Powered by All for one group
Digital Business
CIO-Agenda
Technologie
Use Cases
Powered by All for one group
Ein Ransomware-Angriff auf einem Laptop

Funktion, Verbreitung, Arten Ransomware: Was ist das?…Und wie Unternehmen sich schützen

Wie funktioniert Ransomware, wie verbreitet sie sich und welche Arten gibt es? Die wichtigsten Antworten und wie Sie Ihr Unternehmen erfolgreich schützen.

Aktualisiert – 2. April 2024: Ransomware-Angriffe können jeden treffen. Zudem sind die Folgen einer Attacke oftmals drastisch. In der Nacht vom 29. auf den 30. Oktober 2023 etwa gelang es Angreifern, die Systeme der Südwestfalen IT zu kompromittieren. Da der IT-Dienstleister ein weitflächiges Service-Angebot besitzt, waren die Auswirkungen dieser Attacke deutlich zu spüren. Mehr als 100 Stadt-, Kreis- und Gemeindeverwaltungen waren betroffen, zahlreiche Dienststellen mussten vorübergehend geschlossen werden. Bürger konnten in diesem Zeitraum etwa kein Auto anmelden oder Bürgergeld beantragen – viele weitere Einschränkungen waren hinzunehmen.

Diese Attacke zeigt: Nicht nur Konzerne oder internationale Organisationen sind potenzielle Ziele für Hacker. Cyberangriffe mit Ransomware nehmen mittlerweile alle möglichen lukrativen Opfer ins Visier und dazu gehören selbstverständlich auch mittelständische Unternehmen. Deutschland ist dabei eines der Hauptziele von Ransomware-Banden. Innerhalb der EU liegt Deutschland laut eines Malwarebytes-Reports an der Spitze, während im weltweiten Vergleich deutsche Institutionen am vierthäufigsten angegriffen werden. Mittelstand Heute gibt einen ersten Überblick über Ransomware. Konkrete Strategien, wie Sie sich schützen können, finden Sie in einem weiterführenden Artikel hier.

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

Was ist Ransomware?

Ransomware, auch Erpressungstrojaner, Kryptotrojaner, oder Verschlüsselungstrojaner genannt, ist eine Unterart von Malware (Schadsoftware). Bei einem Ransomware-Angriff verschlüsseln Hacker meistens Dateien auf einem System und fordern für ihre Entschlüsselung Lösegeld (engl. ransom). Zeitgleich wird immer öfter mit der Veröffentlichung von abgeflossenen Daten gedroht (Double Extortion). Um Entdeckung durch Ermittlungsbehörden zu erschweren, verlangen die Hacker das Lösegeld normalerweise in Form von Kryptowährungen. Diese sind nicht verfolgbar und ermöglichen anonyme Transfers.

Bei Ransomware lassen sich zwei Unterkategorien unterscheiden:

Screen-Locker: 

Beim Screen-Locker werden keine Dateien verschlüsselt, sondern der Desktop gesperrt. Dem Nutzer wird ein Sperrbildschirm mit einer Lösegeldforderung und Zahlungsinformationen angezeigt. Die Malware löscht oder verschlüsselt die Daten auf dem Computer nicht. Sie sind lediglich nicht mehr einsehbar, bis sie durch den Angreifer freigegeben werden. Ein Neustart des Systems ist meist keine Lösung, denn die Schadsoftware verändert häufig auch die Boot-Einstellungen.

File-Encrypter:

Bei der File-Encryption werden Daten auf einem Gerät oder einem Server verschlüsselt, sodass sie für Programme und Nutzer nicht mehr lesbar sind. Dadurch werden viele Prozesse im Unternehmen faktisch unbrauchbar. Um ihrer Lösegeldforderung Nachdruck zu verleihen, veröffentlichen die Angreifer manchmal Teile der erbeuteten Daten online, um zu beweisen, dass sie sie wirklich besitzen. Um das Opfer unter Druck zu setzen, löschen einige Ransomware-Varianten nach festgelegten Intervallen automatisch gewisse Datenmengen. Auf eine ähnliche Funktion zielt das Löschen von Datenpaketen durch Ransomware bei jedem Neustart.

Wie funktioniert Ransomware-Erpressung?

Die Ransomware-Szene ist stetig im Wandel. Angriffsstrategien werden immer mehr verfeinert, um Unternehmen maximal unter Druck zu setzen. Im Laufe der Zeit haben sich drei Grundschemen herausgebildet, wie Cyberkriminelle vorgehen:

1. Double Extortion:

Heutzutage gilt Double Extortion als der übliche Modus Operandi bei einem Ransomware-Angriff. Diese Vorgehensweise kombiniert die Datenverschlüsselung mit der Drohung, die Daten zu veröffentlichen, sollte das Unternehmen nicht zahlen.

 

2. Triple Extortion:

Zusätzlich zur Datenverschlüsselung und -veröffentlichung erfolgen DDoS-Attacken beim Opfer. Ziel eines solchen „Distributed Denial of Service“-Angriffes ist es, eine Webseite durch eine Flut von Anfragen zum Absturz zu bringen.

3. Second Stage Extortion:

Im Rahmen von Second Stage Extortion werden auch die Kunden der eigentlichen Opfer damit erpresst, ihre Daten zu veröffentlichen, sollten diese nicht zahlen.

WEBSESSION-SERIE
Cybersecurity: Wirksamer Schutz durch Microsoft Security-Lösungen

In dieser kostenlosen Websession-Serie erfahren Sie, wie Sie Ihre Endpunkte, Kommunikation und Identitäten effektiv unter anderem vor Ransomware schützen sowie schon heute von KI in der Cybersecurity profitieren.

Websession-Replays jetzt hier kostenlos anfordern!

Verbreitung – So gelangt Ransomware auf Ihre Systeme

Ransomware gelangt, wie die meiste Schadsoftware, häufig über Spam Mails in ein System. Klickt ein Nutzer in einer Mail auf einen vermeintlichen Link zu einer Website, Dropbox oder einem Download, aktiviert er damit die Ransomware. Da die Arbeitsgeräte in Firmen über ein Netzwerk verbunden sind und meist auch Serverzugriff haben, kann sich die Schadsoftware über die Grenzen des infizierten Geräts ausbreiten.

Hacker verschaffen sich auch über gestohlene Anmeldeinformationen direkt Zugriff zu Systemen. Sie können Mitarbeiter beispielsweise mit Social-Engineering-Methoden dazu bringen, Passwörter und Logins preiszugeben. Zudem sind verifizierte Zugangsdaten im Darknet auf Handelsplattformen erhältlich. Manchmal nutzen die Angreifer Sicherheitslücken in Programmen oder Infrastrukturen, um in das Netzwerk einzudringen. Dort führen die Cyberkriminellen die Ransomware direkt auf PCs oder Servern aus.

Zum Thema
Ein Schloss mit Kette liegt auf einem Laptop.
Schutz vor Cybercrime-Dienstleistung Was ist Ransomware as a Service? IT-Security-Experte erklärt
jetzt artikel lesen

Daten weg, Ruf weg? – Die Folgen von Ransomware-Angriffen

Sollte Ransomware kritische Systeme kompromittieren können, sind die Auswirkungen oft drastisch. Als erstes folgt ein enormer Datenverlust. Unternehmen sind durch die Verschlüsselung nicht mehr in der Lage, auf einen Teil oder sogar alle Daten zuzugreifen. Zudem lassen die Angreifer in der Regel wichtige Daten abfließen, sodass sie diese später im Rahmen von Double Extortion als Druckmittel einsetzen können. Weiterhin kann es im Rahmen von Betriebsunterbrechungen zu schwerwiegenden Wirtschaftsschäden kommen – die nicht nur auf das angegriffene Unternehmen begrenzt sein können. Wird etwa ein Zusteller attackiert, so sind dessen Partner ebenso negativ von dem Ransomware-Angriff betroffen. Auch die Lösegeldforderungen fallen in der Regel äußerst schmerzhaft ins Gewicht, vor allem da die Unternehmen keine Garantien haben, bei Bezahlung ihre Daten auch tatsächlich wieder zurückzubekommen.

Nicht zuletzt ist der enorme Reputationsschaden zu nennen. Unternehmen, die von Ransomware kompromittiert worden sind, müssen dies in der Regel gemäß gesetzlichen Bestimmungen den Behörden und ihren Kunden innerhalb eines gewissen Zeitraumes melden. Tun sie dies nicht, drohen empfindliche Strafen. Der Schaden an der Reputation bleibt aber in allen Fällen bestehen und lässt sich nur mühsam wieder reparieren. Unternehmen sollten also dringend auf Prävention setzen und es nicht einmal zu einem erfolgreichen Angriff kommen lassen. Dies ist dabei leichter gesagt als getan, immerhin steigt die Anzahl von Ransomware-Attacken seit Jahren stetig.

Warum nehmen Ransomware-Angriffe aktuell so stark zu?

Cyberattacken mit Ransomware nehmen stetig zu, da mittlerweile selbst technisch Unbedarfte auf vorhandene Ransomware-Tools zugreifen können. Zudem steigt die Zahl sowie Expertise von Ransomware-as-a-Service-Dienstleistern (RaaS). Diese Bedrohungsakteure agieren mittlerweile als professionelle Firmen und bieten ihren Kunden von technischem Support bis hin zur Unterstützung bei der Geldübergabe alle erdenklichen Dienstleistungen. So sinkt die Notwendigkeit von technischem Know-how weiter.

Zweitens nimmt die Komplexität von Ransomware-Angriffen stetig zu: Ransomware-Attacken werden immer ausgefeilter und können schwer zu erkennen und zu entfernen sein. Nicht zuletzt spielt auch die wachsende Bereitschaft von Opfern, Lösegeld zu zahlen eine Rolle: Leider sind einige Opfer bereit, das geforderte Lösegeld zu übergeben, um ihre Daten wiederherzustellen. Dadurch ermutigen sie aber Angreifer, weiterhin Ransomware-Angriffe durchzuführen. Da aus diesen Gründen Ransomware auch in Zukunft eine wachsende Bedrohung sein wird, sollten Unternehmen alles daransetzen, sich vor dieser Gefahr zu schützen.

Zum Thema
Ein langer Gang, der vorne beleuchtet und hinten dunkel ist
BSI-Lagebericht 2024 Cybersicherheit in Deutschland: Keine Entspannung in Sicht
jetzt artikel lesen

Ransomware-Schutz richtig umgesetzt

Am besten kommt es gar nicht erst zu einer Infizierung der Systeme. Deshalb sollte der Fokus nicht nur auf Reaktion, sondern auch auf Vorbeugung liegen. Dazu gehören Best Practices wie regelmäßig Sicherheitsupdates zu installieren, Virenschutz und Endpoint Protection zu verwenden und vor allem die Aktivierung von Multifaktor-Authentifizierung.  Zudem sollten die Sicherheitsverantwortlichen die Einführung eines Zero-Trust-Konzepts in Erwägung ziehen. Damit gilt kein Nutzer und keine Anfrage mehr als vertrauenswürdig, jede Interaktion mit dem System wird vorher überprüft.

Weiterhin ist es ratsam, Kommunikationskanäle abzudichten. So verlaufen viele Malware-Attacken über E-Mail-Kommunikationskanäle nach außen. Dritte Parteien können sich in solche Kommunikationsstränge leicht einklinken. Da der Mensch oftmals die größte Sicherheitsschwachstelle darstellt, ist es empfehlenswert, regelmäßig Schulungen zu diesem Thema anzusetzen. So werden die Mitarbeiter für dieses wichtige Thema sensibilisiert. Sollte es aber trotz aller Maßnahmen einer Ransomware gelingen, Daten zu verschlüsseln oder abzugreifen, ist schnelles Reagieren das oberste Gebot. Um eine richtige und reibungslose Reaktion im Ernstfall zu garantieren, braucht es wasserdichte Backups und einen verbindlichen Notfallplan. Regelmäßige Härtetests für Notfallpläne bereiten dabei am besten für einen tatsächlichen Angriff vor.

Sie richteten schwere Schäden an...

5 Beispiele für Ransomware-Angriffe

Die Zahl der Ransomware-Angriffe nimmt zu. Der Ransomware-Report 2022, für den der Cybersecurity-Spezialist Hornetsecurity über 2.000 IT-Führungskräfte befragt hat, ergab, dass bereits 24 Prozent der Unternehmen Opfer eines Ransomware-Angriffs waren. Im Vergleich zu 2021 stieg diese Zahl damit um drei Prozentpunkte.

Hier eine Liste mit fünf der bekanntesten Ransomware-Angriffe – und -Gruppierungen der letzten zehn Jahre:

  1. Conti
    Conti ist seit 2020 eine der aktivsten Ransomware-Gruppierungen. Die Gruppe zeichnet sich vor allem durch ihr aggressives und effektives Vorgehen aus. Innerhalb von nur vier Monaten veröffentlichte sie auf ihrer dezidierten Leak-Seite (DLS) Daten von 530 Unternehmen. Cyberermittler stellten fest, dass Conti im Schnitt 14 Stunden pro Tag an sieben Tagen in der Woche aktiv ist. Die Mitglieder sind über verschiedene Zeitzonen verteilt.

  2. Cryptolocker
    Die Cryptolocker-Attacke startete am 5. September 2013 und hielt bis Mai 2014 an. Verbreitet wurde die Malware meistens über einen E-Mail-Anhang. Die Hacker hinter der Attacke forderten Lösegeld nicht nur in Bitcoin, sondern auch in Dollar und Euro. Diese Zahlungen konnten über Prepaid-Services entrichtet werden. Einige Opfer gaben an, den digitalen Schlüssel zum Entschlüsseln ihrer Daten trotz Begleichung des Lösegelds nie erhalten zu haben. Im Juni 2014 gelang es einem Team von Security-Experten eine Datenbank mit den digitalen Schlüsseln der Cryptolocker-Hacker sicherzustellen. Opfer der Malware hatten dadurch die Möglichkeit, sich ihre Daten kostenlos entschlüsseln zu lassen.

  3. Maze
    Malware der Variante Maze wurde erstmals im Mai 2019 entdeckt. Die Maze-Hacker veröffentlichten viele der gestohlenen Dokumente auf ihrer Website. Um ihre Lösegeldforderungen zu untermauern, drohten sie damit, sensible Daten von Unternehmen zu teilen, um den Aktienkurs des Opfers zu manipulieren. Die Gruppierung kündigte ebenfalls an, gestohlene Daten zu nutzen, um Kunden der angegriffenen Firmen zu attackieren. Ende 2020 gab Maze bekannt, sich auflösen zu wollen. Selbst wenn diese Aussage zutrifft, bedeutet das nicht das Ende der Aktivitäten der Maze-Hacker. Die Gruppe Grandcrab löste sich ebenfalls auf, nur um dann als Revil in anderer Form wieder aktiv zu werden.

  4. Revil
    Die Gruppierung Revil trat erstmals im Jahr 2019 in Erscheinung. Sie bot Ransomware-as-a-Service an. Das heißt, man konnte über die Vereinigung Angriffe als Dienstleistung kaufen. Bekanntheit erlangte Revil, als ihnen im März 2021 ein Angriff auf den Chiphersteller Asus zugeordnet wurde. Dabei verlangten die Erpresser laut Medienberichten 50 Millionen Dollar Lösegeld. Im Juli 2021 soll die Vereinigung einen Angriff auf den US-amerikanischen IT-Dienstleister Kaseya verübt haben. Die Lösegeldforderung belief sich auf 70 Millionen Dollar. Laut einer russischen Nachrichtenagentur wurde Revil im Januar 2022 durch den russischen Inlandsgeheimdienst FSB und die russische Polizei zerschlagen.

  5. Wanna Cry
    Wanna Cry war einer der, wenn nicht sogar der verheerendste Ransomware-Angriff der letzten zehn Jahre. Über 200.000 Computer in 150 Ländern wurden an einem Tag infiziert. Wanna Cry nutzt eine Schwachstelle im Server-Message-Block-Netzprotokoll von Windows. Microsoft hatte zwar im März 2017, etwa zwei Monate vor dem Angriff einen Patch für diese Schwachstelle veröffentlicht: Viele Nutzer hatten dieses Update jedoch noch nicht installiert. Der wirtschaftliche Schaden von Wanna Cry lag laut Expertenschätzungen bei bis zu 4 Milliarden Dollar. Der britische Cyber-Security-Forscher Marcus Hutchinson entdeckte einige Stunden nach Beginn des Angriffs einen Notausschalter im Code der Ransomware. Damit konnte der Angriff eingedämmt werden, bevor er sein volles Potenzial entfaltet hatte.

Quelle Aufmacherbild: ryanking999/stock.adobe.com