Ressourcen > Sicherheit – Glossar > Was ist Ransomware?

Was ist Ransomware?

Ransomware ist eine Art Schadsoftware (Malware), die Daten entwendet und verschlüsselt, um für ihre Freigabe ein Lösegeld zu verlangen, meist in Form von Kryptowährung. Bei Ransomware-Angriffen wird den Opfern in der Regel der Zugriff auf ihre Daten verwehrt, sofern kein Lösegeld gezahlt wird. Normalerweise wird dafür eine bestimmte Frist genannt. Ist die Zahlung zu deren Ablauf noch nicht erfolgt, sind die Daten unwiederbringlich verloren. Für den zur Freischaltung der Daten erforderlichen Dechiffrierungsschlüssel können zwischen mehreren Hundert bis Hunderttausend US-Dollar gezahlt werden, in seltenen Fällen sogar Millionen.

Früher ließen sich die Folgen von Ransomware-Angriffen, die den Rechner oder die Dateien eines Users sperrten, von geschulten Fachleuten leicht rückgängig machen. Doch in den letzten Jahren sind Ransomware-Angriffe raffinierter geworden und in vielen Fällen bleibt den Opfern kaum etwas anderes übrig, als das Lösegeld zu bezahlen oder ihre Daten für immer zu verlieren.

Bemerkenswert ist, dass aktuell viele Varianten von Ransomware um Datenexfiltration ergänzt werden. Mit dieser neuen Funktion können Cyberkriminelle vertrauliche Daten vor deren Verschlüsselung aus den betroffenen Unternehmen ausschleusen. Diese exfiltrierten Daten fungieren für die Angreifer als eine Art Versicherung: Selbst wenn die Opfer über ein gutes Backup-System verfügen, zahlen sie wahrscheinlich das Lösegeld, um die Offenlegung ihrer Daten zu vermeiden.

Bei einem Ransomware-Angriff im Juli 2020 gelang es Kriminellen, in das Netzwerk eines großen US-Unternehmens einzudringen, es zu überwachen, sich darin zu bewegen und ihre Ransomware-Payload auf 30.000 Rechnern zu platzieren. Bevor sie diese 30.000 Systeme verschlüsselten, schleusten sie mehr als zwei Terabyte an vertraulichen Informationen aus, mit deren Online-Veröffentlichung sie anschließend drohten. Letztendlich zahlte das Unternehmen 4,5 Millionen USD. Zwar fiel die erbeutete Summe in diesem Fall außergewöhnlich hoch aus, doch die bei dem Angriff verwendeten Taktiken gewinnen zunehmend an Beliebtheit.

Die Geschichte der Ransomware und eine Zunahme der Angriffe

Zwar setzen Cyberkriminelle bereits seit mehr als drei Jahrzehnten Ransomware-Angriffe ein, doch in den letzten Jahren war ein deutlicher Anstieg zu verzeichnen. Nach Angaben des FBI nehmen Ransomware-Angriffe seit 2012 zu und eine Abschwächung des Trends ist nicht in Sicht.

Einem Report von ThreatLabz aus dem Jahr 2020 zufolge wurde bei Ransomware, die über verschlüsselte Kanäle verbreitet wird, im Zeitraum März bis September ein Zuwachs um mehr als 500 % registriert. Laut Schätzungen haben Ransomware-Angriffe allein im Jahr 2020 weltweit Schäden von mehr als 20 Milliarden USD verursacht.

In früheren Jahren richteten sich solche Angriffe am häufigsten gegen Kommunalverwaltungen und akademische Einrichtungen, aber seit Beginn der COVID-19-Pandemie sind Krankenhäuser und Remote-Mitarbeiter ins Visier von Ransomware-Kriminellen geraten. Darüber hinaus haben sich im letzten Jahr Berichte über Ransomware-Angriffe gehäuft, die mittels verschlüsseltem Traffic ausgeführt wurden. Aufgrund der Kapazitätsbeschränkungen herkömmlicher Sicherheitstechnologien, z. B. Firewalls der nächsten Generation, sind die meisten Organisationen nicht in der Lage, den gesamten verschlüsselten Traffic zu überprüfen. Angreifer sind sich dessen bewusst und nutzen daher zunehmend Verschlüsselung, um ihre schädlichen Links und Anhänge zu verbergen.

Die beste Möglichkeit für Computernutzer, sich Ransomware – oder anderen Arten von Malware – gar nicht erst auszusetzen, besteht darin, vorsichtig und gewissenhaft zu sein. Wer etwas herunterlädt oder anklickt, muss angesichts der zunehmenden Gerissenheit derjenigen, die Malware einsetzen, vorsichtig sein.

Federal Bureau of Investigation (FBI) der USA

So funktioniert Ransomware

Ransomware wird am häufigsten durch Phishing-E-Mails und -Anzeigen mit infizierten Links oder gefälschte Websites mit eingebetteter Malware verbreitet. Phishing-E-Mails erwecken oft den Anschein, als kämen sie von einer seriösen Organisation oder (bei gezielten Angriffen) einer dem Opfer bekannten Person. Sie verleiten den User dazu, auf einen schädlichen Link zu klicken oder einen bösartigen Anhang zu öffnen.

Bei Ransomware-Angriffen auf Einzelpersonen werden am häufigsten Unterlagen, Fotos und Finanzinformationen gesperrt und „in Geiselhaft genommen“. Einzelpersonen sind zwar unter Umständen ein leichteres Ziel, doch Unternehmen – insbesondere größere Organisationen – sind weitaus attraktiver. Wenn Angreifer nur einen Mitarbeiter dazu bringen können, die Malware herunterzuladen, kann sich diese über das Gerät dieses Users im Netzwerk ausbreiten, wo viel mehr auf dem Spiel steht. Ein Angriff kann nicht nur den Geschäftsbetrieb stören – die Gefahr des Verlusts oder der Offenlegung von Daten kann verheerend sein und sowohl in finanzieller Hinsicht als auch im Hinblick auf die Reputation einen hohen Preis fordern.

Während einige Unternehmen in Cyber-Sicherheitsversicherungen investieren, um die Kosten im Fall eines Cyberangriffs oder einer Datenverletzung zu decken, ist Prävention im Hinblick auf Ransomware die beste Strategie.

Zum Schutz von Organisationen vor Ransomware-Angriffen empfehlen die CISA (Cybersecurity and Infrastructure Security Agency) und das FBI Folgendes:

Sicherheitskopien von Computerdateien anlegen, damit das System mithilfe von Backups in den vorherigen Zustand zurückversetzt werden kann.
Backups separat speichern, z. B. auf einer externen Festplatte oder in der Cloud, sodass sie nicht über ein Netzwerk zugänglich sind.
Rechner aktualisieren und Sicherheitspatches installieren, damit anfällige Anwendungen und Betriebssysteme nicht zu Angriffszielen werden.
Mitarbeiter durch fortlaufende, obligatorische Schulungen zum Thema Cybersicherheit weiterbilden, um zu gewährleisten, dass sie über aktuelle Bedrohungen und Best Practices im Bereich Sicherheit informiert sind. Sie sollten bei E-Mails – selbst im Fall bekannter Absender – vorsichtig sein und die Legitimität des Absenders prüfen, bevor sie Anhänge öffnen oder auf Links klicken.
Kontinuitätsplan für den Fall erstellen, dass die Organisation einem Ransomware-Angriff zum Opfer fällt.

Ein Ransomware-Angriff kann für Personen oder Organisationen verheerende Folgen haben. Gefährdet ist jeder, der wichtige Daten auf seinem Rechner oder Netzwerk gespeichert hat, darunter staatliche Stellen, Strafverfolgungsbehörden, Gesundheitssysteme und andere wichtige Infrastrukturbereiche.

Cybersecurity and Infrastructure Security Agency der USA

Bei Ransomware-Angriffen geht es weniger um technologische Raffinesse als um die Ausnutzung menschlicher Schwächen. Kurz gesagt handelt es sich um die digitale Variante einer jahrhundertealten kriminellen Taktik.

Institute for Critical Infrastructure Technology

Abwehr von Ransomware-Angriffen

Moderne Ransomware-Abwehrtechnologien sind nicht nur hocheffektiv, sondern auch einfach zu implementieren. Eine ausreichende Ransomware-Abwehr beginnt mit der Einführung einer Cloud-nativen Sicherheitsstruktur, um User, Anwendungen und sensible Daten standort- und geräteunabhängig vor solchen Angriffen zu schützen.

Eine Präventionsstrategie muss die folgenden Funktionen und Tools umfassen, um mit den heute am häufigsten auftretenden Ransomware-Bedrohungen Schritt halten zu können und zu verhindern, dass diese Angriffe Daten gefährden, das Geschäft stören oder Organisationen Zeit und Geld kosten:

KI-basierte Sandbox zum Abfangen und Untersuchen verdächtiger Inhalte, bevor diese an den Empfänger weitergeleitet werden dürfen
Prüfung des gesamten SSL/TLS-verschlüsselten Traffics, um verborgene Bedrohungen auszuschließen
Implementierung einer ständig aktiven Abwehr für User innerhalb und außerhalb des Netzwerks

Kein Unternehmen, egal welcher Größe, ist vor Ransomware sicher, wenn es nicht über eine spezielle Abwehr verfügt. Vermeiden Sie es, das nächste Opfer von Ransomware zu werden, und verhindern Sie, dass Ihr Unternehmen aufgrund eines Angriffs in die Schlagzeilen gerät. Weitere Informationen zur Advanced Cloud Sandbox und Ransomware-Abwehr von Zscaler.