Angriffe durch Ransomware gehören zu den größten Cyberbedrohungen für die Gesellschaft, für Unternehmen und für Staat und Verwaltung. Die Ausweitung und der Einsatz dieser Angriffsmethode nimmt immer weiter zu. Ziel von Ransomware Angriffen ist es, Dateien oder den gesamten Computer des Opfers zu verschlüsseln und anschließend Lösegeld zu fordern.
Was ist Ransomware?
Ransomware wird als Malware eingestuft und wird als Verschlüsselungstrojaner für Cyberangriffe genutzt. Es wird unbemerkt auf die Computersysteme der Opfer installiert. Nachdem die Schadsoftware auf die Systeme gelangt ist, beginnt die Malware mit der Verschlüsselung der Dateien auf dem betroffenen System. Befindet sich das infizierte Gerät innerhalb eines Netzwerkes, kann die Malware sich auf das gesamte Netzwerk ausbreiten und versuchen alle Geräte innerhalb dieses Netzwerkes zu verschlüsseln. Nachdem die Verschlüsselung bei einer Ransomware Attacke vollbracht ist und die Angreifer die Computer unter ihre Kontrolle gebracht haben, wird in den meisten Fällen ein Lösegeld gefordert. Zahlt das Opfer das Lösegeld, wird dem Opfer das Entschlüsseln seines Geräts in Aussicht gestellt. Ansonsten bleibt das Gerät verschlüsselt.
Eine große Bedrohung für Unternehmen
Ransomware-Angriffe haben sich aus Sicht von Cyberkriminellen zu seinem lukrativen Geschäftsmodell entwickelt. Laut dem BSI ist die Erpressung von Unternehmen und öffentlichen Einrichtungen durch Ransomware der am schnellsten wachsende Bereich in der Cyberkriminalität. Auch die erbeutete Summe durch Ransomware-Angriffe spiegelt die Lukrativität wider. Die durchschnittliche Lösegeldforderung ist von ca. 5000 US-Dollar im Jahr 2018 auf ca. 200.000 US-Dollar im Jahr 2020 gestiegen.
Ein erfolgreicher Angriff auf ein Unternehmen kann dem Unternehmen großen Schaden zufügen und gegebenenfalls sogar bis zur Insolvenz treiben. Beispiele hierzu gab es in der Vergangenheit bereits.
Wie funktioniert ein Ransomware-Angriff?
Eine Phishing Mail oder eine verseuchte Datei aus dem Internet können als Einfallstor auf das Gerät des Opfers dienen. Nachdem die Schadsoftware seinen Platz auf dem Gerät des Opfers gefunden hat, ist die größte Hürde für den Angreifer schon überwunden. Die Ransomware kann auf dem Laufwerk zunächst inaktiv schlummern, bis das Schadprogramm durch den Benutzer ausgeführt und dadurch aktiviert wird. Nach der Aktivierung beginnt die Ransomware mit der Verschlüsselung und richtet bereits Schaden an. Dabei bedient die Ransomware sich an den Berechtigungen des Benutzers und führt die Verschlüsselung im Benutzerkontext durch.
Nachdem die Verschlüsselung vollbracht ist, hat der User keinen Zugriff mehr auf seine Dateien bzw. auf sein Gerät. Dem Opfer wird in den meisten Fällen eine Benachrichtigung auf dem Bildschirm eingeblendet, auf dem der Angreifer ein Lösegeld fordert, um die Ransomware wieder vom Gerät zu entfernen. Ohne eine Zahlung des Lösegelds, beginnt der Angreifer die Forderung zu erhöhen oder eben mit dem Löschen der Daten.
Im Trend: Ransomware-as-a-Service
Ransomware-as-a-Service (RaaS) ist ein aktueller Trend in der Cyberkriminalität. Wie bei den anderen as-a-Service-Modellen, z. B. Software-as-a-Service, handelt es sich um eine Mietoption. Bei RaaS bieten Cyberkriminelle ihre Ransomware-Tools als Service im Internet an. Kunden können gegen eine Bezahlung diesen Service in Anspruch nehmen und einen Angriff auf ein selbst bestimmtes Opfer durchführen. Besonders gefährlich wird RaaS durch die Tatsache, dass kein spezielles Wissen vorhanden sein muss, um ein Angriff durchzuführen. Zudem haben die Serviceanbieter meistens auch ein 24-Stunden-Support im Service inkludiert und helfen bei Bedarf aus.
Wie reagiert man im Falle eines Angriffs?
In den meisten Fällen ist es bereits zu spät für Sicherheitsmaßnahmen, wenn sich eine Ransomware auf dem eigenen Gerät bemerkbar macht. Als Anwender bekommt man meistens erst bei der Lösegeldforderung etwas vom Angriff mit.
Es gibt jedoch auch bestimmte Anzeichen, durch die man Ransomware frühzeitig erkennen kann:
Und im Falle der Fälle ist schnelles Handeln wichtig, um z. B. eine Verbreitung im Netzwerk zu unterbinden. Daher gibt es einige Punkte, die es beim Entdecken eines Angriffs sofort umzusetzen gilt:
- Trennen des Geräts aus dem Netzwerk
Das infizierte Gerät ist vom Netzwerk zu trennen. Dadurch wird die Verbreitung im Netzwerk – wenn nicht bereits geschehen – unterbunden. Daher gilt es, die Internetverbindung des Geräts zu trennen und das Kabel auszustöpseln.
- Informieren des IT-Security-Teams
Beim Entdecken eines Angriffs ist sofort das IT-Security-Team zu informieren. Dieses kann anschließend die nötigen Analysen durchführen und Maßnahmen einleiten.
- Benachrichtigung der Behörden
Eine Meldung an Behörden findet nach einer Analyse der Situation je nach Bedarf statt. Insbesondere bei Vorfällen mit personenbezogenen Daten muss eine Meldung durchgeführt.
- Sperren/Ändern der Anmeldedaten
Eine mögliche Maßnahme des Security-Teams ist es, die vorhandenen Anmeldedaten an den Systemen zu ändern. Hierbei wird der Fokus auf administrative Zugangskonten gelegt. So kann sich der Angreifer nicht im Netzwerk verbreiten.
- Patchen der Systeme
Auch das Installieren der neuesten Updates auf den Systemen kann den Angreifer das freie Bewegen auf den Systemen erschweren. Durch die neuesten Updates sind weniger bekannte Sicherheitslücken auf den Systemen, die der Angreifer ausnutzen könnte.
- Überprüfung der Backups auf Manipulation
Ein wichtiger Aspekt bei der Wiederherstellung mithilfe von Backups ist die Unversehrtheit des Backups selber. Denn Ransomware kann auch die Backups infiziert haben und somit eine Wiederherstellung der Daten unmöglich machen. Daher gilt es vor der Wiederherstellung auch die Backups zu überprüfen. Mit offline Datensicherungen (z. B. auf externe Festplatten oder Tapes) können Manipulationen von Backups ausgeschlossen werden.
Fazit
Der beste Schutz gegen Ransomware sind regelmäßige Backups und sensibilisierte Mitarbeiter. Mit Backups, im speziellen Offline Backups (Datensicherungen auf vom System getrennten Speichermedien) kann man im Ernstfall reagieren und die weggeschriebenen Daten auf ein neues System aufsetzen. Als präventive Maßnahme gegen Ransomware-Angriffe bietet sich die regelmäßige Sensibilisierung der Mitarbeiter mit Schulungen im Hinblick auf IT-Sicherheit und die Durchführung von Phishing-Kampagnen an. Sensibilisierte Mitarbeiter verringern die Angriffsfläche von gefährlicher Schadsoftware.
Neben Backups und sensibilisierten Mitarbeitern gibt es jedoch auch Maßnahmen, um sich technisch gegen einen Angriff zu schützen bzw. dem Angreifer weniger Angriffsfläche zu bieten. Die Top 3 Maßnahmen hierzu sind:
- Regelmäßige Aktualisierungen:
durch regelmäßige Aktualisierung vom Betriebssystem und anderer Software auf dem Gerät können bekannte Sicherheitslücken geschlossen werden und somit die Ausnutzung durch Angreifer vermieden werden. - E-Mail-Schutz:
Phishing-Mails können bereits durch spezielle Sicherheitssoftware im Posteingang erkannt und aussortiert werden, noch bevor diese den Anwender in die Irre führt. Zusätzlich können Antiviren-Programme andere Schädlinge und Trojaner, die z. B. als Anhang in einer Mail verschickt werden, erkennen und blockieren. - Browser-Schutz:
Ein Browser-Schutz kann vor gefährlichen Skripten und dem Download von Schaddateien schützen.
Haben Sie noch weitere Fragen bezüglich IT-Security und wie Sie sich und Ihr Unternehmen bestmöglich vor Cyberangriffen schützen können? Kontaktieren Sie uns gerne via E-Mail unter securityservices@group24.de.