Ein Ransomware-Angriff auf einem Laptop

Besser die Methoden kennen! Was ist Ransomware? Funktion, Verbreitung, Arten

Wie funktioniert Ransomware, wie verbreitet sie sich und welche Arten gibt es? Hier finden Sie die Antworten.

Am 05. Juli 2021 wurde die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Ransomware-Angriffs. Die Täter erbeuteten und verschlüsselten Daten und forderten Lösegeld. Trotz des Einsatzes zahlreicher Spezialisten dauerte es über ein halbes Jahr, bis die IT-Systeme der Behörde vollständig wiederhergestellt waren. Diese Attacke zeigt: Nicht nur Konzerne oder internationale Organisationen sind potenzielle Ziele für Hacker. Cyberangriffe mit Ransomware können jeden treffen. Mittelstand Heute möchte Ihnen deshalb einen Überblick zum Thema an die Hand geben.

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

Definition

Was bedeutet Ransomware?

Ransomware, auch Erpressungstrojaner, Kryptotrojaner, oder Verschlüsselungstrojaner genannt, ist eine Unterart von Malware (Schadsoftware). Bei einem Ransomware-Angriff verschlüsseln Hacker Daten auf einem System und fordern für ihre Entschlüsselung Lösegeld. Um Entdeckung durch Ermittlungsbehörden zu erschweren, fordern die Hacker das Lösegeld normalerweise in Form von Kryptowährungen. Diese sind nicht verfolgbar und ermöglichen anonyme Transfers. Ransomware hält den Computer oder das System quasi als Geisel.

So werden Computer und Systeme mit Ransomware infiziert

Ransomware gelangt, wie die meiste Schadsoftware, häufig über Spam Mails in ein System. Klickt ein Nutzer in einer Mail auf einen vermeintlichen Link zu einer Website, Dropbox oder einem Download, aktiviert er damit die Ransomware. Da die Arbeitsgeräte in Firmen über ein Netzwerk verbunden sind und meist auch Serverzugriff haben, kann sich die Schadsoftware über die Grenzen des infizierten Geräts ausbreiten.

Hacker verschaffen sich auch über gestohlene Anmeldeinformationen direkt Zugriff zu Systemen. Sie können Mitarbeiter beispielsweise mit Social-Engineering-Methoden dazu bringen, Passwörter und Logins preiszugeben. Zudem sind verifizierte Zugangsdaten im Darknet auf Handelsplattformen erhältlich. Manchmal nutzen die Angreifer Sicherheitslücken in Programmen oder Infrastrukturen, um in das Netzwerk einzudringen. Dort führen die Cyberkriminellen die Ransomware direkt auf PCs oder Servern aus.

Strategien zur Abwehr
Ein Mann wurde Opfer eines Ransomware-Angriffs
Prävention, Reaktion und Recovery... Schutz vor Ransomware: So schützen Sie Ihr Unternehmen!
jetzt artikel lesen

Diese Arten von Ransomware gibt es

Bei Ransomware lassen sich zwei Unterkategorien unterscheiden:

  • Screen-Locker
  • und File-Encrypter.

Beim Screen-Locker werden keine Daten verschlüsselt, sondern der Desktop gesperrt. Dem Nutzer wird ein Sperrbildschirm mit einer Lösegeldforderung und Zahlungsinformationen angezeigt. Die Malware löscht oder verschlüsselt die Daten auf dem Computer nicht. Sie sind lediglich nicht mehr einsehbar, bis sie durch den Angreifer freigegeben werden. Ein Neustart des Systems ist meist keine Lösung, denn die Schadsoftware verändert häufig auch die Boot-Einstellungen.

WEBSESSION-SERIE
Cybersecurity: Wirksamer Schutz durch Microsoft Security-Lösungen

In dieser kostenlosen Websession-Serie erfahren Sie, wie Sie Ihre Endpunkte, Kommunikation und Identitäten effektiv unter anderem vor Ransomware schützen sowie schon heute von KI in der Cybersecurity profitieren.

Websession-Replay in Kürze hier abrufbar!

Bei der File-Encryption werden Daten auf einem Gerät oder einem Server verschlüsselt, sodass sie für Programme und Nutzer nicht mehr lesbar sind. Dadurch werden viele Prozesse im Unternehmen faktisch unbrauchbar. Um ihrer Lösegeldforderung Nachdruck zu verleihen, veröffentlichen die Angreifer manchmal Teile der erbeuteten Daten online, um zu beweisen, dass sie sie wirklich besitzen. Um das Opfer unter Druck zu setzen, löschen einige Ransomware-Varianten nach festgelegten Intervallen automatisch gewisse Datenmengen. Auf eine ähnliche Funktion zielt das Löschen von Datenpaketen durch Ransomware bei jedem Neustart ab.

Die Daten selbst zu entschlüsseln, oder von Experten entschlüsseln zu lassen, ist schwierig. Hacker erstellen stetig neue Ransomware-Varianten. Selbst wenn die Entschlüsselung einer dieser Varianten bekannt ist: Wird sie überarbeitet, ist dieses Wissen meist hinfällig. Deswegen sollten Unternehmen vorbeugende Maßnahmen treffen und Reaktions- sowie Recovery-Pläne aufstellen, bevor sie Opfer einer Ransomware-Attacke werden. 

Alle Vorgangsweisen

3 Modi Operandi: So gehen Hacker bei Ransomware vor 

  1. Double Extortion: Der Standard-Modus Operandi (Datenverschlüsselung und -veröffentlichung).

  2. Triple Extortion: Zusätzlich zur Datenverschlüsselung und -veröffentlichung erfolgen DDoS-Attacken beim Opfer.

  3. Second-Stage-Extortion: Auch Kunden der eigentlichen Opfer werden damit erpresst, dass ihre Daten veröffentlicht werden, sollte keine Zahlung erfolgen.

    Quelle: BKA, Cybercrime Bundeslagebild 2021

Ransomware-as-a-Service und Human-operated Ransomware

Ransomware wird stets weiterentwickelt. Ransomware-as-a-Service (RaaS) und Human-operated Ransomware sind zwei aktuelle Entwicklungen. Da RaaS als Dienstleistung erworben werden kann, ist technische Expertise zweitrangig, um einen Angriff durchzuführen. Somit kann jeder, der bereit ist dafür zu zahlen, Ransomware nutzen. Bei der Human-operated Ransomware läuft nicht mehr nur ein automatisiertes Programm ab, sondern ein Hacker agiert persönlich. Er verschafft sich Zugang zum System, kundschaftet es aus und kann ganz individuell bestimmte Teile des Systems angreifen.

Sie richteten schwere Schäden an...

5 Beispiele für Ransomware-Angriffe

Die Zahl der Ransomware-Angriffe nimmt zu. Der Ransomware-Report 2022, für den der Cybersecurity-Spezialist Hornetsecurity über 2.000 IT-Führungskräfte befragt hat, ergab, dass bereits 24 Prozent der Unternehmen Opfer eines Ransomware-Angriffs waren. Im Vergleich zu 2021 stieg diese Zahl damit um drei Prozentpunkte.

Hier eine Liste mit fünf der bekanntesten Ransomware-Angriffe – und -Gruppierungen der letzten zehn Jahre:

  1. Conti
    Conti ist seit 2020 eine der aktivsten Ransomware-Gruppierungen. Die Gruppe zeichnet sich vor allem durch ihr aggressives und effektives Vorgehen aus. Innerhalb von nur vier Monaten veröffentlichte sie auf ihrer dezidierten Leak-Seite (DLS) Daten von 530 Unternehmen. Cyberermittler stellten fest, dass Conti im Schnitt 14 Stunden pro Tag an sieben Tagen in der Woche aktiv ist. Die Mitglieder sind über verschiedene Zeitzonen verteilt.

  2. Cryptolocker
    Die Cryptolocker-Attacke startete am 5. September 2013 und hielt bis Mai 2014 an. Verbreitet wurde die Malware meistens über einen E-Mail-Anhang. Die Hacker hinter der Attacke forderten Lösegeld nicht nur in Bitcoin, sondern auch in Dollar und Euro. Diese Zahlungen konnten über Prepaid-Services entrichtet werden. Einige Opfer gaben an, den digitalen Schlüssel zum Entschlüsseln ihrer Daten trotz Begleichung des Lösegelds nie erhalten zu haben. Im Juni 2014 gelang es einem Team von Security-Experten eine Datenbank mit den digitalen Schlüsseln der Cryptolocker-Hacker sicherzustellen. Opfer der Malware hatten dadurch die Möglichkeit, sich ihre Daten kostenlos entschlüsseln zu lassen.

  3. Maze
    Malware der Variante Maze wurde erstmals im Mai 2019 entdeckt. Die Maze-Hacker veröffentlichten viele der gestohlenen Dokumente auf ihrer Website. Um ihre Lösegeldforderungen zu untermauern, drohten sie damit, sensible Daten von Unternehmen zu teilen, um den Aktienkurs des Opfers zu manipulieren. Die Gruppierung kündigte ebenfalls an, gestohlene Daten zu nutzen, um Kunden der angegriffenen Firmen zu attackieren. Ende 2020 gab Maze bekannt, sich auflösen zu wollen. Selbst wenn diese Aussage zutrifft, bedeutet das nicht das Ende der Aktivitäten der Maze-Hacker. Die Gruppe Grandcrab löste sich ebenfalls auf, nur um dann als Revil in anderer Form wieder aktiv zu werden.

  4. Revil
    Die Gruppierung Revil trat erstmals im Jahr 2019 in Erscheinung. Sie bot Ransomware-as-a-Service an. Das heißt, man konnte über die Vereinigung Angriffe als Dienstleistung kaufen. Bekanntheit erlangte Revil, als ihnen im März 2021 ein Angriff auf den Chiphersteller Asus zugeordnet wurde. Dabei verlangten die Erpresser laut Medienberichten 50 Millionen Dollar Lösegeld. Im Juli 2021 soll die Vereinigung einen Angriff auf den US-amerikanischen IT-Dienstleister Kaseya verübt haben. Die Lösegeldforderung belief sich auf 70 Millionen Dollar. Laut einer russischen Nachrichtenagentur wurde Revil im Januar 2022 durch den russischen Inlandsgeheimdienst FSB und die russische Polizei zerschlagen.

  5. Wanna Cry
    Wanna Cry war einer der, wenn nicht sogar der verheerendste Ransomware-Angriff der letzten zehn Jahre. Über 200.000 Computer in 150 Ländern wurden an einem Tag infiziert. Wanna Cry nutzt eine Schwachstelle im Server-Message-Block-Netzprotokoll von Windows. Microsoft hatte zwar im März 2017, etwa zwei Monate vor dem Angriff einen Patch für diese Schwachstelle veröffentlicht: Viele Nutzer hatten dieses Update jedoch noch nicht installiert. Der wirtschaftliche Schaden von Wanna Cry lag laut Expertenschätzungen bei bis zu 4 Milliarden Dollar. Der britische Cyber-Security-Forscher Marcus Hutchinson entdeckte einige Stunden nach Beginn des Angriffs einen Notausschalter im Code der Ransomware. Damit konnte der Angriff eingedämmt werden, bevor er sein volles Potenzial entfaltet hatte.

Quelle Aufmacherbild: ryanking999/stock.adobe.com