Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / Was ist Ransomware?

Was ist Ransomware?

Bei Ransomware handelt es sich um eine Art von Malware (Schadcode), die Dateien verschlüsselt und manchmal stiehlt. Um wieder auf die Daten zugreifen zu können, muss ein Lösegeld gezahlt werden, das meist in einer Kryptowährung wie Bitcoin zu entrichten ist. Bei Ransomware-Angriffen wird den Opfern in der Regel durch Verschlüsselung von Dateien der Zugriff auf ihre Daten verwehrt, sofern kein Lösegeld gezahlt wird. Nach Ablauf der Frist können die Daten unwiederbringlich verloren sein. Der Betrag, den die Cyberkriminellen für den Entschlüsselungsschlüssel verlangen, kann zwischen mehreren Hundert und einigen Millionen Dollar liegen.

Report zur aktuellen Ransomware-Lage 2023 herunterladen

Die Geschichte der Ransomware und eine Zunahme der Angriffe

Zwar setzen Cyberkriminelle bereits seit mehr als drei Jahrzehnten Ransomware ein, doch in den letzten Jahren war ein deutlicher Anstieg zu verzeichnen. Nach Angaben des FBI nehmen Ransomware-Angriffe seit 2012 stetig zu.

Früher ließen sich die Folgen von Ransomware-Angriffen, die Dateien oder den Rechner eines Users sperrten, von entsprechend geschulten Fachkräften leicht rückgängig machen. In den letzten Jahren haben Ransomware-Angriffe jedoch an Raffinesse zugenommen. Häufig bleibt den Opfern kaum eine andere Wahl, als das Lösegeld zu bezahlen, wenn sie ihre Daten nicht permanent verlieren wollen.

Bemerkenswert ist, dass bei Ransomware-Angriffen zunehmend Datenexfiltration als zusätzliche Komponente zum Einsatz kommt. Mit dieser neuen Funktion können Cyberkriminelle vertrauliche Daten vor deren Verschlüsselung aus den betroffenen Organisationen exfiltrieren. Diese exfiltrierten Daten fungieren für die Angreifer als eine Art Versicherung: Selbst wenn die Opfer über ein gutes Backup-System verfügen, besteht eine hohe Wahrscheinlichkeit, dass sie das Lösegeld zahlen, um die Offenlegung ihrer Daten zu vermeiden.

Aufgrund der Kapazitätsbeschränkungen von Next-Generation-Firewalls und anderen herkömmlichen Sicherheitstechnologien, sind Organisationen zumeist nicht in der Lage, den gesamten verschlüsselten Traffic zu überprüfen. Die Angreifer wissen das und nutzen daher zunehmend Verschlüsselung, um ihre schädlichen Links und Anhänge zu verbergen.

Die beste Möglichkeit für Computernutzer, sich Ransomware – oder anderen Arten von Malware – gar nicht erst auszusetzen, besteht darin, vorsichtig und gewissenhaft zu sein. Wer etwas herunterlädt oder anklickt, muss angesichts der zunehmenden Gerissenheit derjenigen, die Malware einsetzen, vorsichtig sein.

Federal Bureau of Investigation (FBI) der USA

So funktioniert Ransomware

Ransomware-Infektionen werden zumeist durch Phishing-E-Mails und Werbung mit infizierten Links oder Websites mit eingebetteter Schadsoftware verbreitet. Phishing-E-Mails erwecken oft den Anschein, als kämen sie von einer seriösen Organisation oder (bei gezielten Angriffen) einer dem Opfer bekannten Person. Sie verleiten den User dazu, auf einen schädlichen Link zu klicken oder einen bösartigen Anhang zu öffnen.

Bei Ransomware-Angriffen auf Einzelpersonen werden am häufigsten Unterlagen, Fotos und Finanzinformationen gesperrt. Einzelpersonen sind zwar unter Umständen ein leichteres Ziel, doch Angriffe auf Unternehmen – insbesondere größere Organisationen – sind weitaus lukrativer. Wenn Hacker nur einen einzigen Mitarbeiter dazu bewegen können, die Malware herunterzuladen, kann sich diese über den Computer bzw. das Mobilgerät dieses Users im Netzwerk ausbreiten, wo viel mehr auf dem Spiel steht. Ein Angriff kann nicht nur den Geschäftsbetrieb stören – die Gefahr des Verlusts oder der Offenlegung von Daten kann verheerend sein und sowohl in finanzieller Hinsicht als auch im Hinblick auf die Reputation einen hohen Preis fordern.

Ein Ransomware-Angriff kann für Personen oder Organisationen verheerende Folgen haben. Gefährdet ist jeder, der wichtige Daten auf seinem Rechner oder Netzwerk gespeichert hat, darunter staatliche Stellen, Strafverfolgungsbehörden, Gesundheitssysteme und andere wichtige Infrastrukturbereiche.

Cybersecurity and Infrastructure Security Agency der USA

Typen/Beispiele für Ransomware-Angriffe

Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:

  • Cryptolocker: 2014 konnte die CryptoLocker-Malware durch eine internationale Zusammenarbeit zwischen Sicherheitsunternehmen und Strafverfolgungsbehörden weitgehend neutralisiert werden. Aufgrund ihres Erfolgs sind jedoch zahlreiche Nachahmer von Cryptolocker entstanden.
  • GandCrab: Laut dem Bericht „Ransomware in Global Context“ von VirusTotal ist diese Gruppe seit 2020 die aktivste Ransomware-Angriffsgruppe, von der 78,5 % der für den Bericht analysierten Samples stammen.
  • REvil/Sodinokibi: Diese Gruppe ist berüchtigt für spektakuläre Großangriffe auf Rechtswesen, Unterhaltungsbranche und den öffentlichen Sektor. Sie sorgte erstmals im Mai 2020 für Schlagzeilen, führte jedoch im Zeitraum zwischen März und Oktober 2021 jeden Monat weitere Angriffe durch, darunter den „Kaseya VSA“-Angriff.
  • WannaCry: Dieser Ransomware-Kryptowurm greift das Betriebssystem Microsoft Windows an. Seit seiner Veröffentlichung im Jahr 2017 wurden bisher über 300.000 Systeme befallen.
  • Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
  • Evil Corp: Diese Gruppe steckt hinter einer Malware namens Didrex, die mithilfe von Phishing-E-Mails verbreitet und insbesondere beim Diebstahl von Anmeldedaten im Bereich Online-Banking zum Einsatz kommt. Inzwischen wird die Gruppe auch mit anderen Arten von Ransomware in Verbindung gebracht, u. a. WastedLocker, BitPaymer und DoppelPaymer.

Die oben aufgeführten Ransomware-Varianten zählen zu den bekanntesten und schädlichsten. So gut wie täglich entstehen neue Varianten, die jeweils auf verschiedene Angriffsvektoren abzielen. Wie gut Ihre Organisation auf Ransomware-Angriffe vorbereitet ist, können Sie durch eine kostenlose Internet-Bedrohungsanalyse ermitteln.

Bei Ransomware-Angriffen geht es weniger um technologische Raffinesse als um die Ausnutzung menschlicher Schwächen. Kurz gesagt handelt es sich um die digitale Variante einer jahrhundertealten kriminellen Taktik.

Institute for Critical Infrastructure Technology

Ransomware as a Service (RaaS)

Das Aufkommen sogenannter „Ransomware as a Service“-Angebote kann als Nebenerscheinung der starken medialen Präsenz lukrativer Ransomware-Angriffe in den vergangenen Jahren verstanden werden. Ähnlich wie viele legale SaaS-Angebote werden RaaS-Tools zumeist auf Abonnementbasis bereitgestellt. Sie werden im Dark Web preisgünstig als Möglichkeit angeboten, auch ohne Programmierkenntnisse erfolgreiche Ransomware-Angriffe durchzuführen. Das erbeutete Lösegeld wird dann zwischen dem RaaS-Anbieter, dem Programmierer und dem Abonnenten aufgeteilt.

Best Practices zur Ransomware-Prävention

Auch wenn einige Organisationen in Cybersicherheitsversicherungen investieren, um die Kosten im Fall eines Cyberangriffs oder einer Datenpanne zu decken, ist Prävention im Hinblick auf Ransomware die beste Strategie. Zum Schutz Ihrer Organisation vor Ransomware-Angriffen empfehlen die US-amerikanische Cybersecurity & Infrastructure Security Agency ( CISA) und das FBI eine Reihe von Maßnahmen:

  • Sichern Sie Computer, damit Sie mithilfe Ihrer Backups den vorherigen Zustand Ihres Systems wiederherstellen können.
  • Speichern Sie Backups separat, z. B. auf einer externen Festplatte oder in der Cloud, damit nicht über ein Netzwerk darauf zugegriffen werden kann.
  • Spielen Sie Updates und Patches für Computer möglichst zeitnah ein, um Schwachstellen in Anwendungen und Betriebssystemen zu schließen.
  • Schulen Sie Ihre Mitarbeiter in regelmäßigen, obligatorischen Seminaren zur Sensibilisierung für Cybersicherheit, um sicherzustellen, dass sie über aktuelle Cyberbedrohungen und bewährte Sicherheitspraktiken informiert sind. Prüfen Sie bei E-Mails – selbst im Fall bekannter Absender – immer die Legitimität des Absenders, bevor sie Anhänge öffnen oder auf Links klicken.
  • Erstellen Sie einen Kontinuitätsplan mit Behebungsmaßnahmen für den Fall, dass Ihr Unternehmen Opfer eines Ransomware-Angriffs wird.
  • Verwenden Sie einen Malware- und/oder Virenwächter, der User dabei unterstützt, Bedrohungen zu stoppen, bevor sie verheerende Schäden anrichten können.
  • Implementieren Sie starke Authentifizierungsmaßnahmen mit Zero Trust, um zu verhindern, dass Hacker sich Zugriff auf Ihr Netzwerk, Ihre Anwendungen und Daten verschaffen.

Die besten technologischen Abwehrmaßnahmen

Moderne Technologien zum Ransomware-Schutz sind nicht nur hocheffektiv, sondern auch einfach zu implementieren. Zunächst müssen Unternehmen eine Cloud-native Sicherheitsstrategie einführen, um User, Anwendungen und sensible Daten standort- und geräteunabhängig vor Ransomware zu schützen.

Um mit den heutzutage am häufigsten auftretenden Ransomware-Bedrohungen Schritt halten zu können und zu verhindern, dass diese Angriffe Daten gefährden, das Geschäft stören oder Organisationen Zeit und Geld kosten, muss eine Präventionsstrategie die folgenden Prinzipien und Tools umfassen:

  • KI-basierte Sandbox zum Abfangen und Untersuchen verdächtiger Inhalte, bevor diese an den Empfänger weitergeleitet werden dürfen
  • Prüfung des gesamten SSL/TLS-verschlüsselten Traffics, um verborgene Bedrohungen auszuschließen
  • Implementierung ständig aktiver Schutzmechanismen für User innerhalb und außerhalb des Netzwerks

Kein Unternehmen, egal welcher Größe, ist vor Ransomware sicher, wenn es nicht über eine spezielle Abwehr verfügt. Aber mit der Unterstützung von Zscaler muss kein Unternehmen das nächste Opfer von Ransomware werden und aufgrund eines Angriffs in die Schlagzeilen geraten.

Weitere Informationen zu Zscaler Advanced Cloud Sandbox und zum Ransomware-Schutz von Zscaler

Ransomware-Schutz als dringende Priorität

Sicherheitsexperten und Medien sind sich einig: Ransomware wird nicht von der Bildfläche verschwinden. Mit Lösungen, die durch unübertroffene Skalierbarkeit und hervorragende Anwendererfahrungen überzeugen, hat Zscaler bereits Tausende von Organisationen bei der erfolgreichen Abwehr von Ransomware und anderen Cyberangriffen unterstützt.

Weitere Ressourcen zum Thema:

Sie möchten Ihre Organisation vor komplexer Ransomware schützen? Hier erfahren Sie mehr über den Ransomware-Schutz von Zscaler.

Empfohlene Ressourcen

Häufig gestellte Fragen

Wie laufen Ransomware-Angriffe ab?

Ein typischer Ransomware-Angriff lässt sich in vier Phasen aufgliedern. Auslieferung: Eine Phishing-E-Mail wird gesendet, um einen User zum Öffnen zu verleiten und so einen Angriff auszulösen. Ausnutzung: Nach dem erfolgreichen Laden der Malware breitet der Angriff sich im Netzwerk aus. Rückruf: Die Malware versucht, eine Verbindung mit ihren C2-Servern (Command-and-Control) aufzubauen, an die die gestohlenen Daten gesendet werden. Detonation: Die Malware stiehlt Daten und installiert die Ransomware. Dabei werden das System oder die Daten verschlüsselt und gesperrt, sodass das Angriffsopfer (Privatperson oder Unternehmen) nicht mehr darauf zugreifen kann.

Zahlen oder nicht zahlen?

Die Entscheidung, welches Übel im konkreten Fall das geringere ist, liegt bei den Opfern selbst, wie der Gartner-Analyst Paul Proctor betont: „Letztlich hängt es davon ab, inwieweit sich der Verlust der gestohlenen Daten auf die Geschäftsergebnisse auswirkt. Die Organisation muss abwägen, ob sie es darauf ankommen lassen will oder lieber doch nicht.“

Geschäftsschädigende Auswirkungen von Ransomware

Ein täglicher Blick in die Medien genügt, um sich der branchenübergreifenden Tragweite des Ransomware-Problems bewusst zu werden. Um es aber noch einmal klipp und klar auf den Punkt zu bringen: Ransomware schadet betroffene Unternehmen u. a. durch den Verlust von Geld und Daten, durch Beschädigung des Markenrufs und das Risiko rechtlicher Konsequenzen.