Was ist unter Ransomware-Angriffen zu verstehen?
Was ist unter Ransomware-Angriffen zu verstehen?
Bei Ransomware handelt es sich um eine Art von Malware (Schadcode), die ein System „sperrt“ oder Dateien verschlüsselt. Um wieder auf die Daten zugreifen zu können, muss ein Lösegeld gezahlt werden, das heute meist in einer Kryptowährung zu entrichten ist. Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel zur Entsperrung der Dateien und Systeme versprochen.
Bei Cyberkriminellen erfreut sich diese Erpressungsmethode inzwischen großer Beliebtheit, zumal Organisationen immer größere Volumen an vertraulichen Daten speichern und mit dem zunehmenden Umstieg auf dezentrale bzw. hybride Arbeitskonzepte neue Sicherheitsrisiken entstehen.
Die besorgniserregende Häufigkeit von Ransomware-Angriffen hat bereits das FBI mit detaillierten Anweisungen zu ihrer Abwehr auf den Plan gerufen. Derweil entwickeln die Angreifer immer raffiniertere Methoden zur Umgehung gängiger Schutzmechanismen gegen Malware und Viren.
Wie laufen Ransomware-Angriffe ab?
Ein typischer Ransomware-Angriff lässt sich in vier Phasen aufgliedern.
- Bereitstellung
Die erste Phase besteht in der Auslieferung der Ransomware – in den meisten Fällen, indem User der Organisation zum Öffnen einer Phishing-E-Mail verleitet werden. Diese E-Mails scheinen auf den ersten Blick von einem vertrauenswürdigen Absender, also z. B. einer bekannten Marke, zu stammen. Ransomware-Angreifer tarnen solche Phishing-E-Mails gerne als Benachrichtigungen von Versandunternehmen, Banken und großen Einzelhandelsketten über Lieferverzögerungen, verdächtige Zahlungen, Kontoüberziehungen usw.
Diese E-Mails sehen aus, als ob sie von bekannten Absendern stammten, enthalten jedoch schädliche PDFs und andere Dateien oder Google-Drive-Links. Diese Dateien enthalten Malware-Lader, die die schädlichen Inhalte nach dem Öffnen im System des Opfers ablegen und den Angriff vorbereiten.
2. Ausbreitung
Nach dem erfolgreichen Laden der Malware besteht die nächste Phase in ihrer Ausbreitung. Diese Phase beginnt in der Regel mit dem Öffnen eines E-Mail-Anhangs, wodurch die Malware auf das Gerät des Empfängers übertragen wird.
Wenn sich das infizierte Gerät in einem Netzwerk befindet, identifiziert die Malware den Domain Controller, mit dem das Gerät kommuniziert. Im nächsten Schritt werden Anmeldedaten gestohlen, damit die Malware sich innerhalb des Netzwerks ausbreiten und weitere Geräte infizieren kann.
3. Callback
Die nächste Angriffsphase wird als Callback bezeichnet. Dabei versucht die Malware, mit ihren C&C-Servern (Command-and-Control) in Verbindung zu treten, an die die gestohlenen Daten gesendet werden.
4. Detonation
Die C&C-Server schicken dann Anweisungen an die Payload zur Ausführung der letzten Phase: Detonation. Während dieser Phase stiehlt die Malware Daten und installiert die Ransomware. Dabei werden das System oder die Daten verschlüsselt und gesperrt, sodass das Angriffsopfer (Privatperson oder Unternehmen) nicht mehr darauf zugreifen kann. In den meisten Fällen muss das Lösegeld innerhalb einer bestimmten Frist gezahlt werden, wobei der geforderte Betrag teilweise stündlich erhöht wird.
Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel versprochen, mit dem die Daten wieder entsperrt werden können. Jedoch ist keineswegs Verlass darauf, dass dieser Schlüssel tatsächlich bereitgestellt wird bzw. dass der bereitgestellte Schlüssel tatsächlich funktioniert.
In letzter Zeit wurden zunehmend sogenannte Doppelerpressungen beobachtet, bei denen die Angreifer geschäftskritische bzw. vertrauliche Daten vor der Verschlüsselung exfiltrieren und dann mit ihrer Veröffentlichung drohen. Dadurch steigern sie ihre Chancen, auch Organisationen, die über gute Backup-Sicherungen verfügen, zur Zahlung des Lösegelds zwingen zu können.
Ransomware im Wandel der Zeit – von der Diskette zur Filesharing-Website
Ransomware ist heute in der Öffentlichkeit so präsent wie nie zuvor. Dass sie Sicherheitsexperten schon sehr viel länger – nämlich seit über drei Jahrzehnten – beschäftigt, gerät dabei oft aus dem Blickfeld.
- Die erste bekannte Ransomware wurde 1989 von Dr. Joseph Popp in Verkehr gebracht. Er schickte Disketten mit dem Titel „AIDS Information Introductory Diskette“ an die Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisation in Stockholm. Diese Festplatten enthielten Schadcode, der sich in MS-DOS-Systemen installierte und zählte, wie oft User ihre Computer hochfuhren.
- Beim 90. Neustart versteckte Dr. Popps Trojaner alle Verzeichnisse und verschlüsselte alle Dateien im Laufwerk. Den Opfern wurde eine Meldung angezeigt, die angeblich von einer fiktiven Firma namens PC Cyborg Corporation stammte. Darin wurde der Empfänger gewarnt, seine Software-Lizenz sei abgelaufen; zur Wiederherstellung des Zugriffs müsse eine Zahlung in Höhe von 189 USD an eine Adresse in Panama geleistet werden.
- Die nächste Welle von Ransomware-Angriffen wurde als „Scareware“ bezeichnet. Dabei erhielten User eine Warnbenachrichtigung über einen vermeintlichen katastrophalen Fehler auf ihrem Computer und wurden aufgefordert, zur Behebung des Problems eine Software zu kaufen und herunterzuladen. In Wirklichkeit handelte es sich dabei natürlich um eine weitere Malware, die Daten von dem Computer stehlen sollte.
- Die zunehmende Beliebtheit von Filesharing-Plattformen führte zur Entstehung einer neuen gängigen Art von Ransomware, die allgemein als „Police Locker“-Angriff bezeichnet wird. Dabei wurde der Desktop des Users so manipuliert, dass er eine Meldung anzeigt, der zufolge der Computer wegen Verdachts auf rechtswidrige Aktivitäten polizeilich gesperrt wurde. Die erforderliche Malware wurde oft über Filesharing-Plattformen oder Websites mit raubkopierten oder pornografischen Inhalten ausgeliefert. Aus Angst vor etwaigen Konsequenzen waren viele Opfer zur Zahlung eines Lösegelds von ein paar hundert Dollar für die Entsperrung ihrer Computer bereit. Tatsächlich hätte sich die Sperre bei vielen dieser Angriffe durch einen einfachen Neustart aufheben lassen.
Es ist an der Zeit, dass sich das Bewusstsein durchsetzt, dass es mit der Zahlung des Lösegelds nicht getan ist und man nicht unbedingt wieder Kontrolle über das Netzwerk bekommt – vielmehr handelt es sich bei Ransomware-Infektionen um verheerende Angriffe
Typen/Beispiele für Ransomware-Angriffe
Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:
- GandCrab: Laut dem Report Ransomware in Global Context von VirusTotal entfiel die überwältigende Mehrheit aller Ransomware-Aktivitäten im Zeitraum seit 2020 (78,5 % der ausgewerteten Proben) auf diese Ransomware-Gruppe.
- REvil: Diese Gruppe ist berüchtigt für spektakuläre Großangriffe auf Rechtswesen, Unterhaltungsbranche und öffentlichen Sektor. Sie sorgte erstmals im Mai 2020 für Schlagzeilen, führte jedoch im Zeitraum zwischen März und Oktober 2021 jeden Monat weitere Angriffe durch, darunter den „Kaseya VSA“-Angriff.
- WannaCry: Dieser Ransomware-Kryptowurm greift das Betriebssystem von Microsoft Windows an. Seit seinem erstmaligen Aufkommen im Jahr 2017 wurden bisher über 300.000 Systeme befallen.
- Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
- DarkSide: Diese Variante kam bei dem spektakulären Angriff auf die Colonial Pipeline im Mai 2021 zum Einsatz und zählt zu den bekanntesten Beispielen für Ransomware mit Doppelerpressung. Die Bereitstellung erfolgt zumeist als Service nach dem RaaS-Modell.
- Evil Corp: Diese Gruppe steckt hinter einer Malware namens Didrex, die mithilfe von Phishing-E-Mails verbreitet wird und insbesondere beim Diebstahl von Anmeldedaten im Bereich Online-Banking zum Einsatz kommt. Inzwischen wird die Gruppe auch mit anderen Arten von Ransomware in Verbindung gebracht, u. a. WastedLocker, BitPaymer und DoppelPaymer.
- Maze: Diese Variante wurde erstmals im Mai 2019 entdeckt. Die Ransomware kam bei einem Angriff auf Cognizant zum Einsatz, der bei einigen Kunden des Unternehmens Serviceunterbrechungen verursachte.
Mit unserem gratis bereitgestellten Analyse-Tool können Organisationen die Wirksamkeit ihrer aktuellen Schutzmaßnahmen hinsichtlich Ransomware und anderer Cyberbedrohungen überprüfen.
Welcher Zusammenhang besteht zwischen Ransomware und Kryptowährungen?
Anfangs beliefen sich die Lösegeldforderungen zumeist auf Dollarbeträge im dreistelligen Bereich, da es sich bei den Opfern in der Regel um Privatpersonen handelte. Die Zahlungen erfolgten in Standardwährung, wodurch sich die Chancen einer Identifizierung der Täter erhöhten.
Mit dem Aufkommen und der zunehmenden Verbreitung von Kryptowährungen, die die Anonymität des Zahlungsempfängers gewährleisten, hatten Cyberkriminelle gleich sehr viel leichteres Spiel. Kryptowährungen wie Bitcoin machen es fast unmöglich, Transaktionen nachzuverfolgen, sodass Angreifer ihre Spuren mühelos verwischen können.
In letzter Zeit häuften sich Fälle von Ransomware, bei denen die Angreifer riesige Geldsummen erbeuten konnten. Es ist durchaus möglich, dass diese Angriffsform sich auch deshalb wachsender Beliebtheit erfreut.
Durch Zahlung des Lösegelds ist weder gewährleistet, dass die Daten entschlüsselt werden, noch dass die Kompromittierung von Systemen bzw. Daten behoben wird
Ransomware as a Service (RaaS)
Das Aufkommen sogenannter „Ransomware as a Service“-Angebote kann als Nebenerscheinung der starken medialen Präsenz lukrativer Ransomware-Angriffe in den vergangenen Jahren verstanden werden. Ähnlich wie viele legale SaaS-Angebote werden RaaS-Tools zumeist auf Abonnementbasis bereitgestellt. Sie werden im Dark Web preisgünstig als Möglichkeit angeboten, auch ohne Programmierkenntnisse erfolgreiche Ransomware-Angriffe durchzuführen. Das erbeutete Lösegeld wird dann zwischen dem RaaS-Anbieter, dem Programmierer und dem Abonnenten aufgeteilt.
Zahlen oder nicht zahlen?
Für jede betroffene Organisationen eine heikle Frage, auf die es keine einfache oder eindeutige Antwort gibt.
Verständlicherweise zahlen viele Organisationen lieber ein Lösegeld, als das Risiko einzugehen, dass ihre vertraulichen Daten im Internet veröffentlicht werden. Nach Angaben von Gartner werden „80 % (der zahlungswilligen Organisationen) Opfer eines weiteren Ransomware-Angriffs“. So mag es gute Gründe geben, von der Zahlung abzuraten – jedoch fordert auch diese Option von den betroffenen Organisationen einen hohen Preis.
Die Entscheidung, welches Übel im konkreten Fall das geringere ist, liegt bei den Opfern selbst, wie der Gartner-Analyst Paul Proctor betont: „Letztlich hängt es davon ab, inwieweit sich der Verlust der gestohlenen Daten auf die Geschäftsergebnisse auswirkt. Die Organisation muss abwägen, ob sie es darauf ankommen lassen will oder lieber doch nicht.“
Geschäftsschädigende Auswirkungen von Ransomware
Ein täglicher Blick in die Medien genügt, um sich der branchenübergreifenden Tragweite des Ransomware-Problems bewusst zu werden. Unternehmen, die von Angriffen betroffen sind, müssen gleich mehrere schwerwiegende Konsequenzen hinnehmen:
-
finanzielle Einbußen (und/oder Verlust von Daten)
Ransomware-Angriffe basieren auf dem Prinzip der Entführung und Erpressung: Das Opfer soll gezwungen werden, für die unversehrte Rückgabe seiner Daten ein Lösegeld zu zahlen, dessen Höhe von den Entführern festgelegt wird. Insbesondere Organisationen aus dem Gesundheits- oder Finanzwesen, dem öffentlichen Sektor oder anderen Branchen, in denen eine Vielzahl vertraulicher Daten erfasst, gespeichert und verarbeitet wird, geraten dadurch in eine hochbrisante Lage.
Wer die Lösegeldforderungen ignoriert, riskiert, dass vertrauliche Daten veröffentlicht oder – schlimmer noch – an andere kriminelle Organisationen verkauft werden. Jedoch ist selbst bei Zahlung des Lösegelds keineswegs gewährleistet, dass der Zugriff auf die Daten tatsächlich wiederhergestellt wird. Deswegen ist und bleibt effektive Prävention die beste Strategie zur Bekämpfung von Ransomware.
-
Reputationsschäden
Unabhängig davon, ob die betroffene Organisation sich für oder gegen die Zahlung des Lösegelds entscheidet, ist sie zur Meldung des Angriffs verpflichtet. Früher oder später werden also auch die Medien davon Wind bekommen. Von den Konsequenzen solcher Negativschlagzeilen können zahlreiche Opfer aus dem öffentlichen wie dem privaten Sektor ein Lied singen. Solange Ransomware als lukratives Geschäft wahrgenommen und entsprechend weiterentwickelt wird – und solange die Unternehmen keine geeigneten Maßnahmen zur Vorbereitung auf Angriffe ergreifen –, wird die Liste der betroffenen Organisationen fraglos immer länger werden.
Unternehmen, die von erfolgreichen Ransomware-Angriffen betroffen sind, müssen in vielen Fällen Umsatzeinbrüche hinnehmen, die durch den Vertrauensverlust seitens der Kunden bedingt sind – denn in der Wahrnehmung der Kunden und der breiten Öffentlichkeit wird dem Unternehmen zumindest eine Mitschuld angelastet.
-
rechtliche Konsequenzen
In bestimmten Rechtsräumen stellt die Lösegeldzahlung bei Ransomware-Angriffen einen Straftatbestand dar. Das gilt u. a. für die USA, wo Lösegeldzahlungen laut einem Beschluss des Office of Foreign Assets Control (OFAC) und des Financial Crimes Enforcement Network (FinCEN) von 2020 in der Mehrzahl der Fälle gegen geltendes Recht verstoßen.
Zusätzlich zu den finanziellen Einbußen, Datenverlusten und der Schädigung des Markenrufs können also auch die rechtlichen Konsequenzen eines Ransomware-Angriffs eine Organisation womöglich teuer zu stehen kommen.
ThreatLabz-Report zum Status verschlüsselter Angriffe 2021
Report herunterladen
Drei Geheimtipps zur Abwehr von Ransomware
Webinar ansehen
Ransomware 2022: Wissenswerte Fakten und Empfehlungen zur Vorbereitung auf Angriffe
Webinar ansehen
Wie sieht die Prognose aus?
Gartner nennt „neue Ransomware-Modelle“ als schwerwiegendstes Risiko, mit dem Organisationen konfrontiert sind. Aus dem Emerging Risks Monitor Report des Marktforschungsunternehmens geht hervor, dass Ransomware mittlerweile sogar noch stärker als Bedrohung wahrgenommen wird als die Pandemie.
Unter diesen Vorzeichen wäre es für jede Organisation fatal, sich dem Irrglauben hinzugeben, sie sei vor Angriffen gefeit. Eine kluge Strategie umfasst sowohl die Vorbereitung auf potenzielle Angriffe als auch effektive Maßnahmen zu ihrer Prävention.
Selbst wenn keine hundertprozentige Prävention möglich ist, lässt sich durch strenge Einhaltung von Due-Diligence-Maßnahmen, entsprechende Mitarbeiterschulungen und die richtige Technologie das Risiko eines erfolgreichen Angriffs deutlich verringern.
Hinweise zum Entfernen von Ransomware
Zur erfolgreichen Bekämpfung von Ransomware ist ein sorgfältiges und umsichtiges Vorgehen in mehreren Schritten erforderlich.
1. Schritt. Isolieren des infizierten Geräts
Das betroffene Gerät muss von sämtlichen kabelgebundenen oder kabellosen Verbindungen getrennt werden, damit die Ransomware unter Quarantäne gestellt und ihre Ausbreitung verhindert werden kann. Wenn noch kein Lösegeld gefordert wurde, sollte die Malware unbedingt sofort aus dem System entfernt werden.
2. Schritt. Analyse und Identifizierung der Ransomware
Bei der Analyse der Ransomware und um herauszufinden, um welche Variante es sich konkret handelt, kann ein Sicherheitsexperte bzw. ein entsprechendes Tool wertvolle Unterstützung leisten. Anhand der dabei gewonnenen Erkenntnisse kann dann entschieden werden, wie sich der entstandene Schaden am besten begrenzen bzw. beheben lässt.
3. Schritt. Entfernen der Ransomware
Im nächsten Schritt muss die Infektion von der Festplatte entfernt werden. Auch hier kann ein entsprechendes Tool bzw. die Unterstützung eines Sicherheitsexperten hilfreich sein. Manche Organisationen verfügen auch über manuelle Prozesse zum Entfernen von Malware. Für die Entschlüsselung der Daten stehen ebenfalls spezielle Tools und Programme bereit.
4. Schritt. Systemwiederherstellung mit einer Backup-Kopie
Dateien können aus dem Systemspeicher bzw. aus dem kompromittierten Betriebssystem wiederhergestellt werden. Voraussetzung hierfür ist jedoch die regelmäßige Erstellung von Sicherungskopien, damit im Falle eines Ransomware-Angriffs auf eine unverschlüsselte Version der Daten zugegriffen werden kann. Eine vernünftige Backup-Sicherung empfiehlt sich nicht nur zur Schadensbegrenzung bei Ransomware-Angriffen, sondern unterstützt auch die Systemwiederherstellung nach Datenpannen.
Schutz vor Ransomware
Eine effektive Strategie zur Bekämpfung aktuell akuter und zukünftiger Formen von Ransomware umfasst eine Kombination aus unterschiedlichen Maßnahmen und Tools:
- KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
- Überprüfung des gesamten TLS/SSL-verschlüsselten Traffics
- durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks
Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der proaktiven Abwehr durch. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung.
Die Zscaler-Lösung zum Schutz vor Ransomware
Der Cloud-native Ransomware-Schutz von Zscaler unterstützt Organisationen mit drei Kernfunktionen zur effektiven Abwehr von Ransomware, die im Rahmen der Zscaler Zero Trust Exchange™ bereitgestellt werden:
1. KI-basierte Sandbox-Quarantäne
In einer KI-gestützten Sandbox-Quarantäne, die auf einer Cloud-nativen Proxy-Architektur basiert, können Dateien vor der Zustellung unter Quarantäne gestellt und vollständig analysiert werden. Das Risiko von Patient-Zero-Infektionen wird damit praktisch ausgeschlossen. Anders als bei veralteten Passthrough-Ansätzen werden verdächtige oder unbekannte Dateien garantiert zur Analyse abgefangen, bevor sie in die IT-Umgebung des Unternehmens gelangen können.
Zusätzlich zum Funktionsumfang herkömmlicher Lösungen zur Abwehr von Malware bietet eine Cloud-native, KI-gestützte Lösung wie Zscaler Cloud Sandbox als Bestandteil der Zero Trust Exchange eine Reihe weiterer Vorteile:
- komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
- ML-gestützte Echtzeit-Risikobeurteilungen für unbekannte Dateien
- schnelle, sichere Dateidownloads, wobei als schädlich eingestufte Dateien in die Quarantäne verschoben werden
2. Überprüfung des gesamten verschlüsselten Traffics
Mit der Cloud-nativen Proxy-Architektur von Zscaler kann der gesamte SSL-verschlüsselte Traffic auch bei hohen Datenvolumen überprüft werden – ohne Beeinträchtigung der Performance und ohne Erweiterung der Verarbeitungskapazität kostspieliger Appliances.
Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite.
3. Durchgängig aktive Sicherung von Verbindungen außerhalb des Netzwerks
Im Funktionsumfang der Zero Trust Exchange ist sowohl eine KI-basierte Sandbox-Quarantäne als auch die komplette Überprüfung des SSL-Traffics inbegriffen – für alle User, Standorte und Geräte. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt.
Dieser Ansatz zur Abwehr von Ransomware beginnt mit dem Schutz von User-Verbindungen. User, die außerhalb des Netzwerks arbeiten, installieren einfach Zscaler Client Connector als ressourcenschonenden Endgeräte-Agent auf dem Laptop oder Mobilgerät. Durch konsistente Richtliniendurchsetzung und Zugriffskontrollen wird ein identisches Schutzniveau gewährleistet wie für User in der Unternehmenszentrale. Zscaler Client Connector unterstützt Android, iOS, macOS und Windows.
Eins steht jedenfalls fest: Eine wirksame Ransomware-Prävention beginnt mit Zero Trust und der Zero Trust Exchange.