Was ist unter Ransomware-Angriffen zu verstehen? Bei Ransomware handelt es sich um eine Art von Malware (Schadcode), die ein System „sperrt“ oder Dateien verschlüsselt. Um wieder auf die Daten zugreifen zu können, muss ein Lösegeld gezahlt werden, das heute meist in einer Kryptowährung zu entrichten ist. Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel zur Entsperrung der Dateien und Systeme versprochen. Ransomware ist also eine moderne Form der Erpressung, die Cyberkriminelle sehr gerne nutzen. Angesichts der durch hybride und Remote-Arbeit entstehenden neuen Sicherheitsrisiken auf Endgeräten machen sich Hacker diese Methode zunutze, um sensible Daten für ihre Zwecke zu stehlen.

Wie laufen Ransomware-Angriffe ab?

Ein typischer Ransomware-Angriff lässt sich in vier Phasen aufgliedern.

1. Bereitstellung

Die erste Phase besteht in der Auslieferung der Ransomware – in den meisten Fällen, indem User der Organisation zum Öffnen einer Phishing-E-Mail verleitet werden. Diese E-Mails scheinen auf den ersten Blick von einem vertrauenswürdigen Absender, also z. B. einer bekannten Marke, zu stammen. Ransomware-Angreifer tarnen solche Phishing-E-Mails gerne als Benachrichtigungen von Versandunternehmen, Banken und großen Einzelhandelsketten über Lieferverzögerungen, betrügerische Käufe, niedrige Kontostände usw.

Diese E-Mails sehen aus, als ob sie von bekannten Absendern stammten, enthalten jedoch schädliche PDFs und andere Dateien oder Google-Drive-Links. Diese Dateien enthalten Malware-Lader, die die schädlichen Inhalte nach dem Öffnen im System des Opfers ablegen und den Angriff vorbereiten.

2. Ausbeutung

Nach dem erfolgreichen Laden der Malware folgt die Ausbeutung und die Malware breitet sich aus. Diese Phase beginnt in der Regel mit dem Öffnen eines E-Mail-Anhangs, wodurch die Malware auf das Gerät des Empfängers übertragen wird.

Wenn sich das infizierte Gerät in einem Netzwerk befindet, identifiziert die Malware den Domain Controller, mit dem das Gerät kommuniziert. Im nächsten Schritt werden Anmeldedaten gestohlen, damit die Malware sich innerhalb des Netzwerks ausbreiten und weitere Geräte infizieren kann.

3. Rückruf

Die nächste Angriffsphase wird als Rückruf bezeichnet. Dabei versucht die Malware, mit ihren C2-Servern (Command-and-Control) in Verbindung zu treten, an die die gestohlenen Daten gesendet werden.

4. Detonation

Die C2-Server schicken dann Anweisungen an die Payload zur Ausführung der letzten Phase: Detonation. Während dieser Phase stiehlt die Malware Daten und installiert die Ransomware. Dabei werden das System oder die Daten verschlüsselt und gesperrt, sodass das Angriffsopfer (Privatperson oder Unternehmen) nicht mehr darauf zugreifen kann. In den meisten Fällen muss das Lösegeld innerhalb einer bestimmten Frist gezahlt werden, bevor die Daten dauerhaft gelöscht werden. Der geforderte Betrag wird dabei teilweise stündlich erhöht.

Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel versprochen, mit dem die Daten wieder entsperrt werden können. Jedoch ist keineswegs Verlass darauf, dass dieser Schlüssel tatsächlich bereitgestellt wird bzw. dass der bereitgestellte Schlüssel tatsächlich funktioniert.

In letzter Zeit wurden zunehmend sogenannte Doppelerpressungen beobachtet, bei denen die Angreifer geschäftskritische bzw. vertrauliche Daten vor der Verschlüsselung exfiltrieren und dann mit ihrer Veröffentlichung drohen. Dadurch steigern sie ihre Chancen, auch Organisationen, die über gute Backup-Sicherungen verfügen, zur Zahlung des Lösegelds zwingen zu können.

Ransomware im Wandel der Zeit – von der Diskette zur Filesharing-Website

Ransomware ist heute in der Öffentlichkeit so präsent wie nie zuvor. Dass sie Sicherheitsexperten schon sehr viel länger – nämlich seit über drei Jahrzehnten – beschäftigt, gerät dabei oft aus dem Blickfeld.

Die erste bekannte Ransomware wurde 1989 von Dr. Joseph Popp in Verkehr gebracht. Er schickte Disketten mit dem Titel „AIDS Information Introductory Diskette“ an die Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisation in Stockholm. Diese Festplatten enthielten Schadcode, der sich in MS-DOS-Systemen installierte und zählte, wie oft User ihre Computer hochfuhren.

Beim 90. Neustart versteckte Dr. Popps Trojaner alle Verzeichnisse und verschlüsselte alle Dateien im Laufwerk. Den Opfern wurde eine Meldung angezeigt, die angeblich von einer fiktiven Firma namens PC Cyborg Corporation stammte. Darin wurde der Empfänger gewarnt, seine Software-Lizenz sei abgelaufen; zur Wiederherstellung des Zugriffs müsse eine Zahlung in Höhe von 189 USD an eine Adresse in Panama geleistet werden.

Die nächste Welle von Ransomware-Angriffen wurde als „Scareware“ bezeichnet. Dabei erhielten User eine Warnbenachrichtigung über einen vermeintlichen katastrophalen Fehler auf ihrem Computer und wurden aufgefordert, zur Behebung des Problems eine Software zu kaufen und herunterzuladen. In Wirklichkeit handelte es sich dabei natürlich um eine weitere Malware, die Daten von dem Computer stehlen sollte.

Die zunehmende Beliebtheit von Filesharing-Plattformen führte zur Entstehung einer neuen gängigen Art von Ransomware, die allgemein als „Police Locker“-Angriff bezeichnet wird. Dabei wurde der Desktop des Users so manipuliert, dass er eine Meldung anzeigt, der zufolge der Computer wegen Verdachts auf rechtswidrige Aktivitäten polizeilich gesperrt wurde. Die erforderliche Malware wurde oft über Filesharing-Plattformen oder Websites mit raubkopierten oder pornografischen Inhalten ausgeliefert. Aus Angst vor etwaigen Konsequenzen waren viele Opfer zur Zahlung eines Lösegelds von ein paar hundert Dollar für die Entsperrung ihrer Computer bereit. Tatsächlich hätte sich die Sperre bei vielen dieser Angriffe durch einen einfachen Neustart aufheben lassen.

Typen/Beispiele für Ransomware-Angriffe

Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:

• GandCrab: Laut dem Report Ransomware in Global Context von VirusTotal entfiel die überwältigende Mehrheit aller Ransomware-Angriffe (78,5 % der ausgewerteten Proben) seit 2020 auf diese Ransomware-Gruppe.
• REvil: Diese Gruppe ist berüchtigt für spektakuläre Großangriffe auf Rechtswesen, Unterhaltungsbranche und öffentlichen Sektor. Sie sorgte erstmals im Mai 2020 für Schlagzeilen, führte jedoch im Zeitraum zwischen März und Oktober 2021 jeden Monat weitere Angriffe durch, darunter den „Kaseya VSA“-Angriff.
• WannaCry: Dieser Ransomware-Kryptowurm greift das Betriebssystem Microsoft Windows an. Seit seiner Veröffentlichung im Jahr 2017 wurden bisher über 300.000 Systeme befallen.
• Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
• DarkSide: Diese Variante kam bei dem spektakulären Angriff auf die Colonial Pipeline im Jahr 2021 zum Einsatz und zählt zu den bekanntesten Beispielen für Ransomware mit Doppelerpressung. Die Bereitstellung erfolgt zumeist als Service.
• Evil Corp: Diese Gruppe steckt hinter einer Malware namens Didrex, die mithilfe von Phishing-E-Mails verbreitet wird und insbesondere beim Diebstahl von Anmeldedaten im Bereich Online-Banking zum Einsatz kommt. Inzwischen wird die Gruppe auch mit anderen Arten von Ransomware in Verbindung gebracht, u. a. WastedLocker, BitPaymer und DoppelPaymer.
• Maze: Diese Variante wurde erstmals im Mai 2019 entdeckt. Die Ransomware kam bei einem Angriff auf Cognizant zum Einsatz, der bei einigen Kunden des Unternehmens Serviceunterbrechungen verursachte.

Wie gut sind Sie auf Ransomware-Angriffe vorbereitet? Mit unserer kostenlosen Analyse der Internet-Bedrohungslage können Sie genau das überprüfen.

Welcher Zusammenhang besteht zwischen Ransomware und Kryptowährungen?

Anfangs beliefen sich die Lösegeldforderungen zumeist auf Dollarbeträge im dreistelligen Bereich, da es sich bei den Opfern in der Regel um Privatpersonen handelte. Die Zahlungen erfolgten in Standardwährung, wodurch sich die Chancen einer Identifizierung der Täter erhöhten.

Mit dem Aufkommen und der zunehmenden Verbreitung von Kryptowährungen, die die Anonymität des Zahlungsempfängers gewährleisten, hatten Cyberkriminelle gleich sehr viel leichteres Spiel. Kryptowährungen wie Bitcoin machen es fast unmöglich, Transaktionen nachzuverfolgen, sodass Angreifer ihre Spuren mühelos verwischen können.

Ransomware as a Service (RaaS)

Das Aufkommen sogenannter „Ransomware as a Service“-Angebote kann als Nebenerscheinung der starken medialen Präsenz lukrativer Ransomware-Angriffe in den vergangenen Jahren verstanden werden. Ähnlich wie viele legale SaaS-Angebote werden RaaS-Tools zumeist auf Abonnementbasis bereitgestellt. Sie werden im Dark Web preisgünstig als Möglichkeit angeboten, auch ohne Programmierkenntnisse erfolgreiche Ransomware-Angriffe durchzuführen. Das erbeutete Lösegeld wird dann zwischen dem RaaS-Anbieter, dem Programmierer und dem Abonnenten aufgeteilt.

Zahlen oder nicht zahlen?

Für jede betroffene Organisationen eine heikle Frage, auf die es keine einfache oder eindeutige Antwort gibt.

Verständlicherweise zahlen viele Organisationen lieber ein Lösegeld, als das Risiko einzugehen, dass ihre vertraulichen Daten im Internet veröffentlicht werden. Nach Angaben von Gartner werden „80 % (der zahlungswilligen Organisationen) Opfer eines weiteren Ransomware-Angriffs“. So mag es gute Gründe geben, von der Zahlung abzuraten – jedoch fordert auch diese Option von den betroffenen Organisationen einen hohen Preis.

Die Entscheidung, welches Übel im konkreten Fall das geringere ist, liegt bei den Opfern selbst, wie der Gartner-Analyst Paul Proctor betont: „Letztlich hängt es davon ab, inwieweit sich der Verlust der gestohlenen Daten auf die Geschäftsergebnisse auswirkt. Die Organisation muss abwägen, ob sie es darauf ankommen lassen will oder lieber doch nicht.“

Geschäftsschädigende Auswirkungen von Ransomware

Ein täglicher Blick in die Medien genügt, um sich der branchenübergreifenden Tragweite des Ransomware-Problems bewusst zu werden. Unternehmen, die von Angriffen betroffen sind, müssen gleich mehrere schwerwiegende Konsequenzen hinnehmen:

Finanzielle Einbußen und/oder Verlust von Daten

Ransomware-Angriffe basieren auf dem Prinzip der Entführung und Erpressung: Das Opfer soll gezwungen werden, für die unversehrte Rückgabe seiner Daten ein Lösegeld zu zahlen, dessen Höhe von den Entführern festgelegt wird. Insbesondere Organisationen aus dem Gesundheits- oder Finanzwesen, dem öffentlichen Sektor oder anderen Branchen, in denen eine Vielzahl vertraulicher Daten erfasst, gespeichert und verarbeitet wird, geraten dadurch in eine hochbrisante Lage.

Wer die Lösegeldforderungen ignoriert, riskiert, dass vertrauliche Daten veröffentlicht oder – schlimmer noch – an andere kriminelle Organisationen verkauft werden. Jedoch ist selbst bei Zahlung des Lösegelds keineswegs gewährleistet, dass der Zugriff auf die Daten tatsächlich wiederhergestellt wird. Deswegen ist und bleibt effektive Prävention die beste Strategie zur Bekämpfung von Ransomware.

Reputationsschäden

Unabhängig davon, ob die betroffene Organisation sich für oder gegen die Zahlung des Lösegelds entscheidet, ist sie zur Meldung des Angriffs verpflichtet. Früher oder später werden also auch die Medien davon Wind bekommen. Von den Konsequenzen solcher Negativschlagzeilen können zahlreiche Opfer aus dem öffentlichen wie dem privaten Sektor ein Lied singen. Solange Ransomware als lukratives Geschäft wahrgenommen und entsprechend weiterentwickelt wird – und solange die Unternehmen keine geeigneten Maßnahmen zur Vorbereitung auf Angriffe ergreifen –, wird die Liste der betroffenen Organisationen fraglos immer länger werden.

Unternehmen, die von erfolgreichen Ransomware-Angriffen betroffen sind, müssen in vielen Fällen Umsatzeinbrüche hinnehmen, die durch den Vertrauensverlust seitens der Kunden bedingt sind – denn in der Wahrnehmung der Kunden und der breiten Öffentlichkeit wird dem Unternehmen zumindest eine Mitschuld angelastet.

Rechtliche Konsequenzen

In bestimmten Rechtsräumen stellt die Lösegeldzahlung bei Ransomware-Angriffen einen Straftatbestand dar. Das gilt u. a. für die USA, wo Lösegeldzahlungen laut einem Beschluss des Office of Foreign Assets Control (OFAC) und des Financial Crimes Enforcement Network (FinCEN) von 2020 in der Mehrzahl der Fälle gegen geltendes Recht verstoßen.

Zusätzlich zu den finanziellen Einbußen, Datenverlusten und der Schädigung des Markenrufs können also auch die rechtlichen Konsequenzen eines Ransomware-Angriffs eine Organisation womöglich teuer zu stehen kommen.

Wie sieht die Prognose aus?

Gartner nennt „neue Ransomware-Modelle“ als das schwerwiegendste Risiko, mit dem Organisationen konfrontiert sind. Aus dem Emerging Risks Monitor Report des Marktforschungsunternehmens geht hervor, dass Ransomware mittlerweile sogar noch stärker als Bedrohung wahrgenommen wird als die Pandemie.

Unter diesen Vorzeichen wäre es für jede Organisation fatal, sich dem Irrglauben hinzugeben, sie sei vor Angriffen gefeit. Eine kluge Strategie umfasst sowohl die Vorbereitung auf potenzielle Angriffe als auch effektive Maßnahmen zu ihrer Prävention.

Selbst wenn keine hundertprozentige Prävention möglich ist, lässt sich durch strenge Einhaltung von Due-Diligence-Maßnahmen, entsprechende Mitarbeiterschulungen und die richtige Technologie das Risiko eines erfolgreichen Angriffs deutlich verringern.

Hinweise zum Entfernen von Ransomware

Zur erfolgreichen Bekämpfung von Ransomware ist ein sorgfältiges und umsichtiges Vorgehen in mehreren Schritten erforderlich.

1. Schritt: Isolieren des infizierten Geräts

Das betroffene Gerät muss von sämtlichen kabelgebundenen oder kabellosen Verbindungen getrennt werden, damit die Ransomware unter Quarantäne gestellt und ihre Ausbreitung verhindert werden kann. Wenn noch kein Lösegeld gefordert wurde, sollte die Malware unbedingt sofort aus dem System entfernt werden.

2. Schritt: Identifizierung der Ransomware

Bei der Analyse der Ransomware und um herauszufinden, um welche Variante es sich konkret handelt, kann ein Sicherheitsexperte bzw. ein entsprechendes Tool wertvolle Unterstützung leisten. Anhand der dabei gewonnenen Erkenntnisse kann dann entschieden werden, wie sich der entstandene Schaden am besten begrenzen bzw. beheben lässt.

3. Schritt: Entfernen der Ransomware

Im nächsten Schritt muss die Infektion von der Festplatte entfernt werden. Auch hier kann ein entsprechendes Tool bzw. die Unterstützung eines Sicherheitsexperten hilfreich sein. Manche Organisationen verfügen auch über manuelle Prozesse zum Entfernen von Malware. Für die Entschlüsselung der Daten stehen ebenfalls spezielle Tools und Programme bereit.

4. Schritt: Systemwiederherstellung mit einem Backup

Dazu wird eine Systemspeicherung verwendet oder es werden Dateien des kompromittierten Betriebssystems wiederhergestellt. Voraussetzung hierfür ist jedoch die regelmäßige Erstellung von Sicherungskopien, damit im Falle eines Ransomware-Angriffs auf eine unverschlüsselte Version der Daten zugegriffen werden kann. Dies empfiehlt sich nicht nur bei Ransomware-Angriffen, sondern auch bei Datenpannen.

Schutz vor Ransomware

Eine effektive Strategie zur Bekämpfung aktuell akuter und zukünftiger Formen von Ransomware umfasst eine Kombination aus unterschiedlichen Maßnahmen und Tools:

• KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
• Überprüfung des gesamten TLS/SSL-verschlüsselten Traffics
• durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der proaktiven Abwehr durch. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung.

Die Zscaler-Lösung zum Schutz vor Ransomware

Der Cloud-native Ransomware-Schutz von Zscaler unterstützt Organisationen mit drei Kernfunktionen bei der effektiven Abwehr von Ransomware und stellt diese Funktionen im Rahmen der  Zscaler Zero Trust Exchange™ bereit:

1. KI-basierte Sandbox-Quarantäne

In einer KI-gestützten Sandbox-Quarantäne, die auf einer Cloud-nativen Proxy-Architektur basiert, können Dateien vor der Zustellung unter Quarantäne gestellt und vollständig analysiert werden. Das Risiko von Patient-Zero-Infektionen wird damit praktisch ausgeschlossen. Anders als bei veralteten Passthrough-Ansätzen werden verdächtige oder unbekannte Dateien garantiert zur Analyse abgefangen, bevor sie in die IT-Umgebung des Unternehmens gelangen können.

Zusätzlich zum Funktionsumfang herkömmlicher Lösungen zur Abwehr von Malware bietet eine Cloud-native, KI-gestützte Lösung wie Zscaler Cloud Sandbox als Bestandteil der Zero Trust Exchange eine Reihe weiterer Vorteile:

• komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
• ML-gestützte Echtzeit-Risikobeurteilungen für unbekannte Dateien
• schnelle, sichere Dateidownloads, wobei als schädlich eingestufte Dateien in die Quarantäne verschoben werden

2. Überprüfung des gesamten verschlüsselten Traffics

Mit der Cloud-nativen Proxy-Architektur von Zscaler kann der gesamte SSL-verschlüsselte Traffic auch bei hohen Datenvolumen überprüft werden – ohne Beeinträchtigung der Performance und ohne Erweiterung der Verarbeitungskapazität kostspieliger Appliances.

Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite.

3. Durchgängig aktive Sicherung von Verbindungen außerhalb des Netzwerks

Im Funktionsumfang der Zero Trust Exchange ist sowohl eine KI-basierte Sandbox-Quarantäne als auch die komplette Überprüfung des SSL-Traffics inbegriffen – für alle User, Standorte und Geräte. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt. 

Dieser Ansatz zur Abwehr von Ransomware beginnt mit dem Schutz von User-Verbindungen. User, die außerhalb des Netzwerks arbeiten, installieren einfach Zscaler Client Connector als ressourcenschonenden Endgeräte-Agent auf dem Laptop oder Mobilgerät. Durch konsistente Richtliniendurchsetzung und Zugriffskontrollen wird ein identisches Schutzniveau gewährleistet wie für User in der Unternehmenszentrale. Zscaler Client Connector unterstützt Android, iOS, macOS und Windows.

Eins steht jedenfalls fest: Eine wirksame Ransomware-Prävention beginnt mit Zero Trust und der Zero Trust Exchange.