Zpedia / Was ist unter Ransomware-Angriffen zu verstehen?

Was ist unter Ransomware-Angriffen zu verstehen?

Bei Ransomware handelt es sich um eine Art von Malware (Schadcode), die ein System „sperrt“ oder Dateien verschlüsselt. Um wieder auf die Daten zugreifen zu können, muss ein Lösegeld gezahlt werden, das heute meist in einer Kryptowährung zu entrichten ist. Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel zur Entsperrung der Dateien und Systeme versprochen. Ransomware ist also eine moderne Form der Erpressung, die Cyberkriminelle sehr gerne nutzen. Angesichts der durch hybride und Remote-Arbeit entstehenden neuen Sicherheitsrisiken auf Endgeräten machen sich Hacker diese Methode zunutze, um sensible Daten für ihre Zwecke zu stehlen.

Report zur Ransomware-Lage im Jahr 2022 herunterladen

Wie laufen Ransomware-Angriffe ab?

Ein typischer Ransomware-Angriff lässt sich in vier Phasen aufgliedern.

 

1. Bereitstellung

Die erste Phase besteht in der Auslieferung der Ransomware – in den meisten Fällen, indem User der Organisation zum Öffnen einer Phishing-E-Mail verleitet werden. Diese E-Mails scheinen auf den ersten Blick von einem vertrauenswürdigen Absender, also z. B. einer bekannten Marke, zu stammen. Ransomware-Angreifer tarnen solche Phishing-E-Mails gerne als Benachrichtigungen von Versandunternehmen, Banken und großen Einzelhandelsketten über Lieferverzögerungen, betrügerische Käufe, niedrige Kontostände usw.

Diese E-Mails sehen aus, als ob sie von bekannten Absendern stammten, enthalten jedoch schädliche PDFs und andere Dateien oder Google-Drive-Links. Diese Dateien enthalten Malware-Lader, die die schädlichen Inhalte nach dem Öffnen im System des Opfers ablegen und den Angriff vorbereiten.

 

2. Ausbeutung

Nach dem erfolgreichen Laden der Malware folgt die Ausbeutung und die Malware breitet sich aus. Diese Phase beginnt in der Regel mit dem Öffnen eines E-Mail-Anhangs, wodurch die Malware auf das Gerät des Empfängers übertragen wird.

Wenn sich das infizierte Gerät in einem Netzwerk befindet, identifiziert die Malware den Domain Controller, mit dem das Gerät kommuniziert. Im nächsten Schritt werden Anmeldedaten gestohlen, damit die Malware sich innerhalb des Netzwerks ausbreiten und weitere Geräte infizieren kann.

 

3. Rückruf

Die nächste Angriffsphase wird als Rückruf bezeichnet. Dabei versucht die Malware, mit ihren C2-Servern (Command-and-Control) in Verbindung zu treten, an die die gestohlenen Daten gesendet werden.

 

4. Detonation

Die C2-Server schicken dann Anweisungen an die Payload zur Ausführung der letzten Phase: Detonation. Während dieser Phase stiehlt die Malware Daten und installiert die Ransomware. Dabei werden das System oder die Daten verschlüsselt und gesperrt, sodass das Angriffsopfer (Privatperson oder Unternehmen) nicht mehr darauf zugreifen kann. In den meisten Fällen muss das Lösegeld innerhalb einer bestimmten Frist gezahlt werden, bevor die Daten dauerhaft gelöscht werden. Der geforderte Betrag wird dabei teilweise stündlich erhöht.

Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel versprochen, mit dem die Daten wieder entsperrt werden können. Jedoch ist keineswegs Verlass darauf, dass dieser Schlüssel tatsächlich bereitgestellt wird bzw. dass der bereitgestellte Schlüssel tatsächlich funktioniert.

In letzter Zeit wurden zunehmend sogenannte Doppelerpressungen beobachtet, bei denen die Angreifer geschäftskritische bzw. vertrauliche Daten vor der Verschlüsselung exfiltrieren und dann mit ihrer Veröffentlichung drohen. Dadurch steigern sie ihre Chancen, auch Organisationen, die über gute Backup-Sicherungen verfügen, zur Zahlung des Lösegelds zwingen zu können.

Es ist an der Zeit, dass sich das Bewusstsein durchsetzt, dass es mit der Zahlung des Lösegelds nicht getan ist und man nicht unbedingt wieder Kontrolle über das Netzwerk bekommt – vielmehr handelt es sich bei Ransomware-Infektionen um verheerende Angriffe

Cybersecurity and Infrastructure Security Agency

Ransomware im Wandel der Zeit – von der Diskette zur Filesharing-Website

Ransomware ist heute in der Öffentlichkeit so präsent wie nie zuvor. Dass sie Sicherheitsexperten schon sehr viel länger – nämlich seit über drei Jahrzehnten – beschäftigt, gerät dabei oft aus dem Blickfeld.

Die erste bekannte Ransomware wurde 1989 von Dr. Joseph Popp in Verkehr gebracht. Er schickte Disketten mit dem Titel „AIDS Information Introductory Diskette“ an die Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisation in Stockholm. Diese Festplatten enthielten Schadcode, der sich in MS-DOS-Systemen installierte und zählte, wie oft User ihre Computer hochfuhren.

Beim 90. Neustart versteckte Dr. Popps Trojaner alle Verzeichnisse und verschlüsselte alle Dateien im Laufwerk. Den Opfern wurde eine Meldung angezeigt, die angeblich von einer fiktiven Firma namens PC Cyborg Corporation stammte. Darin wurde der Empfänger gewarnt, seine Software-Lizenz sei abgelaufen; zur Wiederherstellung des Zugriffs müsse eine Zahlung in Höhe von 189 USD an eine Adresse in Panama geleistet werden.

Die nächste Welle von Ransomware-Angriffen wurde als „Scareware“ bezeichnet. Dabei erhielten User eine Warnbenachrichtigung über einen vermeintlichen katastrophalen Fehler auf ihrem Computer und wurden aufgefordert, zur Behebung des Problems eine Software zu kaufen und herunterzuladen. In Wirklichkeit handelte es sich dabei natürlich um eine weitere Malware, die Daten von dem Computer stehlen sollte.

Die zunehmende Beliebtheit von Filesharing-Plattformen führte zur Entstehung einer neuen gängigen Art von Ransomware, die allgemein als „Police Locker“-Angriff bezeichnet wird. Dabei wurde der Desktop des Users so manipuliert, dass er eine Meldung anzeigt, der zufolge der Computer wegen Verdachts auf rechtswidrige Aktivitäten polizeilich gesperrt wurde. Die erforderliche Malware wurde oft über Filesharing-Plattformen oder Websites mit raubkopierten oder pornografischen Inhalten ausgeliefert. Aus Angst vor etwaigen Konsequenzen waren viele Opfer zur Zahlung eines Lösegelds von ein paar hundert Dollar für die Entsperrung ihrer Computer bereit. Tatsächlich hätte sich die Sperre bei vielen dieser Angriffe durch einen einfachen Neustart aufheben lassen.

Learn more about encryption-less ransomware and other trends in the Zscaler ThreatLabz 2023 Ransomware Report.

Typen/Beispiele für Ransomware-Angriffe

Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:

  • GandCrab: Laut dem Report Ransomware in Global Context von VirusTotal entfiel die überwältigende Mehrheit aller Ransomware-Angriffe (78,5 % der ausgewerteten Proben) seit 2020 auf diese Ransomware-Gruppe.
  • REvil: Diese Gruppe ist berüchtigt für spektakuläre Großangriffe auf Rechtswesen, Unterhaltungsbranche und öffentlichen Sektor. Sie sorgte erstmals im Mai 2020 für Schlagzeilen, führte jedoch im Zeitraum zwischen März und Oktober 2021 jeden Monat weitere Angriffe durch, darunter den „Kaseya VSA“-Angriff.
  • WannaCry: Dieser Ransomware-Kryptowurm greift das Betriebssystem Microsoft Windows an. Seit seiner Veröffentlichung im Jahr 2017 wurden bisher über 300.000 Systeme befallen.
  • Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
  • DarkSide: Diese Variante kam bei dem spektakulären Angriff auf die Colonial Pipeline im Jahr 2021 zum Einsatz und zählt zu den bekanntesten Beispielen für Ransomware mit Doppelerpressung. Die Bereitstellung erfolgt zumeist als Service.
  • Evil Corp: Diese Gruppe steckt hinter einer Malware namens Didrex, die mithilfe von Phishing-E-Mails verbreitet wird und insbesondere beim Diebstahl von Anmeldedaten im Bereich Online-Banking zum Einsatz kommt. Inzwischen wird die Gruppe auch mit anderen Arten von Ransomware in Verbindung gebracht, u. a. WastedLocker, BitPaymer und DoppelPaymer.
  • Maze: Diese Variante wurde erstmals im Mai 2019 entdeckt. Die Ransomware kam bei einem Angriff auf Cognizant zum Einsatz, der bei einigen Kunden des Unternehmens Serviceunterbrechungen verursachte.

Wie gut sind Sie auf Ransomware-Angriffe vorbereitet? Mit unserer kostenlosen Analyse der Internet-Bedrohungslage können Sie genau das überprüfen.

How safe are you against ransomware attacks? Run a free Internet Threat Exposure Analysis to find out.

What Are the 7 Main Ransomware Attack Vectors?

Ransomware attackers are always working to find new ways to innovate their attacks, but several strategies stand out as the most popular (and effective) means of infiltrating systems. These are the most common ransomware attack vectors:

  • Phishing: Deceptive emails or similar messages, usually laden with infected links or attachments, trick users into letting ransomware onto their system.
  • Drive-by downloads: Attackers exploit software, OS, or browser vulnerabilities to enable stealthy downloads of ransomware when victim interact with compromised websites or links.
  • Software vulnerabilities: Attackers exploit weaknesses in applications or systems, giving them entry points into a network, where they can deploy ransomware directly.
  • Malicious websites: Attackers create fake or copycat sites that users mistake for legitimate ones, which host ransomware that they entice visitors into downloading under false pretenses.
  • Watering hole attacks: Attackers compromise legitimate websites used by their intended victims, and then use social engineering to trick visitors into downloading ransomware.
  • Remote Desktop Protocol (RDP) attacks: Hackers gain illicit access to RDP connections, generally by cracking or stealing login credentials, to deploy ransomware directly onto a target network.
  • Malvertising (malicious advertising): Attackers place infected ads on otherwise legitimate website, which infect systems with ransomware when victims interact with the ad.

Zahlen oder nicht zahlen?

Für jede betroffene Organisationen eine heikle Frage, auf die es keine einfache oder eindeutige Antwort gibt.

Verständlicherweise zahlen viele Organisationen lieber ein Lösegeld, als das Risiko einzugehen, dass ihre vertraulichen Daten im Internet veröffentlicht werden. Nach Angaben von Gartner werden „80 % (der zahlungswilligen Organisationen) Opfer eines weiteren Ransomware-Angriffs“. So mag es gute Gründe geben, von der Zahlung abzuraten – jedoch fordert auch diese Option von den betroffenen Organisationen einen hohen Preis.

Die Entscheidung, welches Übel im konkreten Fall das geringere ist, liegt bei den Opfern selbst, wie der Gartner-Analyst Paul Proctor betont: „Letztlich hängt es davon ab, inwieweit sich der Verlust der gestohlenen Daten auf die Geschäftsergebnisse auswirkt. Die Organisation muss abwägen, ob sie es darauf ankommen lassen will oder lieber doch nicht.“

Geschäftsschädigende Auswirkungen von Ransomware

Ein täglicher Blick in die Medien genügt, um sich der branchenübergreifenden Tragweite des Ransomware-Problems bewusst zu werden. Unternehmen, die von Angriffen betroffen sind, müssen gleich mehrere schwerwiegende Konsequenzen hinnehmen:

Finanzielle Einbußen und/oder Verlust von Daten

Ransomware-Angriffe basieren auf dem Prinzip der Entführung und Erpressung: Das Opfer soll gezwungen werden, für die unversehrte Rückgabe seiner Daten ein Lösegeld zu zahlen, dessen Höhe von den Entführern festgelegt wird. Insbesondere Organisationen aus dem Gesundheits- oder Finanzwesen, dem öffentlichen Sektor oder anderen Branchen, in denen eine Vielzahl vertraulicher Daten erfasst, gespeichert und verarbeitet wird, geraten dadurch in eine hochbrisante Lage.

Wer die Lösegeldforderungen ignoriert, riskiert, dass vertrauliche Daten veröffentlicht oder – schlimmer noch – an andere kriminelle Organisationen verkauft werden. Jedoch ist selbst bei Zahlung des Lösegelds keineswegs gewährleistet, dass der Zugriff auf die Daten tatsächlich wiederhergestellt wird. Deswegen ist und bleibt effektive Prävention die beste Strategie zur Bekämpfung von Ransomware.

Reputationsschäden

Unabhängig davon, ob die betroffene Organisation sich für oder gegen die Zahlung des Lösegelds entscheidet, ist sie zur Meldung des Angriffs verpflichtet. Früher oder später werden also auch die Medien davon Wind bekommen. Von den Konsequenzen solcher Negativschlagzeilen können zahlreiche Opfer aus dem öffentlichen wie dem privaten Sektor ein Lied singen. Solange Ransomware als lukratives Geschäft wahrgenommen und entsprechend weiterentwickelt wird – und solange die Unternehmen keine geeigneten Maßnahmen zur Vorbereitung auf Angriffe ergreifen –, wird die Liste der betroffenen Organisationen fraglos immer länger werden.

Unternehmen, die von erfolgreichen Ransomware-Angriffen betroffen sind, müssen in vielen Fällen Umsatzeinbrüche hinnehmen, die durch den Vertrauensverlust seitens der Kunden bedingt sind – denn in der Wahrnehmung der Kunden und der breiten Öffentlichkeit wird dem Unternehmen zumindest eine Mitschuld angelastet.

Rechtliche Konsequenzen

In bestimmten Rechtsräumen stellt die Lösegeldzahlung bei Ransomware-Angriffen einen Straftatbestand dar. Das gilt u. a. für die USA, wo Lösegeldzahlungen laut einem Beschluss des Office of Foreign Assets Control (OFAC) und des Financial Crimes Enforcement Network (FinCEN) von 2020 in der Mehrzahl der Fälle gegen geltendes Recht verstoßen.

Zusätzlich zu den finanziellen Einbußen, Datenverlusten und der Schädigung des Markenrufs können also auch die rechtlichen Konsequenzen eines Ransomware-Angriffs eine Organisation womöglich teuer zu stehen kommen.

Hinweise zum Entfernen von Ransomware

Zur erfolgreichen Bekämpfung von Ransomware ist ein sorgfältiges und umsichtiges Vorgehen in mehreren Schritten erforderlich.

1. Schritt: Isolieren des infizierten Geräts

Das betroffene Gerät muss von sämtlichen kabelgebundenen oder kabellosen Verbindungen getrennt werden, damit die Ransomware unter Quarantäne gestellt und ihre Ausbreitung verhindert werden kann. Wenn noch kein Lösegeld gefordert wurde, sollte die Malware unbedingt sofort aus dem System entfernt werden.

2. Schritt: Identifizierung der Ransomware

Bei der Analyse der Ransomware und um herauszufinden, um welche Variante es sich konkret handelt, kann ein Sicherheitsexperte bzw. ein entsprechendes Tool wertvolle Unterstützung leisten. Anhand der dabei gewonnenen Erkenntnisse kann dann entschieden werden, wie sich der entstandene Schaden am besten begrenzen bzw. beheben lässt.

3. Schritt: Entfernen der Ransomware

Im nächsten Schritt muss die Infektion von der Festplatte entfernt werden. Auch hier kann ein entsprechendes Tool bzw. die Unterstützung eines Sicherheitsexperten hilfreich sein. Manche Organisationen verfügen auch über manuelle Prozesse zum Entfernen von Malware. Für die Entschlüsselung der Daten stehen ebenfalls spezielle Tools und Programme bereit.

4. Schritt: Systemwiederherstellung mit einem Backup

Dazu wird eine Systemspeicherung verwendet oder es werden Dateien des kompromittierten Betriebssystems wiederhergestellt. Voraussetzung hierfür ist jedoch die regelmäßige Erstellung von Sicherungskopien, damit im Falle eines Ransomware-Angriffs auf eine unverschlüsselte Version der Daten zugegriffen werden kann. Dies empfiehlt sich nicht nur bei Ransomware-Angriffen, sondern auch bei Datenpannen.

Schutz vor Ransomware

Eine effektive Strategie zur Bekämpfung aktuell akuter und zukünftiger Formen von Ransomware umfasst eine Kombination aus unterschiedlichen Maßnahmen und Tools:

  • KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
  • Überprüfung des gesamten TLS/SSL-verschlüsselten Traffics
  • durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der proaktiven Abwehr durch. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung.

Die Zscaler-Lösung zum Schutz vor Ransomware

Der Cloud-native Ransomware-Schutz von Zscaler unterstützt Organisationen mit drei Kernfunktionen bei der effektiven Abwehr von Ransomware und stellt diese Funktionen im Rahmen der  Zscaler Zero Trust Exchange™ bereit:

1. KI-basierte Sandbox-Quarantäne

In einer KI-gestützten Sandbox-Quarantäne, die auf einer Cloud-nativen Proxy-Architektur basiert, können Dateien vor der Zustellung unter Quarantäne gestellt und vollständig analysiert werden. Das Risiko von Patient-Zero-Infektionen wird damit praktisch ausgeschlossen. Anders als bei veralteten Passthrough-Ansätzen werden verdächtige oder unbekannte Dateien garantiert zur Analyse abgefangen, bevor sie in die IT-Umgebung des Unternehmens gelangen können.

Zusätzlich zum Funktionsumfang herkömmlicher Lösungen zur Abwehr von Malware bietet eine Cloud-native, KI-gestützte Lösung wie Zscaler Cloud Sandbox als Bestandteil der Zero Trust Exchange eine Reihe weiterer Vorteile:

  • komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
  • ML-gestützte Echtzeit-Risikobeurteilungen für unbekannte Dateien
  • schnelle, sichere Dateidownloads, wobei als schädlich eingestufte Dateien in die Quarantäne verschoben werden

2. Überprüfung des gesamten verschlüsselten Traffics

Mit der Cloud-nativen Proxy-Architektur von Zscaler kann der gesamte SSL-verschlüsselte Traffic auch bei hohen Datenvolumen überprüft werden – ohne Beeinträchtigung der Performance und ohne Erweiterung der Verarbeitungskapazität kostspieliger Appliances.

Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite.

3. Durchgängig aktive Sicherung von Verbindungen außerhalb des Netzwerks

Im Funktionsumfang der Zero Trust Exchange ist sowohl eine KI-basierte Sandbox-Quarantäne als auch die komplette Überprüfung des SSL-Traffics inbegriffen – für alle User, Standorte und Geräte. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt. 

Dieser Ansatz zur Abwehr von Ransomware beginnt mit dem Schutz von User-Verbindungen. User, die außerhalb des Netzwerks arbeiten, installieren einfach Zscaler Client Connector als ressourcenschonenden Endgeräte-Agent auf dem Laptop oder Mobilgerät. Durch konsistente Richtliniendurchsetzung und Zugriffskontrollen wird ein identisches Schutzniveau gewährleistet wie für User in der Unternehmenszentrale. Zscaler Client Connector unterstützt Android, iOS, macOS und Windows.

Eins steht jedenfalls fest: Eine wirksame Ransomware-Prävention beginnt mit Zero Trust und der Zero Trust Exchange.

 

Weitere Ressourcen

  • Zscaler ThreatLabz 2023 Ransomware Report

    Get the report

  • ThreatLabz-Report zum Status verschlüsselter Angriffe 2021

    Report herunterladen

  • Drei Geheimtipps zur Abwehr von Ransomware

    Zum Webinar

  • Ransomware 2022: Wissenswerte Fakten und Empfehlungen zur Vorbereitung auf Angriffe

    Zum Webinar

  • Die weltweit effektivste Lösung zur Abwehr von Ransomware

    Mehr erfahren

  • Ransomware und Doppelerpressung: So lassen sich Unternehmensdaten zuverlässig schützen

    Zum Blogbeitrag

Häufig gestellte Fragen

What's the Most Common Type of Ransomware Attack?

Most ransomware attacks start with phishing. Threat actors often use deceptive emails, messages, or websites to trick users into downloading malware or divulging login credentials. These techniques are effective because they exploit human vulnerabilities, not technological ones, making them difficult for traditional security measures to detect.

How Is Ransomware Typically Delivered?

Ransomware can be delivered through various vectors, with phishing being most common. Another method, called drive-by download, automatically downloads ransomware to a victim's system when they visit a compromised or malicious website. Attackers may also use exploit kits, which target known software vulnerabilities to deliver ransomware. Some attackers even use fraudulent ads, even on legitimate websites, to lure victims.

How Does a Ransomware Attack Start?

Ransomware attacks most often start when a victim interacts with a malicious link, website, or file, or surrenders privileged information through phishing. Once ransomware is installed on a victim's system, it will exfiltrate and/or encrypt files, and then send a ransom demand promising an exchange for the decryption key or surrender of stolen data.

How Do I Know If I’m the Victim of a Ransomware Attack?

Various telltale signs can indicate you’ve been hit with ransomware. The most obvious are a sudden inability to access files, or receipt of a ransom message. Less obvious signs could be changes to file extensions, additional files appearing on the system, or out-of-the-ordinary network traffic or encryption activity. If you notice any of these, you should disconnect from the internet and immediately consult your IT or security team.

What Do I Do if I Believe My System Has Been Infected by Ransomware?

If you suspect you’ve fallen victim to ransomware, you should immediately take several steps to prevent the spread of the infection. Isolate infected devices by disconnecting them from the internet and network, powering them down if needed. Next, reach out to your IT or security team or other trusted professional, who can help you determine if decryption is possible, restore data from a backup, and potentially remove the ransomware. Finally, you’ll need to evaluate what led to the ransomware infection and shore up your defenses accordingly.

How Serious Is a Ransomware Attack?

Any organization should consider a ransomware attack serious if the organization, its clients, or its employees have anything to lose. Both money and data are at risk the moment ransomware is executed in your environment, and depending on your response, you could face reputational damage, legal repercussions, fines, sanctions, and more.

What Is an Example of a Ransomware Attack?

There are many ransomware families and notable ransomware attacks. One example, the Ryuk ransomware, has targeted healthcare, public sector, and education organizations worldwide. Delivered via phishing emails, Ryuk encrypts victims' files and demands a ransom in exchange for the decryption key. Although not as notorious as massive attacks like NotPetya and WannaCry, Ryuk has nonetheless seen great success in extorting payments from its victims.

What Is the Greatest Ransomware Attack?

One of the most damaging ransomware attacks in history was the May 2017 WannaCry attack. It affected hundreds of thousands of computers in more than 150 countries, affecting critical infrastructure from healthcare to government agencies as well as other businesses. WannaCry encrypted files and demanded ransoms in bitcoin. While far from the first widespread ransomware attack, it was the first to reach such a devastating global scale of disruption.