Besser die Methoden kennen!
Wie funktioniert Ransomware, wie verbreitet sie sich und welche Arten gibt es? Hier finden Sie die Antworten.
Wie funktioniert Ransomware, wie verbreitet sie sich und welche Arten gibt es? Hier finden Sie die Antworten.
Am 05. Juli 2021 wurde die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Ransomware-Angriffs. Die Täter erbeuteten und verschlüsselten Daten und forderten Lösegeld. Trotz des Einsatzes zahlreicher Spezialisten dauerte es über ein halbes Jahr, bis die IT-Systeme der Behörde vollständig wiederhergestellt waren. Diese Attacke zeigt: Nicht nur Konzerne oder internationale Organisationen sind potenzielle Ziele für Hacker. Cyberangriffe mit Ransomware können jeden treffen. Mittelstand Heute möchte Ihnen deshalb einen Überblick zum Thema an die Hand geben.
Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):
Ransomware, auch Erpressungstrojaner, Kryptotrojaner, oder Verschlüsselungstrojaner genannt, ist eine Unterart von Malware (Schadsoftware). Bei einem Ransomware-Angriff verschlüsseln Hacker Daten auf einem System und fordern für ihre Entschlüsselung Lösegeld. Um Entdeckung durch Ermittlungsbehörden zu erschweren, fordern die Hacker das Lösegeld normalerweise in Form von Kryptowährungen. Diese sind nicht verfolgbar und ermöglichen anonyme Transfers. Ransomware hält den Computer oder das System quasi als Geisel.
Ransomware gelangt, wie die meiste Schadsoftware, häufig über Spam Mails in ein System. Klickt ein Nutzer in einer Mail auf einen vermeintlichen Link zu einer Website, Dropbox oder einem Download, aktiviert er damit die Ransomware. Da die Arbeitsgeräte in Firmen über ein Netzwerk verbunden sind und meist auch Serverzugriff haben, kann sich die Schadsoftware über die Grenzen des infizierten Geräts ausbreiten.
Hacker verschaffen sich auch über gestohlene Anmeldeinformationen direkt Zugriff zu Systemen. Sie können Mitarbeiter beispielsweise mit Social-Engineering-Methoden dazu bringen, Passwörter und Logins preiszugeben. Zudem sind verifizierte Zugangsdaten im Darknet auf Handelsplattformen erhältlich. Manchmal nutzen die Angreifer Sicherheitslücken in Programmen oder Infrastrukturen, um in das Netzwerk einzudringen. Dort führen die Cyberkriminellen die Ransomware direkt auf PCs oder Servern aus.
Bei Ransomware lassen sich zwei Unterkategorien unterscheiden:
Beim Screen-Locker werden keine Daten verschlüsselt, sondern der Desktop gesperrt. Dem Nutzer wird ein Sperrbildschirm mit einer Lösegeldforderung und Zahlungsinformationen angezeigt. Die Malware löscht oder verschlüsselt die Daten auf dem Computer nicht. Sie sind lediglich nicht mehr einsehbar, bis sie durch den Angreifer freigegeben werden. Ein Neustart des Systems ist meist keine Lösung, denn die Schadsoftware verändert häufig auch die Boot-Einstellungen.
Bei der File-Encryption werden Daten auf einem Gerät oder einem Server verschlüsselt, sodass sie für Programme und Nutzer nicht mehr lesbar sind. Dadurch werden viele Prozesse im Unternehmen faktisch unbrauchbar. Um ihrer Lösegeldforderung Nachdruck zu verleihen, veröffentlichen die Angreifer manchmal Teile der erbeuteten Daten online, um zu beweisen, dass sie sie wirklich besitzen. Um das Opfer unter Druck zu setzen, löschen einige Ransomware-Varianten nach festgelegten Intervallen automatisch gewisse Datenmengen. Auf eine ähnliche Funktion zielt das Löschen von Datenpaketen durch Ransomware bei jedem Neustart ab.
Die Daten selbst zu entschlüsseln, oder von Experten entschlüsseln zu lassen, ist schwierig. Hacker erstellen stetig neue Ransomware-Varianten. Selbst wenn die Entschlüsselung einer dieser Varianten bekannt ist: Wird sie überarbeitet, ist dieses Wissen meist hinfällig. Deswegen sollten Unternehmen vorbeugende Maßnahmen treffen und Reaktions- sowie Recovery-Pläne aufstellen, bevor sie Opfer einer Ransomware-Attacke werden.
Ransomware wird stets weiterentwickelt. Ransomware-as-a-Service (RaaS) und Human-operated Ransomware sind zwei aktuelle Entwicklungen. Da RaaS als Dienstleistung erworben werden kann, ist technische Expertise zweitrangig, um einen Angriff durchzuführen. Somit kann jeder, der bereit ist dafür zu zahlen, Ransomware nutzen. Bei der Human-operated Ransomware läuft nicht mehr nur ein automatisiertes Programm ab, sondern ein Hacker agiert persönlich. Er verschafft sich Zugang zum System, kundschaftet es aus und kann ganz individuell bestimmte Teile des Systems angreifen.
Die Zahl der Ransomware-Angriffe nimmt zu. Der Ransomware-Report 2022, für den der Cybersecurity-Spezialist Hornetsecurity über 2.000 IT-Führungskräfte befragt hat, ergab, dass bereits 24 Prozent der Unternehmen Opfer eines Ransomware-Angriffs waren. Im Vergleich zu 2021 stieg diese Zahl damit um drei Prozentpunkte.
Hier eine Liste mit fünf der bekanntesten Ransomware-Angriffe – und -Gruppierungen der letzten zehn Jahre:
Quelle Aufmacherbild: ryanking999/stock.adobe.com