Wie laufen Ransomware-Angriffe ab?
Ein typischer Ransomware-Angriff lässt sich in vier Phasen aufgliedern.
1. Bereitstellung
Die erste Phase besteht in der Auslieferung der Ransomware – in den meisten Fällen, indem User der Organisation zum Öffnen einer Phishing-E-Mail verleitet werden. Diese E-Mails scheinen auf den ersten Blick von einem vertrauenswürdigen Absender, also z. B. einer bekannten Marke, zu stammen. Ransomware-Angreifer tarnen solche Phishing-E-Mails gerne als Benachrichtigungen von Versandunternehmen, Banken und großen Einzelhandelsketten über Lieferverzögerungen, betrügerische Käufe, niedrige Kontostände usw.
Diese E-Mails sehen aus, als ob sie von bekannten Absendern stammten, enthalten jedoch schädliche PDFs und andere Dateien oder Google-Drive-Links. Diese Dateien enthalten Malware-Lader, die die schädlichen Inhalte nach dem Öffnen im System des Opfers ablegen und den Angriff vorbereiten.
2. Ausbeutung
Nach dem erfolgreichen Laden der Malware folgt die Ausbeutung und die Malware breitet sich aus. Diese Phase beginnt in der Regel mit dem Öffnen eines E-Mail-Anhangs, wodurch die Malware auf das Gerät des Empfängers übertragen wird.
Wenn sich das infizierte Gerät in einem Netzwerk befindet, identifiziert die Malware den Domain Controller, mit dem das Gerät kommuniziert. Im nächsten Schritt werden Anmeldedaten gestohlen, damit die Malware sich innerhalb des Netzwerks ausbreiten und weitere Geräte infizieren kann.
3. Rückruf
Die nächste Angriffsphase wird als Rückruf bezeichnet. Dabei versucht die Malware, mit ihren C2-Servern (Command-and-Control) in Verbindung zu treten, an die die gestohlenen Daten gesendet werden.
4. Detonation
Die C2-Server schicken dann Anweisungen an die Payload zur Ausführung der letzten Phase: Detonation. Während dieser Phase stiehlt die Malware Daten und installiert die Ransomware. Dabei werden das System oder die Daten verschlüsselt und gesperrt, sodass das Angriffsopfer (Privatperson oder Unternehmen) nicht mehr darauf zugreifen kann. In den meisten Fällen muss das Lösegeld innerhalb einer bestimmten Frist gezahlt werden, bevor die Daten dauerhaft gelöscht werden. Der geforderte Betrag wird dabei teilweise stündlich erhöht.
Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel versprochen, mit dem die Daten wieder entsperrt werden können. Jedoch ist keineswegs Verlass darauf, dass dieser Schlüssel tatsächlich bereitgestellt wird bzw. dass der bereitgestellte Schlüssel tatsächlich funktioniert.
In letzter Zeit wurden zunehmend sogenannte Doppelerpressungen beobachtet, bei denen die Angreifer geschäftskritische bzw. vertrauliche Daten vor der Verschlüsselung exfiltrieren und dann mit ihrer Veröffentlichung drohen. Dadurch steigern sie ihre Chancen, auch Organisationen, die über gute Backup-Sicherungen verfügen, zur Zahlung des Lösegelds zwingen zu können.