Was ist unter Ransomware-Angriffen zu verstehen?

Ransomware ist auf dem Vormarsch

Ransomware-Angriffe haben sich in den letzten Jahren rasant weiterentwickelt und sind häufiger, raffinierter und für die Opfer kostspieliger geworden. Neue Ransomware-as-a-Service-Modelle (RaaS) eröffnen neuen Bedrohungsakteuren auch ohne Fachwissen vorgefertigte Wege zu potenziellen Gewinnen.

Gleichzeitig verleihen Angreifer altbewährten Techniken eine neue Note. Manche nutzen Doppelerpressung und vervielfachen den Druck auf ihre Opfer, indem sie Verschlüsselung und Datendiebstahl kombinieren. Andere haben Pionierarbeit bei Angriffen ohne Verschlüsselung geleistet und konzentrieren sich dabei ausschließlich auf die Bedrohung durch ein Datenleck.

Mit der Entwicklung neuer Techniken werden herkömmliche Methoden zur Wiederherstellung und Entschlüsselung von Dateien weniger praktikabel. Unter diesen Vorzeichen ist es wichtiger denn je, den Schwerpunkt auf die Prävention zu legen.

Wie laufen Ransomware-Angriffe ab?

Der Ablauf der typischen Phasen eines Ransomware-Angriffs sieht wie folgt aus:

Erstzugriff

Viele Ransomware-Angriffe beginnen mit Phishing-E-Mails. Diese stammen vermeintlich von Einzelhändlern, Banken oder anderen legitimen Absendern und beziehen sich auf Lieferverzögerungen, betrügerische Transaktionen usw. Solche E-Mails enthalten infizierte Dateien oder Links, die beim Öffnen Malware auf das Gerät des Opfers übertragen, um einen Angriff zu starten.

Laterale Bewegung

Sobald ein Gerät infiziert ist, breitet sich der Angriff aus. Wenn sich das infizierte Gerät in einem Netzwerk befindet, versucht die Malware, einen Domain-Controller zu kompromittieren oder Anmeldedaten zu stehlen, damit sie sich lateral durch das Netzwerk bewegen und weitere Geräte infizieren kann.

Ausführung

Sobald die Malware über ausreichenden Zugriff verfügt, wird sie ausgeführt und exfiltriert und/oder stiehlt die Daten des Opfers. Anschließend erhält das Opfer eine Lösegeldforderung, in der Regel mit einer Frist, nach der die Daten verkauft, weitergegeben oder gelöscht werden. Wenn das Opfer zahlt, versprechen Angreifer, die Verschlüsselungsstrategien verwenden, in der Regel die Bereitstellung eines Schlüssels, mit dem die Daten entschlüsselt werden können. Allerdings stellen sie nicht immer den Entschlüsselungscode zur Verfügung, und wenn doch, funktioniert dieser nicht immer.

Ransomware im Wandel der Zeit – von der Diskette zur Filesharing-Website

Der erste dokumentierte Ransomware-Angriff ereignete sich 1989. Im Anschluss an eine Konferenz der Weltgesundheitsorganisation zum Thema AIDS erhielten die Teilnehmer Disketten mit „Informationen zu AIDS“, die einen Trojaner-Virus enthielten. Der Trojaner verschlüsselte Dateien auf einem infizierten System und forderte das Opfer dann auf, eine Zahlung in Höhe von 189 USD an eine Adresse in Panama zu schicken, um den Zugriff wiederherzustellen.

Anfang der 1990er-Jahre kam „Scareware“ auf, die ihren Namen ihrem Einsatz von auf Angst basierendem Social Engineering verdankt. Auf infizierten Computern wird eine Fehlermeldung mit einem Link zum Kauf und Herunterladen von Software zur Behebung des Problems angezeigt. Bei der Software handelte es sich natürlich meist um weitere Malware, die oft darauf ausgelegt war, Daten zu stehlen. Scareware gibt es heute noch in vielen Formen, beispielsweise als Malspam und in Browser-Popups.

Mit der Verbreitung des Filesharing wurde eine Kategorie von Ransomware namens „Screen Locker“ populär. Anstatt Dateien zu verschlüsseln, sperren diese das System des Users und fordern ein Lösegeld oder eine „Geldstrafe“ (häufig unter Berufung auf die Polizei, das FBI usw.). In Wirklichkeit schränkten viele Locker lediglich die Mausbewegung ein und ein Neustart des Systems konnte die normalen Funktionen wiederherstellen. Dennoch waren viele Opfer aus Angst bereit zu zahlen.

Welcher Zusammenhang besteht zwischen Ransomware und Kryptowährungen?

In der Anfangsphase lagen die Lösegeldforderungen in der Regel bei einigen hundert Dollar je User. Außerdem wurden die Lösegeldzahlungen meist mit gewöhnlichen Zahlungskarten getätigt, sodass die Transaktionen viel leichter zu verfolgen und die Täter leichter zu fassen waren.

Heutzutage haben Innovationen im Bereich der Cyberkriminalität und der Kryptotechnologie dazu beigetragen, dass Ransomware immer häufiger eingesetzt wird. Insbesondere Kryptowährungen — digitale Währungen, die auf Anonymität und Verschlüsselung setzen — haben es Angreifern ermöglicht, ihre Spuren zu verwischen und Transaktionen kaum auffindbar zu machen.

Ransomware as a Service (RaaS)

Als Nebeneffekt dieser zunehmenden Beliebtheit und des Erfolgs sind RaaS-Tools oft abonnementbasiert und erschwinglich, genau wie legale SaaS-Angebote. Viele dieser Tools sind im Dark Web leicht erhältlich und ermöglichen es auch Personen ohne Programmierkenntnisse, einen Cyberangriff zu starten und einen Teil des Gewinns zu erzielen. Einige RaaS-Anbieter bieten sogar technischen Support und bezahlte Bug-Bounty-Programme an.

Ransomware mit Doppelerpressung

Schließlich konnten bessere Datensicherungs- und Entschlüsselungstechnologien das Blatt zu Gunsten der Opfer wenden. Daraufhin verübte eine Hackergruppe namens TA2102 im Jahr 2019 den ersten aufsehenerregenden Ransomware-Angriff mit Doppelerpressung, bei dem die Daten des Opfers sowohl verschlüsselt als auch exfiltriert wurden. Dann drohte die Gruppe, sie zu veröffentlichen, falls nicht 2,3 Millionen US-Dollar in Bitcoin gezahlt würden. Selbst wenn es dem Opfer gelungen wäre, seine Daten wiederherzustellen, hätte es eine schwerwiegende Datenpanne erlitten, wenn es nicht gezahlt hätte.

Ransomware ohne Verschlüsselung

In den Jahren 2022 und 2023 kam ein gefährlicher Trend auf, der Ransomware grundlegend veränderte. Ransomware-Angriffe ohne Verschlüsselung sind sowohl eine Weiterentwicklung als auch eine Art Rückschritt. Statt die Dateien ihrer Opfer zu verschlüsseln, konzentrierten sich die Angreifer nur auf die Exfiltration vertraulicher Daten als Druckmittel.

Die Opfer dieser Angriffe kommen in der Regel aus Sektoren, in denen hochgradig vertrauliche personenbezogene Daten verarbeitet werden, wie z. B. dem Rechts- und Gesundheitswesen. Da ihr Hauptanliegen darin besteht, eine Weitergabe ihrer sensiblen Daten zu verhindern, zahlen viele das Lösegeld, obwohl ihre Daten nicht verschlüsselt wurden. Darüber hinaus können Opfer unverschlüsselte Daten rascher und einfacher wiederherstellen, was häufig zu schnelleren Lösegeldzahlungen führt.

Typen/Beispiele für Ransomware-Angriffe

Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:

• CryptoLocker: Diese Ransomware, die sich durch eine starke Verschlüsselung und ein riesiges Botnet auszeichnet, war in den Jahren 2013 und 2014 so erfolgreich, dass sie weiterhin Nachahmungstäter inspiriert.
• WannaCry: Dieser Kryptowurm greift das Windows-Betriebssystem an. Seit seiner Veröffentlichung im Jahr 2017 wurden bisher über 300.000 Systeme weltweit befallen. Aufgrund seines Ausmaßes und seiner globalen Reichweite bleibt es einer der größten Ransomware-Angriffe der Geschichte.
• NotPetya: NotPetya tauchte kurz nach WannaCry auf und schien zunächst eine Neuauflage der Petya-Ransomware von 2016 zu sein. Es gab jedoch keine Möglichkeit, verschlüsselte Daten wiederherzustellen. Bei dem Angriff handelte es sich in Wirklichkeit um bösartige „Destructionware“, die der russischen Hackergruppe Sandworm zugeschrieben wird.
• Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
• REvil: REvil ist berüchtigt für Angriffe auf Organisationen aus dem Rechtswesen, dem Unterhaltungsbereich und dem öffentlichen Sektor und startete zwischen Mai 2020 und Oktober 2021 eine ganze Reihe von Angriffen, darunter auch den Kaseya VSA-Angriff.
• DarkSide: Diese Ransomware-Variante, die für den Angriff auf Colonial Pipeline im Jahr 2021 verantwortlich ist, zählt zu den bekanntesten Beispielen für Ransomware mit Doppelerpressung. DarkSide ist eine gängige „as a Service“-Variante, bei der die Lizenznehmer an den Gewinnen beteiligt werden.
• GandCrab: Im Report „Ransomware in a Global Context“ von VirusTotal aus dem Jahr 2021 wird GandCrab als am häufigsten vorkommende Ransomware dieses Jahres genannt, die in 78,5 % der für den Report untersuchten Proben vorkam.
• LockBit: Ein Builder-Tool für diese ausgeklügelte Ransomware verbreitete sich Ende 2022. In den Händen unzähliger neuer Angreifer war es die am weitesten verbreitete Variante des Jahres 2023 mit mehr als 800 bekannten Opfern von Datenlecks.

Wie wird Ransomware verbreitet?

Angreifer entwickeln ständig neue Methoden, um Ransomware zu verbreiten. Einige davon sind jedoch besonders beliebt und effektiv. Die wichtigsten Angriffsvektoren für Ransomware sind:

• Phishing: Betrügerische E-Mails oder ähnliche Nachrichten, die in der Regel infizierte Links oder Anhänge enthalten, verleiten User dazu, Ransomware auf ihr System zu übertragen.
• Drive-by-Downloads: Angreifer nutzen Schwachstellen in Software, Betriebssystemen oder Browsern aus, um heimlich Ransomware herunterzuladen, wenn die Opfer auf kompromittierte Websites oder Links zugreifen.
• Software-Schwachstellen: Angreifer nutzen Schwachstellen in Anwendungen oder Systemen aus und verschaffen sich so Zugang zu einem Netzwerk, wo sie Ransomware direkt installieren können.
• Schädliche Websites: Angreifer erstellen betrügerische Websites, die Ransomware hosten, und überzeugen Besucher dann unter Vorspiegelung falscher Tatsachen, diese herunterzuladen.
• Watering-Hole-Angriffe: Angreifer kompromittieren legitime Websites, die von ihren Opfern genutzt werden, und nutzen dann Social Engineering, um Besucher zum Herunterladen von Ransomware zu verleiten.
• RDP-Angriffe (Remote Desktop Protocol): Hacker verschaffen sich illegal Zugriff auf RDP-Verbindungen, in der Regel durch Knacken oder Stehlen von Anmeldedaten, um Ransomware direkt in einem Zielnetzwerk zu installieren.
• Malvertising (schädliche Werbung): Angreifer platzieren infizierte Anzeigen auf ansonsten legitimen Websites, die Systeme mit Ransomware infizieren, sobald Opfer mit der Anzeige interagieren.

Zahlen oder nicht zahlen?

Für viele Opfer von Ransomware lautet die schwierigste Frage: „Zahlen oder nicht zahlen?“

Viele Unternehmen sind bereit zu zahlen, um ihre Daten zu retten, aber ist das die richtige Entscheidung? Mehrere Reports seit dem Jahr 2021 haben ergeben, dass etwa 80 % der Unternehmen, die so vorgehen, trotzdem von einem weiteren Angriff betroffen sind. Darüber hinaus mahnt CISO Brad Moldenhauer an: „Die Zahlung digitaler Lösegelder begünstigt womöglich Terrorismus und definitiv Cyberkriminalität.“

Darüber hinaus sollten Sie auch bedenken:

• Es gibt keine Garantie für die Wiederherstellung Ihrer Daten – in vielen Fällen ist das gar nicht die Absicht des Angreifers (lesen Sie mehr über NotPetya).
• Unter bestimmten Umständen und Rechtsordnungen ist die Zahlung eines Lösegelds sogar illegal. Weiterlesen.
• Im Falle einer Doppelerpressung verfügen die Angreifer auch dann noch über Kopien Ihrer Daten, wenn Sie diese wiederherstellen. Die Daten können offengelegt werden, wenn Sie nicht zahlen.

Die Entscheidung hängt oft von Ihren individuellen Umständen ab. Sie müssen bedenken, welche Auswirkungen eine Sicherheitsverletzung und ein möglicher Datenverlust auf Ihren Betrieb, Ihre User und Ihre Kunden haben.

Geschäftsschädigende Auswirkungen von Ransomware

Ransomware betrifft Unternehmen aller Art weltweit und jedes Jahr kommt es zu mehr Angriffen. Dies kann negative Auswirkungen auf die Einnahmen, die öffentliche Meinung usw. haben.

Verlust von Vermögen und/oder Daten

Die Entscheidung zwischen Datenverlust und finanziellen Einbußen ist eine heikle Frage, insbesondere in Branchen, die mit vertraulichen Daten arbeiten. Wer Lösegeldforderungen ignoriert, riskiert ein Datenleck. Doch selbst wenn Sie bezahlen, gibt es keine Garantie dafür, dass Sie Ihre Daten zurückerhalten.

Reputationsschäden

Unabhängig davon, ob Sie zahlen oder nicht, sind Sie verpflichtet, die Straftat zu melden, was zu medialer Aufmerksamkeit führen kann. Wenn das passiert, kann Ihr Unternehmen Umsatz, Kundenvertrauen oder beides verlieren, auch wenn Sie selbst dabei keine Schuld trifft.

Rechtliche Konsequenzen

In immer mehr US-Bundesstaaten ist die Zahlung eines Lösegelds in den meisten Fällen illegal. Auch andere Rechtssysteme weltweit erwägen ähnliche Gesetze. Darüber hinaus kann eine Sicherheitsverletzung zu einer verstärkten behördlichen Kontrolle führen, die Geldstrafen und andere rechtliche Kosten nach sich ziehen könnte.

So entfernen Sie Ransomware

Wenn Sie eine Ransomware-Infektion vermuten, sollten Sie zunächst sofort einige wichtige Schritte unternehmen, um die Verbreitung zu stoppen. Dann können Sie in einigen Fällen die Ransomware-Infektion entfernen. Konkret gehen Sie wie folgt vor:

1. Schritt: Isolieren Sie infizierte Geräte. Trennen Sie sie von allen kabelgebundenen oder kabellosen Verbindungen – ggf. sogar vom Stromnetz –, um die Ausbreitung der Infektion zu verhindern. Wenn Sie Ransomware entdecken, bevor sie ausgeführt wurde, können Sie sie möglicherweise entfernen, bevor der Angreifer eine Lösegeldforderung stellen kann.

2. Schritt: Ermitteln Sie das Ausmaß des Schadens. Wenden Sie sich an Ihr IT- oder Sicherheitsteam, um Hilfe bei der Identifizierung der Infektion zu erhalten und Klarheit über Ihre nächsten Schritte zu gewinnen. Für einige Varianten gibt es zwar Entschlüsselungstools, auf die Sie sich jedoch auf keinen Fall verlassen sollten. Entschlüsselungsprogramme sind gegen hochentwickelte Ransomware oft wirkungslos und helfen auch im Falle einer Doppelerpressung nicht.

3. Schritt: Stellen Sie Ihre verlorenen Daten wieder her. In der Regel können Sie dazu eine Sicherungskopie verwenden. Nur durch regelmäßige Backups können Sie sicherstellen, dass Sie alle Daten wiederherstellen können. Wenn Sie Ihre Daten nicht wiederherstellen können, bedenken Sie sorgfältig die möglichen rechtlichen und finanziellen Konsequenzen, bevor Sie ein Lösegeld zahlen.

4. Schritt. Entfernen Sie die Ransomware. Hierfür benötigen Sie in der Regel die Hilfe eines Sicherheitsexperten. In manchen Fällen sollten Sie sich auch an die Strafverfolgungsbehörden, beispielsweise das FBI, wenden. Ihr Support sollte die Grundursache der Infektion untersuchen, um die Schwachstelle zu ermitteln, die den Angriff ermöglicht hat.

5. Schritt: Bewerten und beheben Sie die Grundursache. Verstärken Sie Ihre Abwehrmaßnahmen überall dort, wo sie versagt haben, sei es durch einen Backdoor-Exploit, einen Fehler in Ihrem E-Mail-Filter, unzureichende Userschulungen oder etwas anderes. Solche Angriffe können und werden sich wiederholen, doch Sie können besser darauf vorbereitet sein.

Prävention ist die beste Strategie zur Bekämpfung von Ransomware

Sobald Ihre Daten verschlüsselt oder exfiltriert wurden, haben Sie leider auf die eine oder andere Weise verloren. Aus diesem Grund besteht der Schlüssel zur Abwehr von Ransomware-Infektionen darin, diese von vornherein zu verhindern.

Selbst wenn keine hundertprozentige Prävention möglich ist, lässt sich durch eingehende Sorgfalt, Mitarbeiterschulungen im Sicherheitsbereich und die richtige Technologie das Risiko deutlich verringern. Sie brauchen eine wirksame Strategie zur Abwehr von Ransomware, einschließlich entsprechender Methoden und Tools:

• KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
• Überprüfung des gesamten TLS/SSL-verschlüsselten Traffics
• durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Die Kombination zukunftsfähiger Lösungen mit einem proaktiven Abwehransatz ist das wirksamste Ransomware-Schutzmodell in den aktuellen Leitlinien zur Cybersicherheit.

Vorteile der Zscaler-Lösung

Zscaler bietet Cloud-nativen Ransomware-Schutz, um Ihre Daten in sämtlichen Phasen des Angriffszyklus zu schützen. Mit unserer weltweit bewährten, Cloud-basierten Zero-Trust-Architektur profitieren Sie von mehreren Vorteilen:

Beseitigen der Angriffsfläche.
Machen Sie alle Einstiegspunkte für Angreifer unsichtbar. Die Zero-Trust-Architektur exponiert User, Netzwerke oder Anwendungen niemals im Internet.

Erstkompromittierung verhindern.
Überprüfen Sie 100 % der eingehenden und ausgehenden Verbindungen. Bedrohungen werden blockiert, bevor sie Schaden anrichten können.

Keine laterale Bewegungsfreiheit
User, Workloads und Anwendungen werden direkt und auf Einzelbasis miteinander verbunden. Das Netzwerk bleibt für Angreifer unsichtbar.

Keine Exfiltration von Daten.
Überprüfen Sie den gesamten Traffic in Echtzeit und im Cloud-Maßstab. Damit wird sichergestellt, dass vertrauliche Daten das Netzwerk niemals über nicht vertrauenswürdige Verbindungen verlassen.