Alles über Ransomware

Alles über Ransomware: Ziele, Angriffsweise und Prävention

Die Zahl der Ransomware Angriffe hat sich in den vergangenen Jahren vervielfacht, Tendenz weiterhin steigend. Sowohl für Unternehmen als auch MSSPs, Systemhäuser und IT-Dienstleister haben Prävention und Abwehr von Ransomware Angriffen oberste Priorität in ihrer IT-Security-Strategie.

Wie funktioniert Ransomware und was muss man beachten, um sich davor zu schützen? Wir geben im Überblick Antworten auf die häufigsten Fragen.


Was ist ein Ransomware Angriff?

Foto eines Bildschirms, auf dem eine Ransomware Attacke zu sehen ist

Ein Ransomware Angriff (englisch „ransom“, „Lösegeld“) dient dem Ziel, auf digitalem Weg durch Erpressung von Opfern Geld zu erbeuten. Dabei kann es sich sowohl um Privatpersonen mit nur einem Endgerät oder Unternehmen mit umfangreicher Netzwerkinfrastruktur handeln.

Die Erpressersoftware wird ins System der Opfer eingeschleust und verschlüsselt dort gespeicherte Daten oder blockiert den Zugriff auf essenzielle Systeme. Schließlich folgt die Forderung einer Lösegeldsumme, nach deren Zahlung die Opfer wieder Zugriff auf die gekaperten Daten und Systemkomponenten erhalten sollen. Zu leisten ist die Zahlung in einer Kryptowährung, womit die Kriminellen keine Spuren hinterlassen.


Warum nutzen Cyberkriminelle Ransomware?

Für Cyberkriminelle ist ein Ransomware Angriff ein mächtiger Hebel, denn die Opfer können diesem kaum etwas entgegensetzen. Die Entschlüsselung der durch Ransomware verschlüsselten Daten mit Decryption Software ist nur sehr begrenzt möglich und nur selten erfolgreich.

Der Leidensdruck auf Seiten der Opfer ist somit überaus hoch. Trifft sie ein Ransomware Angriff unvorbereitet, bedeutet dies für sie Verluste und hohe Kosten. Den Tätern ist dies bewusst, weshalb sie die Höhe des Lösegelds vergleichsweise niedrig ansetzen.

Da die Zahlung zunächst wie die einfachste Lösung wirkt, ist die Bereitschaft der Opfer, diese zu leisten – und somit die Erfolgschancen der Kriminellen - sehr hoch. Ob die Geschädigten wirklich wieder Zugriff auf ihre Daten erhalten, ist allerdings nicht gewährleistet. 

 

Die Vorteile von Ransomware Angriffen für Kriminelle liegen auf der Hand:

  • Digitalisierung und Vernetzung bieten einen wachsenden Pool an Angriffszielen

  • Die Kosten für Erstellung und Verteilung der Software sind gering

  • Hohe Erfolgsquote auch bei breit angelegten Ransomware Kampagnen

  • Lösegeldzahlungen lassen sich nicht nachverfolgbar abwickeln

Ransomware Angriffe sind für Kriminelle in der Mehrheit der Fälle Massenware. Ihren Gewinn erzielen sie durch die Summe an kleinen Lösegeldbeträgen aus erfolgreichen Angriffen.

 

Welche Schäden entstehen durch Ransomware Angriffe?

Ransomware ist überaus gefürchtet, weil ein erfolgreicher Angriff massive Schäden auf verschiedenen Ebenen anrichten kann. Die unmittelbaren Folgen eines erfolgreichen Angriffs sind offensichtlich:

  • Unersetzbarer Verlust von Unternehmensdaten

  • Ausfall des Geschäftsbetriebs und Umsatzverlust durch blockierte kritische IT-Systeme

  • Kosten für die Wiederherstellung oder das Neu-Aufsetzen von IT-Systemen

Je nach dem können noch weitere Auswirkungen hinzukommen:

  • Rechtliche Konsequenzen bei Verlust sensibler Kundendaten bis hin zu Strafzahlungen

  • Medienaufmerksamkeit und Negativschlagzeilen

  • Beschädigtes Unternehmensimage und Vertrauensverlust bei Kunden

 

Warum ist Ransomware eine anhaltend schwere Bedrohung?  

Unter Cyberkriminellen ist Ransomware ein äußerst lukratives Geschäftsmodell. Um mehr Profit daraus schlagen zu können, haben sie diese in den vergangenen Jahren verbessert und ihre Kapazitäten effizient organisiert. Daraus ist ein krimineller Markt mit spezialisierten Dienstleistungen entstanden, der anhaltenden Zulauf verzeichnet und dessen Entwicklung beunruhigend ist: 

  • Niedrige Preise: Die Kosten einer Ransomware Kampagne sind durch die massenhafte Verfügbarkeit gefallen. Die Verbreitung ist bereits mit Beträgen von wenigen hundert Euro möglich.  

  • Ransomware-as-a-Service: Arbeitsschritte für Ransomware Angriffe sind als Dienstleistung erhältlich. Entwickler vermieten ihre Software an "Affiliates", die die Kampagnen durchführen. Die erzielten Erpressungsgelder teilen sie sich. Andere Dienstleister bieten mietbare Botnetze zum automatisierten Verbreiten von Schadsoftware über Emails an.

  • Einfache Nachwuchsrekrutierung: Mächtige Angriffswerkzeuge können schlichtweg eingekauft werden, was eine niedrige Einstiegshürde in diese Art von Kriminalität darstellt.

In der Ransomware-Szene herrscht also ein hoher Wettbewerb. Ihre Akteure stehen unter dem Druck, ihre Dienste stets zu verbessern, um auch künftig Gewinne erzielen zu können. Auf Grund dieser fortschreitenden Professionalisierung ist Ransomware auch in Zukunft ein ernst zu nehmender Angriffsvektor für Unternehmen.

 

Wie wird man Opfer von Ransomware?

Es ist eher die Ausnahme, dass ein einzelnes Unternehmen als Ziel für einen Ransomware-Angriff ins Visier genommen wird. In der Regel handelt es sich um Massenkampagnen, die auf verschiedenen Wegen verbreitet werden:


Phishing E-Mails und Social Engineering

Social Engineering nutzt typische menschliche Empfindungen, wie zum Beispiel Neugierde, Hilfsbereitschaft, Angst, Unsicherheit, Langeweile oder Schamgefühl aus, in der Hoffnung, dass das Urteilsvermögen der Opfer auf Grund ihrer emotionalen Reaktion auf der Strecke bleibt. Cyberkriminelle versuchen im E-Mailtext die Gefühle der Opfer anzusprechen – beispielsweise mit der Zusendung vermeintlicher Bewerbungsunterlagen - um unmittelbar eine erwünschte Aktion hervorzurufen.

Beispiel einer klassischen Phishing E-Mail

Beispiel einer klassischen Phishing E-Mail

Fallen die Empfänger auf den E-Mailköder herein und klicken auf den bereitgestellten Link oder öffnen sie den präparierten E-Mailanhang, waren die Angreifer erfolgreich. Die Schadsoftware (Payload) wird nachgeladen und die Ransomware kann sich über das Endgerät im System ausbreiten.

Drive-by-Downloads und Malvertising

Für Drive-by-Infektionen kompromittieren Cyberkriminelle die Websites seriöser Anbieter. Das Aufrufen der Website sorgt dafür, dass die dort eingeschleuste Ransomware im Hintergrund heruntergeladen und ausgeführt wird. Ähnlich funktioniert Malvertising, bei der Kriminelle eine infizierte digitale Werbeanzeige schalten. Für das Ausführen des Schadcodes genügen entweder ein Klick auf die Anzeige oder das Aufrufen der Website, auf der sie platziert ist.

Um schlagkräftig agieren zu können und die Erfolgschancen ihrer Ransomware-Kampagnen zu erhöhen, setzen Cyberkriminelle zunehmend Exploit Kits ein. Exploits bezeichnen Schwachstellen und Sicherheitslücken in Firmware und Software, die „ausgebeutet“, also für bösartige Zwecke missbraucht werden können. Die über Phishing, Drive-by-Downloads oder Malvertising verbreiteten Exploit Kits sind Programme, die automatisiert nach einer Vielzahl von Schwachstellen in einem System suchen.

Haben sie eine oder mehrere der gesuchten Schwachstellen entdeckt, laden sie die Schadsoftware nach. Das Ausnutzen von Schwachstellen erfüllt den Zweck, Cyberkriminellen möglichst schnell weitreichenden Zugriff auf das IT-System zu ermöglichen und der frühzeitigen Erkennung durch Antivirensoftware zu entgehen.

 

Wie schützt man sich vor Ransomware?

Schwachstellen in IT-Systemen können darüber entscheiden, ob man Ransomware zum Opfer fällt, oder nicht. Für Unternehmen sowie IT-Dienstleister, MSPs, MSSPs und Systemhäuser besteht die beste Prävention darin, die Widerstandsfähigkeit der IT-Systeme zu erhöhen. Dazu müssen sie auf mehreren Ebenen ansetzen:


Vorbereitung für den Ernstfall

Das Ausarbeiten von Recovery-Plänen kann selbst bei einem erfolgreichen Angriff die Verwundbarkeit erheblich reduzieren. Als letzte Verteidigungslinie im Ernstfall sollten Notfallpläne die folgenden Bereiche abdecken:

  • Maßnahmen zur Eindämmung der Ausbreitung und Schutz der noch nicht-betroffenen Systeme

  • Wie müssen Back-ups durchgeführt und gesichert werden, damit sie auch im Notfall schnell bereit stehen?

  • Unter welchen Bedingungen ist eine Wiederherstellung sinnvoll und wie soll sie ablaufen?

  • Wie sichert man Spuren für eine spätere forensische Analyse?

 

Gewissenhafte Cyber-Hygiene

Im IT-Alltag gilt es, die Gegebenheiten und Abläufe des IT-Systems so zu gestalten, dass die Angriffsfläche für Ransomware möglichst klein bleibt. Zu den Best Practices in der Prävention gehören:

  • Segmentierte und isolierte Netzwerk-Topografien

  • Einsatz einer Network Detection and Response (NDR)-Lösung

  • Regelmäßige Backups

  • Unmittelbares Einspielen verfügbarer Updates auf allen Systemkomponenten

  • Erneuern von Software und Hardware mit abgelaufenem Security-Support

  • Systematisches Patch- und Schwachstellenmanagement

  • Zugangskontrollmanagement

  • Zwei-Faktor-Authentifizierung bei Cloud- und Webservices

  • Deaktivieren unnötiger Wartungsverbindungen

  • Allow-Listing von Anwendungen

  • Regelmäßige IT-Security-Trainings

 

Ist der Ransomware Schutz ausreichend? Lywand prüft!

Die anhaltende Professionalisierung der Cyberkriminalität führt dazu, dass die Angriffsvektoren immer spezieller werden. Schwachstellen, die gegenwärtig nur geringe Relevanz für die IT-Sicherheit besitzen, können schon bald gezielt ausgenutzt werden.

Den Überblick zu behalten und zuverlässig einschätzen zu können, inwieweit die Sicherheitsmaßnahmen gegen Ransomware ausreichend sind, wird immer schwieriger. Lywand unterstützt Unternehmen, IT-Dienstleister, MSPs, MSSPs und Systemhäuser darin, IT-Umgebungen zuverlässig zu überprüfen.

Lywand’s Security Audit Plattform verfügt über eine eigenständige Bewertungskategorie des Ransomware Schutzes. Die Bewertungsskala von A-F stellt auf einen Blick die Anfälligkeit der IT-Umgebung für einen Ransomware Angriff dar.

Neue Kategorie Ransomware

Dazu werden technische Eigenschaften, wie die Aktualität installierter Software und des Anti-Virenschutzes, der Zustand der Firewall, die Web Traffic- und E-Mailsicherheit sowie die Makro-Sicherheit automatisiert überprüft.

Übersicht der Unterkategorien, die von lywand überprüft werden

Übersicht der Unterkategorien, die von lywand überprüft werden

Nicht-technische Voraussetzungen, wie Backup-Routinen und Sicherheitsbewusstsein werden über Fragebögen erhoben und fließen in die Bewertung ein.

Fragebogen für Backups über Verwendung, Häufigkeit, Online/Offline und Wiederherstellung

Fragebogen zu Backups auf dessen Basis dann Maßnahmen kreiert werden

Daraus entwickelt die Plattform einen individuellen Maßnahmenkatalog, mit der die IT-Sicherheitslage verbessert und der Schutz gegen Ransomware Angriffe erhöht werden kann.

Beispielhaft Maßnahmen für Ransomware Schwachstellen

Beispielhafter Renovierungsplan mit Ransomware Maßnahmen

Sie wollen mehr erfahren?

In der Demo Session gibt es einen Live-Rundgang durch die Security Audit Plattform von lywand. Wir zeigen die wichtigsten Funktionen und besprechen gemeinsam mit Ihnen, welche Einsatzszenarien sich für Sie ergeben und wie Sie optimal von lywand profitieren können.

Thomas Haak

29. November 2022

Kategorie

Ratgeber

Das könnte Sie auch interessieren

Unternehmen

Rückblick 2022

Das Jahr 2022 war für lywand ein Jahr voller Veränderungen und Fortschritte. In diesem Artikel blicken wir auf das vergangene Jahr zurück und geben Ihnen eine Vorschau auf die Entwicklungen, die uns im Jahr 2023 erwarten.

18. Januar 2023
Neue kritische Sicherheitslücke in Confluence von Atlassian

Sicherheitslücke

Sicherheitslücke in Microsoft Systemen

Die Einstufung der Sicherheitslücke in Microsoft-Systemen wurde von "wenig riskant" auf "kritisch" angehoben. Das bedeutet, dass Angreifer durch Ausnutzen der Schwachstelle Schadcode auf betroffene Systeme einschleusen können.

22. Dezember 2022
Produktlaunch: Der interne Audit

Pressemitteilung

Launch des internen Audits

Am 25. Oktober 2022 findet der Launch des internen Scans statt. Ab sofort können IT-Dienstleister, Reseller und Systemhäuser auch Endgeräte und Server ihrer Kunden in einem automatisierten Scan überprüfen. Weitere Informationen sowie Details zum neuen Consumption-Modell erhalten Sie in der Pressemitteilung.

25. Oktober 2022