Was ist Ransomware?

Das englische Wort ransom bedeutet „Lösegeld“ und genau darauf basiert Ransomware. Im Deutschen wird Ransomware oft als „Erpressungstrojaner“ bezeichnet, allerdings hat sich der englische Begriff weitgehend durchgesetzt.

Aber was ist Ransomware? Ransomware ist eine Form von Malware, die den Zugriff auf ein Gerät oder dessen Daten blockiert, bis das Opfer ein Lösegeld zahlt. Ein Ransomware-Angriff kann jedes Unternehmen treffen – auch in Deutschland gibt es regelmäßig neue Fälle. Häufig sind diese Angriffe mit einer Frist verbunden: Wird das Lösegeld nicht rechtzeitig gezahlt, droht der dauerhafte Verlust der Daten.

Ransomware-Angriffe sind heute alltäglich und große Unternehmen sind ihnen in Nordamerika und Europa gleichermaßen zum Opfer gefallen. Cyberkriminelle machen dabei keine Unterschiede – sowohl Privatpersonen als auch Unternehmen aller Branchen geraten ins Visier.

Mehrere Regierungsbehörden, darunter auch das FBI und das No-More-Ransom-Projekt, raten davon ab, das Lösegeld zu zahlen, um den Ransomware-Kreislauf nicht weiter zu fördern. Zudem zeigt sich, dass fast die Hälfte aller Opfer, die gezahlt haben, später erneut angegriffen wird.

Ransomware kann bis 1989 zurückverfolgt werden. Damals verschickten Angreifer per Post Disketten an Wissenschaftler, die HIV erforschten, und gaben vor, Forschungsdaten bereitzustellen. Tatsächlich enthielten die Disketten jedoch die erste bekannte Ransomware. Die Betroffenen wurden aufgefordert, ein Lösegeld per Post nach Panama zu senden.

1996 wurde Ransomware erstmals in akademischen Debatten thematisiert, damals noch unter dem Namen „kryptovirale Erpressung“ (ein Begriff von Moti Yung und Adam Young von der Columbia University). Mit dieser in der akademischen Welt geborenen Idee versuchten Yung und Young den Fortschritt und die Stärke moderner kryptographischer Tools zu verdeutlichen.

Im gleichen Jahr demonstrierten Young und Yung den ersten kryptoviralen Angriff auf der IEEE-Konferenz für Sicherheit und Datenschutz. Ihre Malware nutzte asymmetrische Verschlüsselung: Sie verschlüsselte die Dateien des Opfers mit dem öffentlichen Schlüssel des Angreifers und forderte das Opfer auf, einen verschlüsselten Text zurückzusenden, um gegen Zahlung des Lösegelds den Entschlüsselungscode zu erhalten.

Im Laufe der Jahre sind Angreifer kreativer geworden und verlangen nun Zahlungsmethoden, die kaum zurückverfolgt werden können. Dadurch können Angreifer anonym bleiben. Zum Beispiel verlangt die berüchtigte mobile Ransomware „Fusob“ von ihren Opfern, mit Apples iTunes-Geschenkkarten statt mit normalen Währungen wie Euro oder Dollar zu bezahlen.

Mit der wachsenden Popularität von Kryptowährungen wie Bitcoin nahm auch die Verbreitung von Ransomware zu. Eine Kryptowährung ist eine digitale Währung, die Verschlüsselungstechniken verwendet, um Transaktionen zu verifizieren, zu sichern und die Schaffung neuer Einheiten zu kontrollieren. Angreifer können hier ebenfalls anonym bleiben. Neben Bitcoin fordern Angreifer oftmals auch andere populäre Kryptowährungen, wie Ethereum, Litecoin und Ripple.

Ransomware hat schon Organisationen in fast jedem Bereich getroffen. Ein besonders bekannter Fall war der Angriff auf das Presbyterian Memorial Hospital, der die massiven Risiken solcher Attacken verdeutlichte – betroffen waren Labore, Apotheken und Notaufnahmen.

Cyberkriminelle kombinieren Ransomware zunehmend mit Social Engineering, um ihre Opfer weiter unter Druck zu setzen. The Guardian berichtete über einen Fall, in dem Betroffene nicht nur Lösegeld zahlen sollten, sondern auch zwei weitere Personen dazu bringen mussten, die infizierte Datei zu installieren, um ihre eigenen Daten wiederherzustellen.

Ransomware ist eine Form von Malware, die den Zugriff auf Daten blockiert, um von den Opfern Lösegeld zu erpressen. Die beiden am weitesten verbreiteten Arten von Ransomware sind Verschlüsselungstrojaner und Bildschirmsperren.

Verschlüsselungstrojaner verschlüsseln, wie der Name schon sagt, Daten auf einem System, sodass der Inhalt ohne den Entschlüsselungscode unbrauchbar wird.

Bildschirmsperren blockieren hingegen lediglich den Zugriff auf das System, indem sie einen Sperrbildschirm anzeigen, der vorgibt, dass die Daten verschlüsselt wurden.

Abbildung 1: Beispiel für den Versuch von Ransomware, ein Opfer zur Installation zu verleiten.

Bei beiden Versionen werden Opfer meist auf einem Sperrbildschirm darüber informiert, dass ihr Computer infiziert ist und fordert eine Zahlung in Kryptowährung, meist Bitcoin.

Sobald das Lösegeld bezahlt wurde, erhalten die Opfer in der Regel den Entschlüsselungscode – jedoch ist dies nicht garantiert. Viele Betroffene berichten von unterschiedlichem Erfolg nach der Zahlung. In manchen Fällen erhalten Opfer den Code nie, oder es wird zusätzlich weitere Malware installiert, selbst nachdem die Daten freigegeben wurden.

Ursprünglich richteten sich Ransomware-Angriffe vor allem gegen private Nutzer. Mittlerweile sind Unternehmen verstärkt ins Visier geraten, da sie oft bereit sind, hohe Summen zu zahlen, um den Betrieb aufrechtzuerhalten.

Ransomware-Angriffe auf Unternehmen beginnen in der Regel mit einer schädlichen E-Mail. Ein ahnungsloser Benutzer öffnet einen Anhang oder klickt auf eine schädliche oder kompromittierte URL.

Zu diesem Zeitpunkt wird die Ransomware installiert und beginnt, wichtige Dateien auf dem betroffenen PC sowie auf verbundenen Netzwerklaufwerken zu verschlüsseln.. Nach der Verschlüsselung der Daten zeigt die Ransomware eine Nachricht auf dem infizierten Gerät an, in der erklärt wird, was geschehen ist und wie die Angreifer zu bezahlen sind (auf dem Sperrbildschirm). Die Ransomware verspricht, dass die Opfer einen Code zum Entsperren ihrer Daten erhalten, wenn Sie das geforderte Geld zahlen.

Die zunehmende Verbreitung von Ransomware hat dazu geführt, dass Ransomware-Angriffe immer komplexer geworden sind. Folgende Arten haben sich mittlerweile entwickelt:

• Scareware: Diese weit verbreitete Art von Ransomware täuscht Nutzer, indem sie eine gefälschte Warnmeldung anzeigt, in der behauptet wird, auf dem Computer des Opfers sei Schadsoftware entdeckt worden. Diese Angriffe werden oft als Antivirenlösung getarnt, die eine Zahlung für die Entfernung der nicht vorhandenen Malware verlangt.
• Bildschirmsperren: Diese Ransomware blockiert den Zugriff auf das Gerät und zeigt eine Meldung an, die eine Zahlung zur Entsperrung verlangt.
• Verschlüsselnde Ransomware: Die ist wohl die bekannteste Art von Ransomware wird auch „Crypto-Ransomware“ genannt und verschlüsselt die Dateien des Opfers. Gegen eine Zahlung wird die Aushändigung des Entschlüsselungsschlüssels versprochen.
• DDoS-Erpressung: Eine Distributed-Denial-of-Service-(DDoS)-Erpressung droht damit, einen DDoS-Angriff auf die Website oder das Netzwerk des Opfers zu starten, sofern keine Lösegeldzahlung geleistet wird.
• Mobile Ransomware: Wie der Name schon sagt, zielt mobile Ransomware auf mobile Geräte wie Smartphones und Tablets ab und verlangt eine Zahlung, um das Gerät zu entsperren oder die Daten zu entschlüsseln.
• Doxware: Diese hochentwickelte Art von Ransomware ist zwar seltener, hat es aber in sich, denn sie droht mit der Veröffentlichung sensibler, expliziter oder vertraulicher Informationen vom Computer des Opfers, sofern kein Lösegeld gezahlt wird.
• Ransomware-as-a-Service (RaaS): Cyberkriminelle bieten ihre Ransomware-Software anderen Hackern oder Cyberangreifern als Dienstleistung an, damit sie damit ihre Opfer angreifen können.

Dies sind nur einige der häufigsten Arten von Ransomware. Indem sie sich an neue Cybersicherheitsstrategien anpassen, wenden sich Cyberangreifer neuen und innovativen Methoden zu, um Schwachstellen auszunutzen und in Computersysteme einzudringen.

Jedes mit dem Internet verbundene Gerät läuft Gefahr, das nächste Opfer von Ransomware zu werden. Ransomware scannt ein lokales Gerät und alle mit dem Netzwerk verbundenen Speicher, was bedeutet, dass ein anfälliges Gerät das ganze lokale Netzwerk zu einem potenziellen Opfer machen kann.

Handelt es sich bei dem lokalen Netzwerk um ein Unternehmensnetzwerk, kann die Ransomware wichtige Dokumente und Systemdateien verschlüsseln, wodurch Dienste und Produktivität beeinträchtigt werden.

Immer, wenn ein Gerät eine Verbindung zum Internet herstellt, sollte es mit den neuesten Software-Sicherheitspatches aktualisiert sein und eine Anti-Malware-Software installiert haben, die Ransomware erkennt und stoppt. Veraltete Betriebssysteme wie Windows XP, die nicht mehr gewartet werden, sind einem viel höheren Risiko ausgesetzt.

Die meisten Experten raten davon ab, das Lösegeld zu zahlen, damit Angreifern der Wind aus den Segeln genommen wird. Zahlt niemand mehr, haben Ransomware-Angreifer keinen finanziellen Vorteil.

Viele Organisationen sehen sich jedoch zur Zahlung gezwungen, etwa weil die Angreifer ihnen drohen, sie zu enttarnen und öffentlich bekannt zu geben, dass sie Opfer von Ransomware geworden sind. Manchmal nutzen Angreifer auch sensible interne Informationen, um ihre Opfer zu erpressen.

Der Druck, das Lösegeld zu zahlen, steigt außerdem, da die Angreifer ihren Opfern eine Frist setzen. In der Regel ist diese Frist gestaffelt und der Lösegeldbetrag erhöht sich nach Ablauf einer bestimmten Zeit.

Das größte Risiko bei der Zahlung des Lösegelds besteht darin, niemals die Schlüssel zum Entschlüsseln der Daten zu erhalten. In diesem Fall ist das Lösegeld verloren, weil sich eine Zahlung per Kryptowährung nicht mehr rückgängig machen lässt. Dies müssen Unternehmen bei der Entscheidung unbedingt im Hinterkopf behalten.

Die Payload der Ransomware wirkt sofort. Ein Ransomware-Angriff kann sich blitzschnell ausbreiten. Sobald der Sperrbildschirm bei einem Nutzer erscheint, müssen Administratoren schnell reagieren, da sich die Ransomware zu dem Zeitpunkt möglicherweise noch ausbreitet und andere Netzwerkstandorte nach kritischen Dateien durchsucht. Ein effektives Incident Response Management ist entscheidend, um die Bedrohung schnell zu isolieren und den Schaden zu minimieren.

Sie können ein paar grundlegende Schritte unternehmen, um richtig auf Ransomware zu reagieren. Beachten Sie jedoch, dass für Ursachenanalyse, Bereinigung und Untersuchungen in der Regel das Eingreifen eines Experten erforderlich ist.

• Bestimmen Sie, welche Systeme betroffen sind. Sie müssen diese Systeme isolieren, damit sie den Rest der Umgebung nicht infizieren können. Dieser Schritt ist Teil der Eindämmung, um Schäden an der Umgebung zu minimieren.
• Systeme vom Internet trennen und bei Bedarf herunterfahren. Ransomware verbreitet sich schnell im Netzwerk, daher müssen alle Systeme durch Deaktivieren des Netzwerkzugriffs oder Herunterfahren vom Netzwerk getrennt werden.
• Priorisieren Sie die Wiederherstellung kritischer Systeme. Dadurch wird sichergestellt, dass die wichtigsten Daten zuerst wieder in den Normalzustand versetzt werden. Typischerweise basiert die Priorität auf der Produktivität und den Auswirkungen auf den Umsatz.
• Entfernen Sie die Bedrohung aus dem Netzwerk. Angreifer könnten Hintertüren zurücklassen, daher muss die Beseitigung von einem vertrauenswürdigen Experten durchgeführt werden. Der Experte benötigt dafür Zugriff auf Logs, um eine Ursachenanalyse durchzuführen, die die Schwachstelle und alle betroffenen Systeme identifiziert.
• Lassen Sie die Umgebung von einer Fachperson auf mögliche Sicherheitsverbesserungen überprüfen. Es kommt häufig vor, dass ein Ransomware-Opfer das Ziel eines zweiten Angriffs wird. Unentdeckte Schwachstellen können dabei erneut ausgenutzt werden.

Ein Unternehmen, das Opfer von Ransomware wird, kann tausende Euros kosten in Form von Produktivität und Datenverlust. Angreifer mit Zugang zu Unternehmensdaten können ihre Opfer zur Zahlung des Lösegelds erpressen, indem sie damit drohen, interne Informationen herauszugeben und die Datenverletzung öffentlich zu machen. Unternehmen, die nicht schnell genug zahlen, könnten zusätzliche Auswirkungen wie Reputationsschäden und Rechtsstreitigkeiten erleiden. Eine Cyberversicherung für Unternehmen kann dabei helfen, finanzielle Verluste abzufedern und die Folgen eines Ransomware-Angriffs zu bewältigen.

Da Ransomware die Produktivität zum Erliegen bringt, ist der erste Schritt die Eindämmung. Nach der Eindämmung kann die Organisation entweder aus Backups wiederherstellen oder das Lösegeld zahlen. Strafverfolgungsbehörden werden in die Ermittlungen einbezogen, aber die Ransomware-Urheber aufzuspüren erfordert Zeit, die die Wiederherstellung verzögert.

Durch eine Ursachenanalyse wird die Schwachstelle identifiziert, doch das Wichtigste ist erst einmal die Wiederherstellung der Produktivität, da sich etwaige Verzögerungen direkt negativ auf die Produktivität und den Geschäftsumsatz auswirken.

Lässt sich Ransomware ohne Zahlung des Lösegelds entfernen?

In der Regel ist der Verschlüsselungsalgorithmus so gut, dass die betroffenen Daten nicht ohne den Entschlüsselungscode entschlüsselt werden können. Deshalb lässt sich Ransomware nicht ohne weiteres entfernen. Die einzige Möglichkeit, das System ohne Zahlung des Lösegelds und ohne Entschlüsselungscode der Angreifer wiederherzustellen, sind umfassende und im Vorfeld getestete Backups.

Vor dem Angriff: Ransomware verhindern

• Schützen Sie Ihre E-Mails: Ransomware verbreitet sich hauptsächlich per Phishing-Mails oder Spam. Sichere E-Mail Gateways mit gezieltem Angriffsschutz sind entscheidend für die Erkennung und Blockierung schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anhängen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer gesendet werden.
• Schützen Sie Ihre Mobilgeräte: Produkte zum Schutz vor mobilen Angriffen können in Verbindung mit MDM-Tools (Mobile Device Management) Anwendungen auf den Geräten der Benutzer analysieren und Benutzer und die IT-Abteilung sofort vor Anwendungen warnen, die die Umgebung gefährden könnten.
• Schützen Sie Ihr Surfen im Web: Sichere Web-Gateways scannen den Web-Datenverkehr von Benutzern, um bösartige Web-Anzeigen zu identifizieren, die zu Ransomware führen könnten.
• Überwachen Sie Ihre Server und Ihr Netzwerk, und sichern Sie wichtige Systeme: Monitoring-Tools können ungewöhnliche Dateizugriffsaktivitäten, Viren, Netzwerk-C&C-Traffic und CPU-Lasten erkennen – möglicherweise rechtzeitig, um die Aktivierung von Ransomware zu blockieren. Eine vollständige Image-Kopie wichtiger Systeme vorzuhalten, kann das Risiko verringern, dass ein abgestürzter oder verschlüsselter Rechner einen entscheidenden operativen Engpass verursacht.

Nach dem Angriff: Ransomware entfernen und Daten wiederherstellen

• Verständigen Sie die nationale und lokale Strafverfolgungsbehörde: Genauso wie sich jemand bei der Entführung einer Person an die Behörden wenden würde, muss im Falle eines Ransomware-Angriffs dasselbe Büro verständigt werden. Die forensischen Techniker können sicherstellen, dass Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Organisationen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
• Informieren Sie sich über Anti-Ransomware-Ressourcen: Das „No More Ransom“-Portal und „Bleeping Computer“ haben Tipps, Vorschläge und sogar einige Entschlüsselungscodes für bestimmte Ransomware-Angriffe.
• Stellen Sie Ihre Daten wieder her: Wenn sich Unternehmen an die bewährten Verfahren halten und System-Backups aufbewahren, können sie ihre Systeme wiederherstellen und den normalen Betrieb wieder aufnehmen.

Die folgenden Informationen über die größten Ransomware-Angriffe geben Organisationen eine solide Grundlage, um die Taktiken, Schwachstellen und Merkmale von Ransomware-Angriffen zu verstehen. Zwar gibt es nach wie vor Unterschiede, was den Code, die Ziele und Funktionen angeht, doch Innovationen im Bereich Ransomware erfolgt in der Regel nur schrittweise.

Hier sind einige berühmte Beispiele für Ransomware:

• WannaCry: Hier wurde ein leistungsstarker Microsoft-Exploit genutzt, um einen weltweit agierenden Ransomware-Wurm zu schaffen, der über 250.000 Systeme infizierte, bevor ein Killswitch seine Ausbreitung stoppte. Proofpoint war an der Auffindung des Musters beteiligt, mit dem der Killswitch identifiziert wurde, sowie an der Dekonstruktion der Ransomware selbst. Erfahren Sie mehr über die Beteiligung von Proofpoint am Aufhalten von WannaCry.
• CryptoLocker: Diese Ransomware ist eine der ersten der neuen Generation. Sie forderte eine Kryptowährung (Bitcoin) für die Zahlung und verschlüsselte die Festplatte des Benutzers und die angeschlossenen Netzlaufwerke. Cryptolocker wurden über eine E-Mail mit einem Anhang verbreitet, der vorgab, eine FedEx- und UPS-Trackingbenachrichtigung zu sein. 2014 wurde für diese Ransomware ein Entschlüsselungstool veröffentlicht, aber verschiedene Berichte deuten darauf hin, dass die Angreifer bis dahin über 27 Millionen Dollar erpressen konnten.
• NotPetya: NotPetya gilt als einer der Ransomware-Angriffe mit dem größten verursachten Schaden. Er verwendete Taktiken seines Namensvetters Petya, wie z. B. das Infizieren und Verschlüsseln des Master Boot Records eines Windows-basierten Systems. NotPetya nutzte für die schnelle Verbreitung die gleiche Schwachstelle wie WannaCry, und verlangte eine Zahlung in Bitcoin, um die Änderungen rückgängig zu machen. NotPetya wurde von einigen als „Wiper“ eingestuft, da die Änderungen am Master-Boot-Record nicht rückgängig gemacht werden können und das Zielsystem nicht wiederhergestellt werden kann.
• Bad Rabbit: Diese Ransomware wird als Cousin von NotPetya betrachtet und nutzte einen ähnlichen Code und ähnliche Exploits, um sich zu verbreiten. Bad Rabbit zielte anscheinend auf Russland und die Ukraine ab und traf dort vor allem Medienunternehmen. Im Gegensatz zu NotPetya konnte Bad Rabbit entschlüsselt werden, wenn das Lösegeld bezahlt wurde. Die meisten Fälle deuten darauf hin, dass die Ransomware über ein gefälschtes Flash-Player-Update verbreitet wurde.
• REvil: REvil wurde von einer Gruppe finanziell motivierter Angreifer entwickelt. Es filtert bestimmte Daten vor der Verschlüsselung heraus, um Opfer gezielt zu erpressen und zur Zahlung zu zwingen, wenn sie sich gegen die Zahlung des Lösegelds entscheiden. Der erste Angriff ging auf eine kompromittierte IT-Verwaltungssoftware, Kaseya, zurück, die zum Patchen der Windows- und Mac-Infrastruktur verwendet wurde. Die Gruppe kompromittierte Kaseya und schleuste so die REvil-Ransomware in Unternehmenssysteme ein.
• Ryuk: Ryuk ist eine Ransomware-Anwendung, die manuell verbreitet wird, hauptsächlich durch Spear-Phishing. Zielpersonen werden mithilfe vorausgehender Recherchen sorgfältig ausgewählt. Dann senden Angreifer E-Mail-Nachrichten an ausgewählte Opfer und verschlüsseln dann alle auf dem infizierten System gehosteten Dateien.

Auch wenn das Volumen an Ransomware-Angriffen von Jahr zu Jahr schwankt, zählt diese Art Cyberangriff nach wie vor zu den häufigsten und kostspieligsten Angriffen auf Unternehmen. Aktuelle Statistiken über Ransomware-Angriffe sind für Unternehmen ein alarmierender Aufruf zum Handeln, der sie dazu bewegen sollte, ihre Cybersicherheitsmaßnahmen zu verstärken und das Sicherheitsbewusstsein ihrer Mitarbeiter zu schulen.

• Laut dem Bericht „The State of Ransomware 2022“ von Sophos waren im Jahr 2021 66 % der Unternehmen von Ransomware-Angriffen betroffen, ein dramatischer Anstieg von 78 % im Vergleich zum Jahr 2020.
• Im „State of the Phish“-Bericht 2023 von Proofpoint gaben 64 % der befragten Unternehmen an, im Jahr 2022 von Ransomware betroffen gewesen zu sein, und mehr als zwei Drittel dieser Gruppe meldeten gleich mehrere Vorfälle. Experten gehen jedoch davon aus, dass die tatsächliche Zahl der Vorfälle und die Höhe der damit verbundenen Schäden im vergangenen Jahr viel höher war als gemeldet.
• Mit einer Lösegeldzahlungsrate von 85 % ist die Gesundheitsbranche nach wie vor der am stärksten von Ransomware betroffene Sektor. Dem Ransomware-Bericht von BlackFog 2022 zufolge verzeichneten jedoch Bildungseinrichtungen den größten Anstieg bei Ransomware-Angriffen (28 % im Jahr 2021).
• Windows-Systeme stellten die überwiegende Mehrheit der betroffenen Systeme dar und waren laut dem VirusTotal-Dienst von Google für 95 % der Ransomware-Angriffe verantwortlich.
• Laut Cybersecurity Ventures werden Ransomware-Angriffe ihren Opfern bis 2031 voraussichtlich einen jährlichen Schaden von insgesamt über 265 Milliarden US-Dollar verschaffen.Die folgende Ransomware-Statistik veranschaulicht die wachsende Epidemie und die Milliarden, die sie den Opfern gekostet hat. Schauen Sie auch auf unser Informationsportal zum Thema Ransomware, um über die neuesten Statistiken zu Ransomware auf dem Laufenden zu bleiben.

Aktuellen Statistiken zufolge zeichnen sich neue Ransomware-Trends ab. Zu den bemerkenswertesten Trends gehören:

• Mehr globalisierte Bedrohungen
• Gezieltere und ausgefeiltere Angriffe
• Zunahme mehrstufiger Erpressungstechniken
• Höhere Frequenz von Ransomware-Angriffen
• Lösegeldpreise haben sich angesichts der verbesserten Sicherheitslage stabilisiert.

Staatliche Interventionen sind ein weiterer wichtiger Trend, der den Umgang mit Ransomware-Angriffen verändern könnte. Gartner prognostiziert, dass 30 % aller Regierungen weltweit bis 2025 Gesetze zur Zahlung von Ransomwareforderungen erlassen werden.

Auch der durchschnittliche Rabatt auf Ransomware-Zahlungen scheint zu steigen. Basierend auf den neuesten Ransomware-Trends können Opfer mit einem Rabatt von 20 bis 25 % auf Lösegeldzahlungen rechnen, einige sogar mit Rabatten von bis zu 60 %.

Da immer mehr Menschen von zu Hause arbeiten, setzen Bedrohungsakteure verstärkt auf Phishing, und das ist ein primärer Ausgangspunkt für eine Ransomware-Infektion. Phishing-E-Mails zielen auf Mitarbeiter ab; das gilt sowohl für Nutzer mit niedrigen als auch mit hohen Berechtigungen. E-Mails sind kostengünstig und einfach zu verwenden, was es Angreifern erleichtert, Ransomware zu verbreiten.

Viele Nutzer sind es gewohnt, Dokumente per E-Mail zu verschicken, sodass sie sich keine weiteren Gedanken darüber machen, eine Datei in einem E-Mail-Anhang zu öffnen. Enthält eine solche Datei ein bösartiges Makro und wird dieses ausgeführt, lädt es Ransomware auf das lokale Gerät herunter und startet dann seinen Payload.

Die Leichtigkeit, mit der sich Ransomware per E-Mail verbreiten lässt, ist der Grund dafür, dass es sich um einen sehr häufigen Malware-Angriff handelt.

Die Verfügbarkeit von Malware-Kits hat ebenfalls zum Anstieg an Ransomware-Angriffen beigetragen. Diese Exploit-Kits scannen Geräte auf Software-Schwachstellen und setzen zusätzliche Malware ein, um ein Gerät weiter zu infizieren, wo bei Bedarf Malware-Samples erstellt werden. Der Trend zu Malware-as-a-Service hat die Beliebtheit dieser Kits ebenfalls gesteigert.

Nicht immer sind Angreifer auch die Autoren der jeweiligen Ransomware. Denn einige Ransomware-Autoren verkaufen ihre Software an andere oder vermieten sie zur Nutzung. Ransomware kann als Malware-as-a-Service (MaaS) geleast werden, bei der sich Kunden über ein Dashboard authentifizieren und ihre eigene Kampagne starten. Daher sind nicht alle auch Programmierer und Malware-Experten. Es kann sich auch um Einzelpersonen handeln, die die Software nur gemietet haben.

Bei raffinierten Angriffen nehmen Entwickler oft eine erfolgreiche Ransomware und schreiben ihre eigene Version davon. Diese Varianten nutzen die Codebasis einer vorhandenen Software und ändern gerade so viele Features, dass sich Payload und Angriffsmethode ändern. Ransomware-Entwickler können auf diese Weise ihre Malware so anpassen, dass sie jede beliebige Aktion ausführt und einen bevorzugten Verschlüsselungscode verwendet.

Autoren ändern den Code ständig in neue Varianten, um einer Entdeckung zu entgehen. Dadurch entwickeln sich immer raffiniertere Ransomware-Attacken, die schwerer zu stoppen sind – auch in Deutschland. Administratoren und Anti-Malware-Entwickler müssen mit diesen neuen Methoden Schritt halten, um Bedrohungen schnell zu erkennen, bevor sie sich im Netzwerk verbreiten.

Hier sind einige dieser neuen Bedrohungen:

• DLL-Side-Loading: Diese Malware versucht, einer Erkennung zu entgehen, indem sie DLLs und andere Dienste verwendet, die wie legitime Features aussehen.
• Webserver als Ziele: Malware in einer Shared-Hosting-Umgebung kann sich auf alle auf dem Server gehosteten Websites auswirken. Ransomware wie Ryuk zielt hauptsächlich über Phishing-E-Mails auf gehostete Websites ab.
• Spear-Phishing wird dem Standard-Phishing vorgezogen. Anstatt Malware an Tausende von Zielen zu senden, suchen Angreifer gezielt nach potenziellen Opfern mit hoch privilegiertem Netzwerkzugriff.
• Mit Ransomware-as-a-Service (RaaS) können Nutzer Angriffe starten, ohne über Cybersicherheitskenntnisse zu verfügen. Die Einführung von RaaS hat zu einer Zunahme von Ransomware-Angriffen geführt.

Eine Hauptursache für die Zunahme von Bedrohungen durch Ransomware ist Remote-Arbeit. Die Pandemie führte weltweit zu einer neuen Art zu arbeiten. Eine Belegschaft, die von zu Hause arbeitet, ist viel anfälliger für Bedrohungen, denn Heimanwender verfügen nicht über das Cybersicherheitslevel, dass sie im Büro hätten. Vor raffinierten Angriffen sind sie deshalb nicht ausreichend geschützt.

Viele dieser Nutzer nutzen außerdem auch ihre privaten Geräte für die Arbeit. Da Ransomware das Netzwerk nach anfälligen Geräten durchsucht, können mit Malware infizierte Privatcomputer auch alle mit dem Netzwerk verbundene Unternehmenscomputer infizieren.

Ransomware lässt sich verhindern, indem Sie Backups einrichten und testen sowie Ransomware-Schutz in Sicherheitstools anwenden. Sichere E-Mail-Gateways sind die erste Verteidigungslinie, während Endpunkte eine sekundäre Verteidigung darstellen. Zusätzlich spielt ein effektives Cloud Security Posture Management eine entscheidende Rolle, um Sicherheitsrichtlinien in Cloud-Umgebungen durchzusetzen und potenzielle Schwachstellen rechtzeitig zu erkennen. Intrusion-Detection-Systeme (IDS) werden manchmal zur Erkennung von Ransomware eingesetzt, um vor einem Aufruf eines Ransomware-Systems an einen Kontrollserver zu warnen. Benutzerschulungen sind wichtig, aber die Benutzerschulung ist nur eine von mehreren Verteidigungsebenen zum Schutz vor Ransomware, und sie kommt erst nach der Zustellung von Ransomware per Phishing ins Spiel.

Eine Vorsichtsmaßnahme für den Fall, dass alle anderen präventiven Verteidigungsmaßnahmen gegen Ransomware versagen, ist, sich einen Vorrat an Bitcoin anzuschaffen. Dies ist jedoch eher dann relevant, wenn Kunden oder Partner des betroffenen Unternehmens unmittelbar geschädigt werden könnten. Krankenhäuser und das Gastgewerbe sind hier einem besonderen Risiko ausgesetzt, da das Leben von Patienten betroffen sein könnte oder Menschen ausgesperrt werden können.

Ransomware-Angreifer kassierten im Jahr 2019 durchschnittlich 115.123 US-Dollar pro Vorfall, doch diese Kosten sind im Jahr 2020 auf 312.493 US-Dollar angestiegen. In einem konkreten Fall entstand dem betroffenen Unternehmen ein Schaden in Höhe von 40 Millionen US-Dollar. Denn zusätzlich zum eigentlichen Lösegeld können diese Angriffe weitere hohe Kosten verursachen: Betriebsunterbrechung, Kosten für die Behebung und eine geschädigte Marke.