Was ist Ransomware?

Erfahren Sie mehr über die Komplexität von Ransomware, und erhalten Sie wichtige Einblicke in ihre Geschichte und Mechanismen sowie mögliche Gegenmaßnahmen.

Übersicht

Definition
Und so funktioniert es
Arten von Angriffen
Angriffe erkennen und verhindern

Sicherheitslösungen

Bei Ransomware handelt es sich um Schadsoftware, die wichtige Dateien und Systeme im Netzwerk eines Unternehmens verschlüsselt und somit den Zugriff darauf verhindert. Während sie ursprünglich einzelne Computer im Visier hatte, sind jetzt größere, wichtigere Systeme wie Server und Datenbanken das Ziel, was das Problem noch gravierender macht. Um wieder Zugriff auf ihre Dateien und Systeme zu bekommen, werden die Opfer in der Regel aufgefordert, Lösegeld zu zahlen, oft in Kryptowährungen.

In den letzten Jahren ist Ransomware immer komplexer geworden. Einige neuere Versionen sperren nicht nur Dateien, sondern stehlen auch vertrauliche Daten wie Passwörter. Kriminelle verwenden dann diese gestohlenen Daten, um noch mehr Druck auf die Opfer auszuüben, das Lösegeld zu zahlen. Diese Art von Cyberangriff betrifft viele Bereiche, darunter Behörden, das Gesundheitswesen und wichtige öffentliche Dienste, und verursacht erhebliche finanzielle Verluste und Betriebsunterbrechungen.

Und so funktioniert es

Ransomware ist aufgrund der Verwendung einer asymmetrischen Verschlüsselung sehr effektiv. Dabei handelt es sich um eine sichere Methode, die ein Paar aus einem öffentlichen und einem privaten Schlüssel nutzt.

Die Malware gelangt in der Regel durch irreführende E-Mails, schädliche Links oder durch das Ausnutzen bestehender Sicherheitslücken in ein System. Sobald sie im System ist, führt sie Code aus, der die Verschlüsselung vornimmt, wodurch wertvolle Dateien wie Dokumente, Bilder und Datenbanken effektiv gesperrt werden. Der zum Entsperren dieser Dateien benötigte private Schlüssel wird den Opfern in der Regel erst nach Zahlung des Lösegelds ausgehändigt.

Weitere Informationen

Man unterscheidet unterschiedliche Kategorien von Ransomware, darunter Verschlüsselungsprogramme, die in erster Linie zum Sperren von Dateien dienen, und Bildschirmsperren, die den Zugriff der Anwender verhindern, indem sie einen Sperrbildschirm anzeigen. In beiden Fällen werden die Opfer aufgefordert, Lösegeld zu zahlen, oft in digitalen Währungen wie Bitcoins, um wieder auf ihre Daten oder Systeme zugreifen zu können.

Es ist jedoch zu beachten, dass die Zahlung des Lösegelds keine Garantie dafür ist, dass man seine Daten wiederbekommt. In einigen Fällen erhalten die Opfer möglicherweise keinen Schlüssel zur Entschlüsselung ihrer Daten, oder es wird nach der Zahlung weitere Malware auf ihren Systemen installiert.

Das mit Ransomware einhergehende Risiko ist mit dem Aufkommen von Ransomware-as-a-Service (RaaS) noch größer geworden. Das ist ein Modell, mit dem noch mehr Kriminelle diese Art von Angriffen durchführen können. Darüber hinaus ist moderne Ransomware in der Lage, Systemschwachstellen auszunutzen, um sich im gesamten Unternehmen auszubreiten. Dadurch weitet sich ein zunächst nur lokal bestehendes Problem zu einer umfassenderen Krise aus, die eine sofortige Reaktion erfordert.

Ransomware-as-a-Service (RaaS) hat den Zugang zu Ransomware demokratisiert, sodass auch Personen mit wenig technischem Know-how Angriffe durchführen können. Dieses Modell funktioniert ähnlich wie herkömmliche Softwaredienste und stellt den Kriminellen die Werkzeuge zur Verfügung, mit denen sie ausgeklügelte Cyberangriffe starten können.

Beim RaaS-Modell arbeiten zwei Hauptgruppen zusammen: die Entwickler von Ransomware und deren Partner. Die Entwickler programmieren die Ransomware und die erforderlichen Systeme, um sie zu verbreiten. Die online angeheuerten Partner sind dann für den Einsatz der Ransomware zuständig. Einige RaaS-Gruppen geben sogar große Summen für die Rekrutierung von Partnern aus. Sobald diese Partner Teil des Systems sind, können sie ihre eigenen Ransomware-Kampagnen durchführen, wobei sie die vorhandene Infrastruktur nutzen.

In finanzieller Hinsicht gibt es mehrere Möglichkeiten, mit RaaS Geld zu verdienen. Die Partner können eine regelmäßige Gebühr zahlen, eine Einmalzahlung leisten oder die Gewinne mit den Entwicklern teilen. Dieser Prozess ist oft transparent und wird über Online-Dashboards verwaltet, in denen die Partner Metriken wie die Anzahl der Infektionen und die erzielten Einnahmen einsehen können. Zahlungen erfolgen in der Regel über Kryptowährungen wie Bitcoins, wodurch die Anonymität der Betrüger gewährleistet ist.

Was den Kampf gegen RaaS noch schwieriger macht, ist dessen Präsenz im Darknet, wo der Service wie jeder andere ganz normal vermarktet wird. Genauso wie legitime Softwaredienste findet man auf RaaS-Plattformen Kundenrezensionen, Rund-um-die-Uhr-Support und Pauschalangebote. Hier werden sogar Marketingtechniken verwendet, die denen von Unternehmen aus der normalen Wirtschaftswelt gleichen.

Arten von Ransomware-Angriffen

Das Ransomware-Umfeld verändert sich schnell und wird mit dem Aufkommen neuer Arten immer komplexer. Ohne das Verständnis dieser verschiedenen Formen lässt sich keine starke und flexible Verteidigung gegen Cyberangriffe einrichten.

Zudem gibt es verschiedene Ransomware-Familien wie WannaCryptor, Stop/DJVU und Phobos, die jeweils individuelle Eigenschaften aufweisen. Es ist wichtig, sich dieser Varianten bewusst zu sein, um ganz gezielt wirksame Abwehrmaßnahmen entwickeln zu können.

In der folgenden Liste stellen wir Ihnen die häufigsten Arten von Ransomware vor, die sich jeweils durch ihren Modus Operandi unterscheiden.

· Crypto-Ransomware ist eine tragende Säule im Arsenal der Cyberkriminellen, bei der es um die Verschlüsselung von Dateien und Daten geht. Dabei werden häufig ausgeklügelte Verschlüsselungsalgorithmen verwendet. Dadurch kann das Opfer nicht mehr auf die Daten zugreifen, bis ein Schlüssel zur Entschlüsselung der Daten angewendet wird. Dieser wird normalerweise nur nach Zahlung eines Lösegelds in einer Kryptowährung zur Verfügung gestellt. Zu dieser Kategorie gehören Ransomware-Familien wie WannaCryptor, die wegen ihrer weitreichenden und verheerenden Auswirkungen traurige Berühmtheit erlangt haben.

· Locker-Ransomware: Diese Art der Ransomware sabotiert nicht die Integrität der Daten, sondern blockiert die Interaktion des Anwenders mit dem System. Dabei werden wichtige Funktionen des Computers lahmgelegt, und häufig erscheint eine Lösegeldforderung auf einem Sperrbildschirm. Zwar werden hier keine Daten verschlüsselt, aber die negativen Auswirkungen dieser Form von Ransomware sind deutlich spürbar. Die Ransomware-Familie Phobos ist beispielsweise dafür bekannt, neben Verschlüsselungsmethoden auch Sperrfunktionen zu verwenden.

· Scareware: Diese Art der Ransomware funktioniert in erster Linie durch psychologische Manipulation, denn sie gibt vor, eine legitime Virenschutz-Software zu sein. Die Anwender werden mit ständig wiederkehrenden Warnungen über vorgebliche Malware-Infektionen überschwemmt, und es wird in der Regel eine Zahlung für deren „Beseitigung“ verlangt. Einige leistungsfähigere Varianten können den Computer auch sperren, indem sie Locker-Techniken anwenden. In vielen Fällen wird Scareware von den berüchtigten Tech-Support-Betrügern als Einfallstor in ein System genutzt.

· Doxware oder Leakware: Doxware stellt eine erweiterte Bedrohung dar, bei der vertrauliche Daten ausgelesen und mit deren Veröffentlichung gedroht wird. Hier steht für das angegriffene Unternehmen durch die damit verbundene Rufschädigung enorm viel auf dem Spiel. Gelegentlich kommt auch Ransomware vor, bei der sich die Betrüger als Polizei oder Strafverfolgungsbehörde ausgeben und behaupten, dass der Benutzer rechtliche Konsequenzen vermeiden kann, indem er eine Geldstrafe zahlt.

· Ransomware auf Mobilgeräten: Da Smartphones und Tablets aus dem täglichen Leben nicht mehr wegzudenken sind, haben die Betrüger hier nachgezogen. Diese Angriffe zielen entweder auf die Verwendbarkeit des Geräts oder die darauf gespeicherten Daten ab und zwingen die Opfer, für die Reaktivierung bzw. Wiederherstellung zu bezahlen.

· DDoS-Erpressung: Dies ist zwar keine herkömmliche Form von Ransomware, verwendet aber ähnliche Prinzipien: Die Opfer werden zu Zahlungen gezwungen, um Störungen des IT-Betriebs abzuwenden. Die Angreifer drohen damit, das Netzwerk oder die Website des Unternehmens mit einem übermäßigen Zustrom von Anfragen zu überlasten, wodurch diese(s) vorübergehend zusammenbricht.

Wie lässt sich ein System nach einem Ransomware-Angriff wiederherstellen?

Zum Entschlüsseln der durch Ransomware manipulierten Dateien wird ein geeignetes Entschlüsselungstool benötigt. Im Falle eines Angriffs müssen Sie die spezifische Ransomware-Variante identifizieren, mit der Ihr System angegriffen wurde, und sich bei Cybersicherheitsexperten informieren, ob ein entsprechendes Tool verfügbar ist.

Viele von diesen Tools, wie z. B. die von Bitdefender Labs angebotenen Ransomware-Bereinigungstools, sind kostenlos erhältlich. Schnelles und entschlossenes Handeln ist entscheidend, um eine weitere Verbreitung der Ransomware zu verhindern, ihre Auswirkungen einzuschätzen und mit den Wiederherstellungsverfahren zu beginnen.

Der folgende Maßnahmenplan kann als Wegweiser für die Wiederherstellung Ihres Systems bei einem Ransomware-Angriff und zur anschließenden Einrichtung eines langfristigen Schutzes dienen. Er beschreibt die wichtigsten Schritte, von den ersten Anzeichen eines Angriffs bis hin zur Analyse nach einem Sicherheitsvorfall. So können Sie die betroffenen Systeme wiederherstellen und effektivere Cybersicherheitsmaßnahmen einrichten.

Isolierung und Eindämmung

Die erste Maßnahme sollte darin bestehen, die Malware daran zu hindern, sich in Ihrer IT-Infrastruktur weiter zu verbreiten.

· Betroffene Geräte isolieren: Trennen Sie die manipulierte Hardware sofort vom Netzwerk, dem Internet und anderen damit verbundenen Geräten.

· Ausbreitung stoppen: Unterbinden Sie alle Formen der drahtlosen Konnektivität (WLAN, Bluetooth), und isolieren Sie Geräte, die anormales Verhalten zeigen, um weitreichende Störungen im gesamten Unternehmen zu verhindern.

Beurteilung und Identifikation: 

Nehmen Sie als Nächstes eine gründliche Analyse der Auswirkungen und des Ursprungs des Angriffs vor, um daraus die nachfolgenden Schritte abzuleiten.

· Analyse des Schadens: Untersuchen Sie Ihr System, und stellen Sie fest, welche Dateien in Ihren Systemen verschlüsselt sind und ob ungewöhnliche Dateinamen darin zu finden sind. Sammeln Sie außerdem Benutzerberichte über Probleme mit dem Dateizugriff. Erstellen Sie eine umfassende Liste der betroffenen Systeme.

· Wer ist der Patient Null?: Untersuchen Sie die Benachrichtigungen des Virenschutzprogramms, EDR-Plattformen (Endpoint Detection and Response) und von den Mitarbeitern kommende Hinweise auf Anhaltspunkte wie verdächtige E-Mails, um die Infektionsquelle zu lokalisieren.

·Identifikation der Ransomware-Variante: Nutzen Sie Ressourcen zur Identifikation von Ransomware wie das Bitdefender Ransomware Recognition Tool, oder untersuchen Sie die Details in der Lösegeldforderung, um herauszufinden, um welche Art von Ransomware es sich handelt.

Gesetzliche Verpflichtungen: 

Nach der sofortigen technischen Reaktion auf den Sicherheitsvorfall müssen Sie sich auch um die rechtlichen Konsequenzen kümmern.

· Benachrichtigung der Behörden: Melden Sie den Sicherheitsvorfall den zuständigen Strafverfolgungsbehörden. Diese Maßnahme kann nicht nur bei der Datenwiederherstellung helfen, sondern ist manchmal auch zur Einhaltung von gesetzlichen Bestimmungen wie zum Beispiel der DSGVO unerlässlich.

Wiederherstellung:

Nachdem die Vorarbeiten erledigt sind, liegt der Schwerpunkt jetzt auf der Wiederherstellung der manipulierten Systeme. Außerdem muss sichergestellt sein, dass die Malware vollständig beseitigt ist.

· Backups nutzen: Wenn eine aktuelle Datensicherung verfügbar ist, leiten Sie die Systemwiederherstellung ein, wobei zuvor sichergestellt werden muss, dass Virenschutz- und Anti-Malware-Tools alle Überreste der Ransomware beseitigt haben.

· Recherche zu Entschlüsselungsoptionen: Falls Backups keine Alternative darstellen oder nicht verfügbar sind, können Sie kostenlose Entschlüsselungstools in Betracht ziehen, wie die oben genannten von Bitdefender. Stellen Sie sicher, dass alle Spuren der Malware beseitigt sind, bevor Sie versuchen, Ihre Daten zu entschlüsseln.

Systembereinigung und Sicherheits-Upgrades: 

Nachdem die unmittelbaren Gefahren beseitigt wurden, sollte der Schwerpunkt nun auf der Identifizierung von Schwachstellen und der Verbesserung Ihrer Cybersicherheitsarchitektur liegen.

· Entziehen Sie der Bedrohung den Boden: Führen Sie eine Ursachenanalyse durch, die in der Regel von einem vertrauenswürdigen Cybersicherheitsexperten geleitet wird, um alle Sicherheitslücken in Ihrem System zu identifizieren und Ihr Netzwerk vollständig gegen die Bedrohung zu immunisieren.

· Priorität für die Wiederherstellung: Konzentrieren Sie sich zunächst auf die Wiederherstellung Ihrer wichtigsten geschäftskritischen Systeme, die die größten Auswirkungen auf Produktivität und Umsatzquellen haben.

Abschließende Maßnahmen und Vorausplanung 

Behalten Sie auf dem Weg zur Normalität langfristige Strategien im Auge, um die Wahrscheinlichkeit künftiger Angriffe zu verringern.

· Zurücksetzen oder neu aufbauen: Wenn Backups oder Schlüssel zur Entschlüsselung nicht verfügbar sind, kann das Zurücksetzen der Systeme auf die ursprünglichen Einstellungen oder ein kompletter Neuaufbau unumgänglich sein.

· Zukunftssicherheit: Beachten Sie, dass bereits einmal von Ransomware betroffene Unternehmen einem höheren Risiko für nachfolgende Angriffe ausgesetzt sind. Daher sollte bei einem Audit nach einem Sicherheitsvorfall der Schwerpunkt auf potenziellen Sicherheitsupgrades liegen, um zukünftige Risiken zu verringern.

Zusammenfassend lässt sich sagen, dass ein koordinierter, fundierter Ansatz zur Wiederherstellung Ihrer Systeme schadensbegrenzend wirken und Ihre Rückkehr zum Normalbetrieb beschleunigen kann.

Wie lassen sich Ransomware-Angriffe verhindern?

Einzelpersonen und Unternehmen jeder Größe haben mit der zunehmenden Häufigkeit und Raffinesse von Ransomware-Angriffen zu kämpfen. Die Auswirkungen von Ransomware können jedoch durch eine sinnvolle Mischung aus technologischen Maßnahmen und Schulungen der Anwender zur Cybersicherheit erheblich abgemildert, wenn nicht sogar ganz verhindert werden.

· Cybersicherheitslösung ständig aktuell halten: Schutz durch eine ständig aktualisierte Cybersicherheitssoftware, die aktiv Scans durchführt und Echtzeitschutz vor verschiedenen Formen von Cyberbedrohungen bietet, einschließlich Ransomware (Technologie zum Schutz vor Ransomware).

· Vorsichtiger Umgang mit E-Mails: Seien Sie vorsichtig, wenn Sie E-Mails mit Links oder Anhängen erhalten. Implementieren Sie leistungsfähige E-Mail-Filter- und Anti-Spam-Technologien, um Ihre E-Mail-Sicherheit zu erhöhen.

· Robuste Backup-Strategie: Führen Sie konsequente Datensicherungen Ihrer wichtigen Daten durch, und wenden Sie dabei die sogenannte 3-2-1-Strategie an: drei Kopien Ihrer Daten, auf zwei verschiedenen Arten von Speichermedien und eine offline gespeicherte Kopie. So ist im Falle eines Angriffs eine schnelle Wiederherstellung möglich.

· Mehrschichtige Endpoint- und Netzwerksicherheit: Setzen Sie leistungsfähige Systeme für den Endpoint-Schutz in Verbindung mit Netzwerksegmentierung und Echtzeitüberwachung ein. Durch diesen Ansatz wird die Verbreitung von Ransomware eingeschränkt, und ungewöhnliche Netzwerkaktivitäten werden frühzeitig erkannt.

· Einschränkung von Benutzerrechten und Multi-Faktor-Authentifizierung: Implementieren Sie das Prinzip der geringsten Rechte (Least-Privilege-Prinzip) in der Benutzerzugriffssteuerung, und erzwingen Sie die Multi-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene zu erhalten.

· Regelmäßige Sicherheitsaudits und Pläne für Maßnahmen bei Sicherheitsvorfällen: Bewerten Sie Ihre Sicherheitslage regelmäßig durch umfassende Audits, einschließlich Sandbox-Tests, und sorgen Sie dafür, dass die betreffenden Abläufe sicher beherrscht werden, damit das IT-Team Schwachstellen beheben und effektiv auf potenzielle Sicherheitsvorfälle reagieren kann.

· Kontinuierliche Schulung und Sensibilisierung: Investieren Sie in kontinuierliche Schulungsprogramme zur Cybersicherheit für Ihr Team, damit es auf Warnsignale wie Social Engineering und Phishing-Versuche achtet und sich der Gefahren bewusst ist. Auf diese Weise können Sie auch Ihr Personal in die Verteidigung gegen Angriffe einbinden.

Durch Integration dieser diversifizierten Ansätze in Ihre Cybersicherheitsstrategie ist Ihr Unternehmen besser zur Minderung der Risiken gerüstet, die von immer ausgefeilteren Ransomware-Angriffen ausgehen.

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen 

Möglicherweise helfen alle oben beschriebenen Maßnahmen und Tipps nichts. Deshalb empfehlen Experten sowohl Privat- als auch Geschäftsanwendern, leistungsfähige Sicherheitslösungen einzusetzen. Bitdefender bietet maßgeschneiderte Produkte für Privatanwender und Unternehmen, die von unabhängigen Testinstituten mehrfach als Spitzenprodukte ausgezeichnet wurden.

Die GravityZone-Produkte von Bitdefender  sind als skalierbare Lösungen ideal für kleine und große Unternehmen geeignet. In diesen Lösungen kommen leistungsfähige Präventionsmechanismen, einschließlich Endpoint Detection and Response (EDR)-Funktionen, mehrschichtige Schutztechnologien gegen Phishing, Ransomware und dateilose Angriffe sowie erweiterte Angriffsprävention mit Bedrohungskontext und Berichterstellung zum Einsatz.

Durch die Integration der Sicherheitslösungen von Bitdefender in Ihr Netzwerk erhöhen Sie die Wirksamkeit bestehender Sicherheitsvorkehrungen wie Firewalls und Systeme zur Abwehr von Angriffsversuchen. So entsteht eine ganzheitliche, belastbare Abwehr gegen Malware-Bedrohungen, die es Angreifern erschwert, in Ihre Systeme einzudringen.

Häufige Fragen

Kann ein Angreifer durch Ransomware Daten stehlen?

Mit Ransomware sollen keine Daten gestohlen werden – normalerweise zelt sie vielmehr darauf ab, die Daten zu verschlüsseln, damit das Opfer keinen Zugriff mehr darauf hat.

Neuere Varianten von Ransomware wurden jedoch soweit weiterentwickelt, dass Daten entwendet und damit gedroht wird, diese zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Diese Taktik wird manchmal als doppelte Erpressung bezeichnet.

Während also die Hauptfunktion von Ransomware darin besteht, Daten zu verschlüsseln, bewirken einige Varianten außerdem Datendiebstahl, um die Opfer noch weiter unter Druck zu setzen.

Können durch Ransomware verschlüsselte Dateien entschlüsselt werden?

Die Entschlüsselung von Dateien, die durch Ransomware verschlüsselt wurden, hängt von mehreren Faktoren ab, darunter die spezifische Ransomware-Variante und die Verfügbarkeit von Entschlüsselungstools.

Für einige ältere oder weniger ausgeklügelte Ransomware-Stämme haben Cybersicherheitsfirmen und Forscher kostenlose Entschlüsselungstools entwickelt, die bei der Datenwiederherstellung helfen können. Bei neueren oder leistungsfähigeren Varianten kann die Entschlüsselung ohne den eindeutigen Schlüssel des Angreifers jedoch äußerst schwierig oder praktisch unmöglich sein.

Hier können Sie sich über die derzeit verfügbaren, kostenlosen Bitdefender-Tools informieren.

Kann Ransomware Daten im Cloud-Speicher angreifen?

Ja, Ransomware ist in der Lage, Daten im Cloud-Speicher anzugreifen. Die Anbieter von Cloud-Speichern implementieren zwar robuste Sicherheitsmaßnahmen zum Schutz der Daten, sind aber nicht völlig vor Ransomware-Angriffen gefeit. Wenn das Endgerät (Endpoint) eines Benutzers befallen ist und dieses die Berechtigung zur Synchronisierung mit dem Cloud-Speicher hat, können verschlüsselte oder manipulierte Dateien die intakten Dateien in der Cloud überschreiben.

Darüber hinaus sind einige fortschrittliche Ransomware-Varianten so programmiert, dass sie Netzwerk-Laufwerke und Cloud-Speicherressourcen, auf die das infizierte System zugreifen kann, suchen und verschlüsseln. Folglich ist es keine narrensichere Strategie, sich ausschließlich auf den Cloud-Speicher als Schutz vor Ransomware zu verlassen. Zusätzliche Schutzmaßnahmen sind unerlässlich.