

Im Zeitalter von RaaS müssen Angreifer keine technischen Programmierer sein. Dies erweitert den Kreis der Personen, die über die Tools verfügen, um Cyberkriminelle zu werden. Es gibt auch viele Open-Source-Code- und Drag-and-Drop-Plattformen, mit denen Ransomware-Varianten erstellt werden können.

Darüber hinaus arbeiten immer mehr Benutzer von zu Hause aus und möglicherweise auf firmenfremden Computern. Dies öffnet die Tür für Phishing-E-Mails und bösartige Downloads.

Beispiele für Ransomware-Angriffe

Um Ransomware proaktiv zu verhindern, ist es wichtig, dass Unternehmen die Taktiken und Merkmale gängiger Ransomware-Angriffe verstehen.

Möchte weinen

WannaCry ist Ransomware, die sich von selbst verbreitet. Der Angriff nutzte den von der NSA entwickelten EternalBlue-Exploit, der verwendet wurde, um Computer zu kompromittieren, Malware zu laden und sich auf andere Computer auszubreiten. Insbesondere wurde eine Sicherheitslücke im Microsoft Server Message Block (SMB) ausgenutzt, die für Aufgaben wie die gemeinsame Nutzung von Dateien zwischen Windows-Computern verwendet wird. EternalBlue würde dann DoublePulsar installieren, um bösartigen Code auf einem infizierten System auszuführen.

Microsoft hatte zum Zeitpunkt des Angriffs Patches veröffentlicht. Viele der betroffenen Unternehmen hatten diese älteren Systeme jedoch nach Ablauf ihrer Lebensdauer noch nicht gepatcht.

Aufgrund seiner Fähigkeit, sich auszubreiten, hat es Schätzungen zufolge weltweit mehr als 200.000 Systeme infiziert.

Nicht Petya

Während die Welt immer noch von WannaCry erschüttert ist, trat NotPetya Ende Juni 2017 auf und wurde zum verheerendsten Angriff, den die Welt bisher gesehen hatte.

NotPetya schien auf den ersten Blick Ransomware zu sein, stellte sich jedoch als Wiper-Malware heraus, die nur zum Zerstören konzipiert war und über eine irreversible Verschlüsselung verfügte. Der Angriff begann damit, dass bösartige Akteure die ukrainische Steuerbuchhaltungssoftware MeDoc kompromittierten. MeDoc hatte Hunderttausende von Kunden, hauptsächlich in Europa, die die Software nutzten, um in der Ukraine Geschäfte zu tätigen. Wie jede Software veröffentlichte MeDoc ein unwissentlich kompromittiertes Update an Kunden, die diesem Anbieter-Update implizit vertrauten. Dabei handelte es sich um einen Angriff auf die Lieferkette, bei dem das Vertrauen zwischen Softwareanbietern und Kunden ausgenutzt wurde. Dabei wurde eine kompromittierte Software, MeDoc, als Brückenkopf auf Systemen ausgenutzt. Der Angriff wurde dann mit einer aktualisierten Version der Petya-Ransomware namens NotPetya gestartet.

Der Angriff breitete sich lateral aus, wobei EternalBlue und EternalRomance für ungepatchte Systeme oder gestohlene Anmeldeinformationen mithilfe von Passwort-Harvesting-Techniken verwendet wurden, um den Einsatz von Tools wie PsExec und WMI zu ermöglichen, sich auf mehr Systeme auszubreiten. Der weltweite Gesamtschaden im Zusammenhang mit NotPetya, das heute als geopolitische Cyberwaffe gilt, wurde auf 10 Milliarden Dollar geschätzt.

Doppelte Erpressung

Was hat Lady Gaga mit neuen Ransomware-Angriffstechniken zu tun?

Ihre ahnungslose Rolle bei doppelter Erpressung.

Ransomware-Angriffe sind noch schlimmer geworden, da einige Angriffe nun zu zusätzlichen Erpressungen führen können. Zunächst fassen Angreifer Fuß, finden sensible Daten und exfiltrieren sie auf ihre eigenen Server. Nachdem sensible Daten gestohlen wurden, verschlüsseln die Angreifer dann die Systeme. Die Systeme sind nicht nur gesperrt, sondern die vertraulichen Informationen können auch an die Öffentlichkeit weitergegeben werden, sofern die Opfer nicht zahlen. Dies erhöht den Druck auf Unternehmen, Lösegeld zu zahlen.

Vor Kurzem haben Angreifer eine Anwaltskanzlei im Unterhaltungsbereich ins Visier genommen und Daten zu hochkarätigen Mandanten wie Lady Gaga, Bruce Springsteen und Christina Aguilera gestohlen. Sie veröffentlichten zunächst Verträge im Zusammenhang mit Lady Gaga als Beweis für ihren Besitz sensibler Informationen.

Die Gruppe, die hinter dem Angriff stand, drohte, weitere Daten von Prominenten zu veröffentlichen, falls die Anwaltskanzlei sich weigere, die Lösegeldforderung zu zahlen, die rund 42 Millionen US-Dollar erreichte.

Die geschäftlichen Auswirkungen von Ransomware

Ransomware hat massive Auswirkungen auf die Produktivität von Unternehmen. Angreifer erpressen Unternehmen, indem sie damit drohen, sensible Daten herauszugeben, wenn das Unternehmen das Lösegeld nicht schnell zahlt. Im Jahr 2016 sorgte die SamSam-Ransomware weltweit für eine unangenehme Überraschung, als sie eine neue, furchterregende Fähigkeit enthüllte: integrierte seitliche Bewegung oder Selbstausbreitung. Warum? Angreifer können effektiv ganze Unternehmensnetzwerke ins Visier nehmen, um riesige Mengen geschäftskritischer Daten zu verschlüsseln und im Gegenzug höhere Lösegeldzahlungen zu verlangen. Im Fall von SamSam fanden die Angreifer ihren Weg hinein, indem sie eine veraltete Serverschwachstelle ausnutzten. Sobald sie drinnen waren, bewegte sich SamSam seitwärts, indem es nach weiteren mit dem Netzwerk verbundenen Systemen suchte, um sie zu verschlüsseln.

Wie verbreitet sich Ransomware?

Ransomware

Ransomware, die sich von selbst verbreiten kann, hat viel Aufmerksamkeit erregt. Viele der jüngsten Ransomware-Angriffe scheinen jedoch methodischer und von Angreifern kontrollierter zu sein.

Diese Angriffe bewegen sich nicht so schnell wie Ransomware mit eingebauter lateraler Bewegung, sind aber aufgrund der langen Verweildauer bei der Überwachung einer Umgebung genauso verheerend. US-Gemeinden haben in den letzten Jahren von einer Welle von Angriffen berichtet — und viele weitere wurden wahrscheinlich überhaupt nicht gemeldet. In den meisten Fällen schützen Angreifer die Umgebungen wochenlang vor der Ransomware-Verschlüsselung.

Diese Angriffe setzen sich durch Phishing oder Brute-Forcing durch schlecht konfigurierte Dienste wie das Remote Desktop Protocol (RDP) durch, das für den Fernzugriff auf Windows verwendet wird. Einmal im Inneren, sind die Angriffe methodisch. Dabei wird versucht, Peer-to-Peer über offene Ports von Seite zu Seite zu bewegen, beispielsweise durch Ausnutzen von RDP oder WMI, um idealerweise einen Domänencontroller zu erreichen.

Das Sammeln von Zugangsdaten, das auch in NotPetya vorkommt, wird auch für seitliche Bewegungen verwendet. Tools wie Mimikatz erleichtern dies und ermöglichen die Eskalation von Rechten, sodass Angreifer über ein höheres Maß an Zugriffsrechten im Netzwerk verfügen.

In beiden Fällen erreichen Angreifer häufig Domänencontroller und machen sie zu IT-Administratoren in dem Unternehmen, das sie angreifen.

Zu diesem Zeitpunkt „leben sie vom Land“ und verwenden bestehende IT-Administrationsframeworks wie PsExec, das zur Ausführung von Prozessen auf anderen Systemen verwendet wird, oder PowerShell, das zur Automatisierung von Aufgaben zur Betriebssystemverwaltung verwendet wird, um schädliche Dateien auf Systemen abzulegen.

So verhindern Sie Ransomware-Angriffe

Wie kannst du dich schützen? Das ist eine große Herausforderung, wenn man bedenkt, dass viele Angriffe neu erstellte Schadsoftware verwenden oder sich außerhalb des Landes aufhalten, um sich der Entdeckung weitgehend zu entziehen. Es gibt einige bewährte Methoden, um das Risiko schwerwiegender Ransomware-Angriffe zu verringern.

Laut US-CERT sind hier einige der wichtigsten Methoden zur Reduzierung des Ransomware-Risikos aufgeführt:

  • Segmentieren Sie Ihre Laptops und Netzwerke, um sicherzustellen, dass der erste infizierte Laptop auch der letzte ist, sodass Angriffe nicht über das ursprüngliche System hinausgehen können.
  • Patchen Sie regelmäßig alle Systeme, um zu verhindern, dass anfällige Anwendungen und Betriebssysteme ins Visier genommen werden.
  • Verwenden Sie effektive E-Mail- und Endpunkt-Sicherheitstools, um zu verhindern, dass möglichst viele Phishing-E-Mails in Posteingänge gelangen oder bösartige Aktivitäten im Zusammenhang mit Ransomware den Endpunkt erreichen und Dateien verschlüsseln.
  • Schulen Sie die Benutzer darin, E-Mail-Anhänge vorsichtig zu öffnen und sich vor E-Mail-Anhängen unbekannter Absender in Acht zu nehmen.
  • Führen Sie häufig Backups von Systemen durch und speichern Sie Backups separat, um bei Bedarf den vorherigen Zustand wiederherstellen zu können. Dabei handelt es sich um Backups, auf die von einem Netzwerk aus nicht zugegriffen werden kann.

Reaktion auf Ransomware-Angriffe

Wenn Sie den Verdacht haben, dass Ihr Gerät mit Malware infiziert ist, sollten Sie einige Maßnahmen ergreifen, um weiteren Schaden zu vermeiden. Trennen Sie zunächst das infizierte Gerät so schnell wie möglich vom Netzwerk und anderen Geräten. Dadurch wird die Ausbreitung der Ransomware von einem Gerät auf ein anderes verhindert. Unternehmen können verhindern, dass sich Malware schnell verbreitet, indem sie Zero-Trust-Segmentierung, einschließlich Mikrosegmentierung, um Workloads voneinander zu isolieren.

Der nächste Schritt besteht darin, die Behörden zu kontaktieren. Das Infizieren von Geräten mit Ransomware verstößt gegen das Gesetz. Möglicherweise verfügen sie auch über Tools, mit denen Sie Ihre Dateien zurückerhalten können.

Wenn Sie Ihre Dateien an einem anderen Ort gesichert haben, können Sie Ihre Dateien wiederherstellen. Dies ist einer der vielen Gründe, warum regelmäßige Dateisicherungen von entscheidender Bedeutung sind. Wenn Sie keine Backups haben, recherchieren Sie online, um einen Ransomware-Entschlüsselungsschlüssel zu finden. Wenn Sie nicht in der Lage sind, den richtigen Schlüssel zu finden, müssen Sie leider akzeptieren, dass Ihre Dateien nicht mehr verfügbar sind.

Sollte ich das Lösegeld zahlen?

Zahlen Sie niemals das Lösegeld, um Ihre Dateien zurückzubekommen. Es gibt keine Garantie dafür, dass sie Ihnen tatsächlich den Entschlüsselungsschlüssel geben, und Sie finanzieren kriminelle Aktivitäten. Wenn Sie bezahlen, werden Sie auch zu einem wiederkehrenden Ziel. Jetzt, da die Kriminellen wissen, dass sie Geld von Ihnen bekommen können, werden sie Ihre Geräte auch in Zukunft infizieren.

Wenn Sie in der Lage sind, potenzielle Malware in Phishing-E-Mails und bösartigen URLs zu identifizieren, können Sie Ihre Dateien vor der Zerstörung bewahren. Nachdem Sie diesen Artikel gelesen haben, können Sie antworten, wenn Sie das nächste Mal jemand fragt: „Was ist Ransomware?“ Sie sind auch darauf vorbereitet, Angriffe zu verhindern, und wissen, welche Maßnahmen zu ergreifen sind, wenn Ihre Geräte infiziert sind.

Mehr erfahren

Erfahren Sie, wie Zero-Trust-Segmentierung enthält Ransomware und stoppt die Ausbreitung auf Workloads und Geräte schützen.

zurück zum Glossar

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr