Definition
Ransomware ist eine gefährliche Software, die den Zugang zu einem Computersystem oder zu Daten so lange blockiert (in der Regel durch Verschlüsselung), bis das Opfer dem Angreifer eine Gebühr zahlt. In vielen Fällen ist die Lösegeldforderung mit einer Frist verbunden. Wenn das Opfer nicht rechtzeitig bezahlt, sind die Daten für immer verloren.
Ransomware-Angriffe sind heutzutage quasi an der Tagesordnung und große Unternehmen in Nordamerika und Europa sind ihnen gleichermaßen zum Opfer gefallen. Cyberkriminelle greifen beliebige Verbraucher und Unternehmen an, und die Opfer kommen aus allen Branchen.
Mehrere Regierungsbehörden, darunter auch das FBI, sowie das No-More-Ransom-Projekt raten davon ab, das Lösegeld zu zahlen, um den Ransomware-Zyklus nicht zu fördern. Zudem ist es wahrscheinlich, dass die Hälfte der Opfer, die das Lösegeld zahlen, wiederholt Opfer eines Ransomware-Angriffes werden.
Ursprünge von Ransomware
Ransomware kann bis 1989 zurückverfolgt werden, als das „AIDS-Virus“ dazu benutzt wurde, um Gelder von den Empfängern der Ransomware zu erpressen. Die Zahlungen für diesen Angriff wurden per Post nach Panama geschickt, woraufhin das Opfer einen Entschlüsselungscode erhielt.
1996 wurde Ransomware unter dem Begriff „kryptovirale Erpressung“ bekannt, der von Moti Yung und Adam Young von der Columbia University eingeführt wurde. Diese in der akademischen Welt geborene Idee illustrierte den Fortschritt, die Stärke und die Schaffung moderner kryptographischer Tools. Young und Yung stellten 1996 den ersten kryptoviralen Angriff auf der IEEE-Konferenz für Sicherheit und Datenschutz vor. Ihr Virus enthielt den öffentlichen Schlüssel des Angreifers und verschlüsselte die Dateien des Opfers. Die Malware forderte das Opfer dann auf, einen asymmetrischen Chiffretext an den Angreifer zu senden, um den Entschlüsselungscode zu entziffern und zurückzugeben - gegen eine Gebühr.
Die Angreifer sind im Laufe der Jahre kreativ geworden und verlangen Zahlungen, die kaum zurückverfolgt werden können und den Cyberkriminellen dabei helfen, anonym zu bleiben. Zum Beispiel verlangt die berüchtigte mobile Ransomware „Fusob“ von den Opfern, mit Apples iTunes-Geschenkkarten statt mit normalen Währungen wie Dollar zu bezahlen.
Ransomware-Angriffe gewannen mit der Zunahme von Kryptowährungen, wie z. B. Bitcoin, an Popularität. Eine Kryptowährung ist eine digitale Währung, die Verschlüsselungstechniken verwendet, um Transaktionen zu verifizieren und zu sichern und die Schaffung neuer Einheiten zu kontrollieren. Neben Bitcoin fordern Angreifer oftmals auch andere populäre Kryptowährungen, wie Ethereum, Litecoin und Ripple. Ransomware hat schon Organisationen in fast jedem Bereich getroffen. Einer der bekanntesten Angriffe war der auf das Presbyterian Memorial Hospital, der die potenziellen Schäden und Risiken von Ransomware verdeutlichte. Labore, Apotheken und Notaufnahmen wurden angegriffen.
Die Sozialingenieure sind im Laufe der Zeit immer innovativer geworden. The Guardian schrieb über eine Situation, in der neue Ransomware-Opfer nicht nur ein Lösegeld zahlen sollten, um ihre Daten zu entschlüsseln; sie wurden auch aufgefordert, zwei weitere Benutzer den Link installieren zu lassen.
Beispiele für Ransomware
Die folgenden Informationen über die größten Ransomware-Angriffe geben Organisationen eine solide Grundlage, um die Taktiken, Exploits und Merkmale von Ransomware-Angriffen zu verstehen. Zwar gibt es nach wie vor Variationen im Code, in den Zielen und Funktionen, doch die Innovation der Ransomware-Angriffe erfolgt in der Regel nur schrittweise.
- WannaCry: Ein leistungsstarker Microsoft-Exploit wurde genutzt, um einen weltweiten Ransomware-Wurm zu schaffen, der über 250.000 Systeme infizierte, bevor ein Killswitch ausgelöst wurde, um seine Ausbreitung zu stoppen. Proofpoint war an der Auffindung des Musters beteiligt, mit dem der Killswitch identifiziert wurde, sowie an der Dekonstruktion der Ransomware selbst. Erfahren Sie mehr über die Beteiligung von Proofpoint am Aufhalten von WannaCry.
- CryptoLocker: Diese Ransomware ist eine der ersten der aktuellen Generation. Sie erforderte eine Kryptowährung (Bitcoin) für die Zahlung und verschlüsselte die Festplatte des Benutzers und die angeschlossenen Netzlaufwerke. Cryptolocker wurde über eine E-Mail mit einem Anhang verbreitet, der vorgab, eine FedEx- und UPS-Trackingbenachrichtigung zu sein. In 2014 wurde für diese Ransomware ein Entschlüsselungstool veröffentlicht, aber verschiedene Berichte deuten darauf hin, dass die Angreifer mithilfe von CryptoLocker über 27 Millionen Dollar erpresst haben.
- NotPetya: NotPetya gilt als einer der schädlichsten Ransomware-Angriffe und verwendete Taktiken seines Namensvetters Petya, wie z. B. das Infizieren und Verschlüsseln des Master Boot Records eines Microsoft Windows-basierten Systems. NotPetya nutzte für die schnelle Verbreitung die gleiche Schwachstelle wie WannaCry aus, und verlangte eine Zahlung in Bitcoin, um die Änderungen rückgängig zu machen. NotPetya wurde von einigen als „Wiper“ eingestuft, da die Änderungen am Master-Boot-Record nicht rückgängig gemacht werden können und das Zielsystem nicht wiederhergestellt werden kann.
- Bad Rabbit: Wird als Cousin von NotPetya betrachtet und nutzte einen ähnlichen Code und ähnliche Exploits, um sich auszubreiten. Bad Rabbit war eine sichtbare Ransomware, die anscheinend auf Russland und die Ukraine abzielte und dort vor allem Medienunternehmen traf. Im Gegensatz zu NotPetya konnte Bad Rabbit entschlüsselt werden, wenn das Lösegeld bezahlt wurde. Die meisten Fälle deuten darauf hin, dass die Ransomware über ein gefälschtes Flash-Player-Update verbreitet wurde.
So funktioniert Ransomware
Ransomware ist eine Art von Malware, die darauf abzielt, Geld von ihren Opfern zu erpressen, die blockiert oder daran gehindert werden, auf Daten in ihren Systemen zuzugreifen. Die beiden am weitesten verbreiteten Arten von Ransomware sind Verschlüsselungsprogramme und Bildschirmsperren. Verschlüsselungsprogramme, wie der Name schon sagt, verschlüsseln Daten auf einem System, sodass der Inhalt ohne den Entschlüsselungscode nutzlos wird. Bildschirmsperren hingegen blockieren einfach den Zugriff auf das System mit einem „Sperrbildschirm“ und behaupten, dass das System verschlüsselt sei.
Abbildung 1: Ein Beispiel für den Versuch von Ransomware, ein Opfer zur Installation zu verleiten.
Opfer werden oft auf einem Sperrbildschirm darüber informiert, dass sie eine Kryptowährung wie Bitcoin kaufen müssen, um das Lösegeld zu bezahlen (Sperrbildschirme sind sowohl bei Verschlüsselungsprogrammen als auch bei Bildschirmsperren üblich). Sobald das Lösegeld bezahlt ist, erhalten die Opfer den Entschlüsselungscode und können versuchen, ihre Dateien zu entschlüsseln. Die Entschlüsselung ist dabei nicht garantiert und mehrere Quellen berichten von unterschiedlichem Erfolg nach Zahlung des Lösegelds. Manchmal erhalten die Opfer den Code nie und es kommt auch vor, dass Malware auf dem Computersystem installiert wird, selbst nachdem das Lösegeld bezahlt und die Daten freigegeben wurden.
Ursprünglich konzentrierten sich Ransomware-Angriffe vor allem auf persönliche Computer. Heute werden zunehmend Unternehmen angegriffen, da diese oft mehr für die Freischaltung kritischer Systeme und die Wiederaufnahme des täglichen Betriebs zahlen als Einzelpersonen.
Ransomware-Angriffe auf Unternehmen beginnen in der Regel mit einer schädlichen E-Mail. Ein ahnungsloser Benutzer öffnet einen Anhang oder klickt auf eine URL, die schädlich ist oder kompromittiert wurde.
Zu diesem Zeitpunkt wird ein Ransomware-Agent installiert und beginnt mit der Verschlüsselung wichtiger Dateien auf dem PC des Opfers und allen angehängten Dateifreigaben. Nach der Verschlüsselung der Daten zeigt die Ransomware eine Nachricht auf dem infizierten Gerät an, in der erklärt wird, was geschehen ist und wie die Angreifer zu bezahlen sind. Die Ransomware verspricht, dass die Opfer einen Code zum Entsperren ihrer Daten erhalten, wenn Sie das geforderte Geld zahlen.
Prävention und Erkennung von Ransomware
Die Prävention von Ransomware-Angriffen umfasst in der Regel das Einrichten und Testen von Backups sowie die Anwendung von Ransomware-Schutz in Cybersecurity-Tools. Sichere E-Mail-Gateways sind die erste Verteidigungslinie, während Endpunkte eine sekundäre Verteidigung darstellen. Intrusion-Detection-Systeme (IDS) werden manchmal zur Erkennung von Ransomware eingesetzt, um vor einem Aufruf eines Ransomware-Systems an einen Kontrollserver zu warnen. Benutzerschulung ist wichtig, aber die Benutzerschulung ist nur eine von mehreren Verteidigungsschichten zum Schutz vor Ransomware, und sie kommt erst nach der Zustellung von Ransomware per Mail-Phish ins Spiel.
Eine Vorsichtsmaßnahme für den Fall, dass alle anderen präventiven Verteidigungsmaßnahmen gegen Ransomware versagen, ist sich einen Vorrat an Bitcoin anzuschaffen. Dies ist eher relevant, wenn Kunden oder Benutzer des betroffenen Unternehmens unmittelbar geschädigt werden könnten. Krankenhäuser und das Gastgewerbe sind hier einem besonderen Risiko ausgesetzt, da das Leben von Patienten betroffen sein könnte oder Menschen ausgesperrt werden können.
Vorher/Nachher
Ransomware-Angriffe verhindern
- Schützen Sie Ihre E-Mails: Ransomware verbreitet sich hauptsächlich per Phishing-Mails oder Spam. Sichere E-Mail Gateways mit gezieltem Angriffsschutz sind entscheidend für die Erkennung und Blockierung schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anhängen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer gesendet werden.
- Schützen Sie Ihre Mobilgeräte: Produkte zum Schutz vor mobilen Angriffen können in Verbindung mit MDM-Tools (Mobile Device Management) Anwendungen auf den Geräten der Benutzer analysieren und Benutzer und die IT-Abteilung sofort vor Anwendungen warnen, die die Umgebung gefährden könnten.
- Schützen Sie Ihr Surfen im Web: Sichere Web-Gateways scannen den Web-Datenverkehr von Benutzern, um bösartige Web-Anzeigen zu identifizieren, die sie zu Ransomware führen könnten.
- Überwachen Sie Ihre Server und Ihr Netzwerk, und sichern Sie wichtige Systeme: Monitoring-Tools können ungewöhnliche Dateizugriffsaktivitäten, Viren, Netzwerk-C&C-Traffic und CPU-Lasten erkennen – möglicherweise rechtzeitig, um die Aktivierung von Ransomware zu blockieren. Die Aufbewahrung einer vollständigen Image-Kopie wichtiger Systeme kann das Risiko verringern, dass ein abgestürzter oder verschlüsselter Rechner einen entscheidenden operativen Engpass verursacht.
Ransomware entfernen
- Verständigen Sie die nationale und lokale Strafverfolgungsbehörde: Genauso wie sich jemand bei der Entführung einer Person an die Behörden wenden würde, muss im Falle eines Ransomware-Angriffs dasselbe Büro verständigt werden. Deren forensische Techniker können sicherstellen, dass Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Organisationen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
Wiederherstellung nach einem Ransomware-Angriff
- Informieren Sie sich über Anti-Ransomware-Ressourcen: Das „No More Ransom“-Portal und „Bleeping Computer“ haben Tipps, Vorschläge und sogar einige Entschlüsselungscodes für bestimmte Ransomware-Angriffe.
- Stellen Sie Ihre Daten wieder her: Wenn sich Unternehmen an die bewährten Verfahren halten und System-Backups aufbewahren, können sie ihre Systeme wiederherstellen und den normalen Betrieb wieder aufnehmen.
Ransomware-Statistiken
Die folgende Ransomware-Statistik veranschaulicht die steigende Epidemie und die Milliarden, die sie die Opfer gekostet hat. Schauen Sie auch in den Proofpoint-Blog, um über die neuesten Statistiken zu Ransomware auf dem Laufenden zu bleiben.
Ransomware-Ratgeber
Allein in den ersten drei Monaten des Jahres 2016 sammelten Ransomware-Angreifer mehr als 209 Millionen Dollar von ihren Opfern ein, wobei das Volumen der Angriffe zehnmal so hoch war wie im gesamten Jahr 2015. Zusätzlich zum Lösegeld selbst können diese Angriffe hohe Kosten verursachen: Geschäftsunterbrechung, Sanierungskosten und eine geschwächte Marke.
Locky Ransomware
Proofpoint researchers identified Locky Ransomware being distributed by the spammers behind Dridex. Read to learn how the Locky ransomware attack campaigns works.
Menschen schützen: Eine Quartalsanalyse personalisierter Cyberangriffe
Jeder kann eine besonders häufig angegriffene Person (VAP: Very Attacked Person™) sein. Dabei sind das nicht immer nur die Personen, die Sie als typische Angriffsopfer vermuten würden.
Webinar: Ransomware an der Quelle stoppen
Verringern Sie das Risiko durch Microsoft 365 mit angemessenem Schutz.
Webinar: Ransomware-Angriffe nehmen zu - was Sie jetzt wissen müssen
In unserem On-Demand-Webinar spricht Ryan Kalember, Executive Vice President of Cybersecurity Strategy bei Proofpoint, über die drei wichtigsten Methoden, mit denen Ransomware-Akteure versuchen, Zugang zu Ihrem Unternehmen zu erlangen – und wie Sie sie stoppen können.
Kostenloses Ransomware-Awareness-Kit
Mit dem Ransomware-Awareness-Kit von Proofpoint können Sie Ihre Mitarbeiter darin schulen, verdächtige E-Mails zu identifizieren und zu melden.
Schutz von Mitarbeitern mit Fernzugriff vor Ransomware-Angriffen
Dieser Blog-Beitrag konzentriert sich auf die Erkenntnis vieler Unternehmen, dass ein modernes, Cloud-natives und sicheres Web-Gateway (SWG) für die Abwehr von Ransomware-Angriffen eine wichtige Rolle spielt – ganz besonders dann, wenn es mit Isolierungstechnologie kombiniert wird.