Welche Möglichkeiten bietet Ransomware für Hacker?

Kurt Baker - Juni 30, 2022

Welche Möglichkeiten bietet Ransomware für Hacker?

Bei einem Ransomware-Angriff verschlüsseln, löschen oder manipulieren Hacker mittels Malware Daten, geistiges Eigentum oder personenbezogene Informationen. Dies ermöglicht es den Angreifern, Informationen, Geräte oder Systeme digital als Geiseln zu nehmen, bis das Opfer auf die Lösegeldforderung der Cyberkriminellen eingeht, was in der Regel über gesicherte, nicht zurückverfolgbare Zahlungsarten erfolgt.

Lösegeldforderungen bewegen sich häufig im Bereich zwischen einer und zehn Millionen US-Dollar. Deshalb stellt Ransomware für Cyberkriminelle nach wie vor eine der lukrativsten Taktiken dar. Dabei sollte bedacht werden, dass die Zahlung eines Lösegeldes keine Garantie dafür ist, dass die Systeme wiederhergestellt oder gestohlene Daten nicht veröffentlicht bzw. im Dark Web verkauft werden.

Arten von Ransomware

Ransomware-Varianten gibt es in vielen Formen. Nachfolgend möchten wir auf die gängigsten Arten von Ransomware eingehen:

  1. Krypto-Ransomware oder Verschlüsseler: Dieser Typ verschlüsselt Dateien und Daten in einem System, sodass ohne Entschlüsselungsschlüssel kein Zugriff auf den Inhalt mehr möglich ist.
  2. Locker sperren den Benutzer komplett von Ihrem System aus, sodass sie nicht mehr auf Ihre Dateien und Anwendungen zugreifen können. Ein Sperrbildschirm zeigt die Lösegeldforderung an.
  3. Scareware ist gefälschte Software, die behauptet, einen Virus oder ein anderes Problem auf dem Computer oder Mobilgerät erkannt zu haben, und den Benutzer zu einer Zahlung auffordert, um das Problem zu lösen. Scareware sperrt den Computer oder flutet den Bildschirm mit Popup-Warnungen, ohne tatsächlich Dateien zu beschädigen.
  4. Doxware oder Leakware droht damit, vertrauliche persönliche Daten oder Unternehmensinformationen online zu stellen. Viele Betroffene geraten dann in Panik und zahlen das Lösegeld, um zu verhindern, dass private Informationen in die falschen Hände oder in die Öffentlichkeit gelangen. Eine Variante davon ist eine Ransomware mit Polizeibezug, bei der sich der Cyberkriminelle als Gesetzeshüter ausgibt und behauptet, dass illegale Online-Aktivitäten erkannt wurden, eine Gefängnisstrafe jedoch durch Zahlung eines Bußgeldes vermieden werden kann.
  5. RaaS (Ransomware as a Service) bezeichnet anonym von einem „professionellen“ Hacker gehostete Malware. Dieser verwaltet alle Aspekte des Angriffs – von der Verteilung der Ransomware über den Einzug der Zahlung bis zur Wiederherstellung des Zugriffs.
  6. Dateilose Angriffe: Bei diesen dateilosen Ransomware-Angriffen werden zunächst keine ausführbaren Dateien auf die Festplatte geschrieben. Stattdessen werden vorhandene Betriebssystemwerkzeuge (z. B. PowerShell oder WMI) benutzt, mit denen der Angreifer Aufgaben ausführen kann, ohne dass eine bösartige Programmdatei auf dem angegriffenen System ausgeführt werden muss.

WEITERE INFORMATIONEN

Dateilose Ransomware ist beliebt, weil sich die meisten älteren Virenschutzlösungen mit dateilosen Angriffen umgehen lassen. In diese Infografik wird die Funktionsweise von dateiloser Ransomware erläutert:How Fileless Ransomware Works (Infografik)

Wie laufen Ransomware-Angriffe ab?

Obwohl die verschiedenen Ransomware-Typen sehr unterschiedlich sind, laufen die meisten Angriffe nach demselben Prinzip ab. In der Regel wird Malware als infizierte Datei durch das Herunterladen eines E-Mail-Anhangs in das Netzwerk übertragen. Die Datei führt das Ransomware-Programm aus, das anschließend das System infiziert. Üblicherweise ist die Malware in Ransomware-Angriffen so programmiert, dass sie Daten verschlüsselt und eine Dateierweiterung hinzufügt, wodurch die Dateien für den Besitzer unzugänglich werden.

Ein Ransomware-Angriff kann auch auf andere Weise ausgelöst werden:

  • Malvertising: Angriffe, die mit einem Klick eines Benutzers auf eine gefälschte oder infizierte Online-Werbung ausgelöst werden.
  • Drive-by-Ransomware-Angriffe: Bei dieser raffinierteren Angriffsform werden Schwachstellen in verschiedenen Browser-Plug-ins ausgenutzt, um den Angriff auszulösen. Ein menschliches Zutun ist dabei nicht erforderlich.
  • Angriffe auf Backup-Systeme: Malware-Angriffe, die auf die Backup-Systeme eines Benutzers zielen, um das Opfer daran zu hindern, die Daten selbst wiederherzustellen.
  • Mobilgeräte-Ransomware: Ransomware-Angriffe, die speziell Mobilgeräte wie Smartphones und Tablets ins Visier nehmen.
  • Social Engineering: Ransomware-Angreifer kombinieren häufig andere Angriffstechniken wie Phishing, um persönliche Informationen zu sammeln und die Kontaktaufnahme mit den Opfern individueller zu gestalten, wodurch sie ihre Erfolgschancen erhöhen.

Was passiert während eines Ransomware-Angriffs?

Obwohl es einige Unterschiede bei den verschiedenen Arten von Ransomware-Angriffen gibt, folgen die meisten doch dem gleichen Grundmuster. Dies sind die sieben wichtigsten Phasen eines Ransomware-Angriffs:

1. Einführung

In der ersten Phase eines Ransomware-Angriffs bereiten die Angreifer die Grundlage für ihre Aktivitäten vor und nutzen dazu beispielsweise E-Mail-Phishing oder andere Social-Engineering-Techniken, suchen Informationen über ausnutzbare Schwachstellen des Netzwerks, Browsers bzw. der Software oder erstellen schädliche Websites. Im Allgemeinen lösen die Cyberkriminellen den Angriff aus, indem sie die Benutzer dazu bringen, auf einen schädlichen Link zu klicken, eine infizierte Datei herunterzuladen oder in irgendeiner Weise mit einer kompromittierten Ressource zu interagieren, um schädliche Software auf dem System oder Gerät zu installieren.

2. Infektion

In dieser Angriffsphase stellt der schädliche Code eine Kommunikationsverbindung mit den Angreifern her. Zudem kann über diesen Kanal weitere Malware auf dem System installiert werden. Die Ransomware-Infektionsphase kann nur kurze Zeit dauern, sich aber auch über Monate oder sogar Jahre hinziehen, da die Cyberkriminellen auf den optimalen Angriffszeitpunkt warten. Da die Hacker zunehmend raffinierter werden, ist es ebenso möglich, dass das betroffene Unternehmen von dem laufenden Angriff überhaupt keine Kenntnis hat. Um Risiken zu minimieren, muss der Angriff so früh wie möglich erkannt werden – idealerweise in der Infektionsphase, wenn die Malware noch nicht aktiv ist. Verpasst das Unternehmen diese Gelegenheit, müssen die Schäden durch einen umfassenden Reaktionsplan minimiert werden.

3. Ausführung

Nach der Infektion lösen die Cyberkriminellen den Angriff aus. In dieser Phase beginnt die Malware, Daten oder Dateien zu verschlüsseln. Je nach Angriffsart wird das Gerät des Benutzers entweder gesperrt oder anderweitig blockiert. Da es praktisch unmöglich ist, die Daten ohne den entsprechenden Schlüssel zu entschlüsseln, haben die meisten Opfer nun drei Optionen: 1. Die Daten aufgeben. 2. Verlorene Daten durch ein Backup-System oder ein Zwillingsgerät wiederherstellen. 3. Das Lösegeld zahlen.

4. Lösegeldforderung

In dieser Phase nehmen die Cyberkriminellen Kontakt mit dem Opfer auf, um über die Freigabe der Daten oder Geräte zu verhandeln. In der Regel enthalten die Mitteilungen detaillierte Anweisungen zur Zahlung in nicht zurückverfolgbarer Kryptowährung wie Bitcoin. In dieser Phase haben die betroffenen Einzelpersonen sehr wahrscheinlich keinen Zugang zu ihren Daten oder verschlüsselten Dateien. Unternehmen müssen hingegen in dieser Zeit mit Beeinträchtigungen der Geschäftsprozesse und einem daraus resultierenden erheblichen Umsatzverlust rechnen.

5. Zahlung und Wiederherstellung

In dieser Phase zahlt das Opfer das Lösegeld. Die Lösegeldzahlung wird in der Regel über einen sicheren Kanal abgewickelt, den die Ransomware-Angreifer bestimmen; die Zahlung erfolgt mit Kryptowährung. Im besten Fall führt die Lösegeldzahlung zur Wiederherstellung der Daten sowie Dateien des Benutzers und es werden keine Kopien der Informationen im Dark Web verkauft. Es muss dabei bedacht werden, dass viele Cyberkriminelle wenig Anstand besitzen. Die Zahlung des Lösegelds ist daher keine Garantie für die Wiederherstellung der Systeme.

6. Bereinigung

Ebenso wie die Zahlung des Lösegelds keine Wiederherstellung des Systems garantiert, bedeutet dies ebenfalls nicht, dass die Angreifer alle Malware-Dateien aus dem System entfernen werden. Deshalb besteht für Unternehmen, die in der Vergangenheit bereits kompromittiert wurden, ein höheres Risiko für eine erneute Kompromittierung. Während dieser Phase sollten Unternehmen gemeinsam mit ihrem Cybersicherheitspartner analysieren, wie der Angriff erfolgte, und dafür sorgen, dass alle Bestandteile der Malware aus dem Netzwerk entfernt werden. Die Sicherheitsfirma kann dem Unternehmen auch dabei helfen, betroffene Bereiche des Netzwerks zu isolieren, um Malware zu entfernen und das Risiko einer erneuten Aktivierung während des Wiederherstellungsprozesses zu minimieren.

7. Wiederherstellung

Sobald die Malware vollständig entfernt wurde, kann das System seinen normalen Betrieb wieder aufnehmen. Im Rahmen dieses Prozesses sollte das Unternehmen gemeinsam mit dem Cybersicherheitspartner robustere Sicherheitsmaßnahmen entwickeln, die künftige Ransomware-Angriffe (und andere Arten von Cyberangriffen) verhindern. Zudem sollte das Unternehmen in Erwägung ziehen, eine technisch ausgereifte Wiederherstellungsmethode zu entwickeln, mit der es im Falle weiterer Angriffe möglich ist, das System ohne die Zahlung von Lösegeld wiederherzustellen.

Wer wird von Ransomware angegriffen?

Ransomware greift Unternehmen jeder Größe an. Obwohl das sogenannte Big Game Hunting (BGH, engl. Großwildjagd) immer weiter zunimmt, werden häufig auch kleine und mittelgroße Unternehmen – darunter nationale und kommunale Behörden – Ziel von Ransomware-Angriffen. Sie stellen ein attraktives Ziel dar, da sie über relative kleine Sicherheitsteams verfügen und einen vermeintlich geringen Sicherheitsreifegrad aufweisen.

Beispiele für beliebte Ziele für Ransomware:

  • Jede Vereinigung, in der es wahrscheinlich nur wenige Sicherheitsverantwortliche und relativ geringe Sicherheitsvorkehrungen gibt. Dazu gehören Universitäten und höhere Bildungseinrichtungen, da sie häufig schwache Sicherheitsvorkehrungen haben und zudem über einen großen, sich ständig ändernden Benutzerstamm verfügen, der das Netzwerk unter anderem durch Dateifreigaben und die Erstellung von Ressourcen intensiv nutzt.
  • Unternehmen, die in der Lage sind, Lösegeld zu zahlen und solche, die mit Rufschäden rechnen müssen, wenn sie nicht zahlen. Dazu gehören beispielsweise Banken, Versorgungsunternehmen, Krankenhäuser und Behörden, die selbst durch eine kurze Unterbrechung des Netzwerkdienstes erheblich beeinträchtigt werden – entweder durch Umsatzverluste oder durch Gefährdung von Menschenleben. Zudem müssen diese Unternehmen mit erheblichen Rufschäden rechnen, wenn sie Opfer eines schlagzeilenträchtigen oder langwierigen Cyberangriffs werden.
  • Unternehmen mit vertraulichen Daten wie geistigem Eigentum, Geschäftsgeheimnissen oder Krankenakten. Diese Unternehmen sind eher dazu geneigt, das Lösegeld zu zahlen, um nicht nur den Zugang zu ihrem System wiederzuerlangen, sondern auch die schlechte Publicity und den Imageverlust zu vermeiden, der mit einer Datenkompromittierung einhergehen kann.

EXPERTEN-TIPP

Aufgrund der globalen Pandemie nehmen die Ransomware-Akteure bestimmte Branchen ins Visier, darunter vor allem Einrichtungen im Gesundheitswesen. Daten aus dem CrowdStrike Global Threat Report 2021 zeigen, dass während der Pandemie bereits über 100 Gesundheitsdienstleister von Big Game Hunting-Akteuren angegriffen wurden. Laden Sie jetzt den Global Threat Report 2021 herunter

Wie können Sie sich vor Ransomware-Angriffen schützen?

Von der Ransomware bereits verschlüsselte Daten können oft nicht mehr wiederhergestellt werden. Deshalb bieten proaktive Präventionsmaßnahmen den besten Schutz vor Ransomware.

Ransomware entwickelt sich ständig weiter, sodass der Schutz kontinuierlich angepasst werden muss. Nutzen Sie die folgenden Best Practices, damit Ihre Abläufe dauerhaft geschützt bleiben:

  1. Schulen Sie alle Mitarbeiter in den Best Practices der Cybersicherheit.
  2. Halten Sie Ihr Betriebssystem und andere Software mit Patches und Updates immer auf dem aktuellen Stand.
  3. Implementieren und optimieren Sie E-Mail-Sicherheitsmaßnahmen.
  4. Überwachen Sie Ihre Umgebung kontinuierlich auf böswillige Aktivitäten und Angriffsindikatoren (IOAs).
  5. Integrieren Sie Bedrohungsdaten in Ihre Sicherheitsstrategie.
  6. Entwickeln Sie Ransomware-sichere Offline-Backups.
  7. Implementieren Sie ein Identitäts- und Zugriffsverwaltungsprogramm (IAM).

Mit CrowdStrike Ransomware-Angriffe verhindern

CrowdStrike Falcon® bietet Ihnen Schutz vor Ransomware-Angriffen. Angesichts der zunehmenden Verbreitung von Ransomware gewinnt diese Funktion mehr und mehr an Bedeutung. Unser Ansatz besteht darin, Ransomware zuverlässig daran zu hindern, ein System zu infizieren und die Dateien zu verschlüsseln. Wir glauben, dass das Problem nur durch Prävention gelöst werden kann, da eine Entschlüsselung häufig unmöglich ist und niemand Lösegeld zahlen oder das System durch Backups wiederherstellen möchte.

CrowdStrike erkennt mithilfe des Endgerätesensors Ransomware-Verhalten und beendet den schädlichen Prozess, bevor dieser Dateien verschlüsseln kann. Dies erfolgt durch von CrowdStrike entwickelte IOA-Muster auf dem Endgerät. Die Muster werden online und offline eingesetzt und können neue sowie polymorphe Ransomware-Varianten abwehren, die häufig klassische Virenschutz-Signaturen unterlaufen.

WEITERE INFORMATIONEN

Weitere Informationen dazu, wie CrowdStrike Ransomware-Angriffe verhindert, finden Sie unserem Blog-Beitrag:How to Prevent Ransomware with CrowdStrike Falcon Endpoint Protection

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).