Alles über Ransomware: Ziele, Angriffsweise und Prävention
Die Zahl der Ransomware Angriffe hat sich in den vergangenen Jahren vervielfacht, Tendenz weiterhin steigend. Sowohl für Unternehmen als auch MSSPs, Systemhäuser und IT-Dienstleister haben Prävention und Abwehr von Ransomware Angriffen oberste Priorität in ihrer IT-Security-Strategie.
Wie funktioniert Ransomware und was muss man beachten, um sich davor zu schützen? Wir geben im Überblick Antworten auf die häufigsten Fragen.
Was ist ein Ransomware Angriff?
Ein Ransomware Angriff (englisch „ransom“, „Lösegeld“) dient dem Ziel, auf digitalem Weg durch Erpressung von Opfern Geld zu erbeuten. Dabei kann es sich sowohl um Privatpersonen mit nur einem Endgerät oder Unternehmen mit umfangreicher Netzwerkinfrastruktur handeln.
Die Erpressersoftware wird ins System der Opfer eingeschleust und verschlüsselt dort gespeicherte Daten oder blockiert den Zugriff auf essenzielle Systeme. Schließlich folgt die Forderung einer Lösegeldsumme, nach deren Zahlung die Opfer wieder Zugriff auf die gekaperten Daten und Systemkomponenten erhalten sollen. Zu leisten ist die Zahlung in einer Kryptowährung, womit die Kriminellen keine Spuren hinterlassen.
Warum nutzen Cyberkriminelle Ransomware?
Für Cyberkriminelle ist ein Ransomware Angriff ein mächtiger Hebel, denn die Opfer können diesem kaum etwas entgegensetzen. Die Entschlüsselung der durch Ransomware verschlüsselten Daten mit Decryption Software ist nur sehr begrenzt möglich und nur selten erfolgreich.
Der Leidensdruck auf Seiten der Opfer ist somit überaus hoch. Trifft sie ein Ransomware Angriff unvorbereitet, bedeutet dies für sie Verluste und hohe Kosten. Den Tätern ist dies bewusst, weshalb sie die Höhe des Lösegelds vergleichsweise niedrig ansetzen.
Da die Zahlung zunächst wie die einfachste Lösung wirkt, ist die Bereitschaft der Opfer, diese zu leisten – und somit die Erfolgschancen der Kriminellen - sehr hoch. Ob die Geschädigten wirklich wieder Zugriff auf ihre Daten erhalten, ist allerdings nicht gewährleistet.
Die Vorteile von Ransomware Angriffen für Kriminelle liegen auf der Hand:
Digitalisierung und Vernetzung bieten einen wachsenden Pool an Angriffszielen
Die Kosten für Erstellung und Verteilung der Software sind gering
Hohe Erfolgsquote auch bei breit angelegten Ransomware Kampagnen
Lösegeldzahlungen lassen sich nicht nachverfolgbar abwickeln
Ransomware Angriffe sind für Kriminelle in der Mehrheit der Fälle Massenware. Ihren Gewinn erzielen sie durch die Summe an kleinen Lösegeldbeträgen aus erfolgreichen Angriffen.
Welche Schäden entstehen durch Ransomware Angriffe?
Ransomware ist überaus gefürchtet, weil ein erfolgreicher Angriff massive Schäden auf verschiedenen Ebenen anrichten kann. Die unmittelbaren Folgen eines erfolgreichen Angriffs sind offensichtlich:
Unersetzbarer Verlust von Unternehmensdaten
Ausfall des Geschäftsbetriebs und Umsatzverlust durch blockierte kritische IT-Systeme
Kosten für die Wiederherstellung oder das Neu-Aufsetzen von IT-Systemen
Je nach dem können noch weitere Auswirkungen hinzukommen:
Rechtliche Konsequenzen bei Verlust sensibler Kundendaten bis hin zu Strafzahlungen
Medienaufmerksamkeit und Negativschlagzeilen
Beschädigtes Unternehmensimage und Vertrauensverlust bei Kunden
Warum ist Ransomware eine anhaltend schwere Bedrohung?
Unter Cyberkriminellen ist Ransomware ein äußerst lukratives Geschäftsmodell. Um mehr Profit daraus schlagen zu können, haben sie diese in den vergangenen Jahren verbessert und ihre Kapazitäten effizient organisiert. Daraus ist ein krimineller Markt mit spezialisierten Dienstleistungen entstanden, der anhaltenden Zulauf verzeichnet und dessen Entwicklung beunruhigend ist:
Niedrige Preise: Die Kosten einer Ransomware Kampagne sind durch die massenhafte Verfügbarkeit gefallen. Die Verbreitung ist bereits mit Beträgen von wenigen hundert Euro möglich.
Ransomware-as-a-Service: Arbeitsschritte für Ransomware Angriffe sind als Dienstleistung erhältlich. Entwickler vermieten ihre Software an "Affiliates", die die Kampagnen durchführen. Die erzielten Erpressungsgelder teilen sie sich. Andere Dienstleister bieten mietbare Botnetze zum automatisierten Verbreiten von Schadsoftware über Emails an.
Einfache Nachwuchsrekrutierung: Mächtige Angriffswerkzeuge können schlichtweg eingekauft werden, was eine niedrige Einstiegshürde in diese Art von Kriminalität darstellt.
In der Ransomware-Szene herrscht also ein hoher Wettbewerb. Ihre Akteure stehen unter dem Druck, ihre Dienste stets zu verbessern, um auch künftig Gewinne erzielen zu können. Auf Grund dieser fortschreitenden Professionalisierung ist Ransomware auch in Zukunft ein ernst zu nehmender Angriffsvektor für Unternehmen.
Wie wird man Opfer von Ransomware?
Es ist eher die Ausnahme, dass ein einzelnes Unternehmen als Ziel für einen Ransomware-Angriff ins Visier genommen wird. In der Regel handelt es sich um Massenkampagnen, die auf verschiedenen Wegen verbreitet werden:
Phishing E-Mails und Social Engineering
Social Engineering nutzt typische menschliche Empfindungen, wie zum Beispiel Neugierde, Hilfsbereitschaft, Angst, Unsicherheit, Langeweile oder Schamgefühl aus, in der Hoffnung, dass das Urteilsvermögen der Opfer auf Grund ihrer emotionalen Reaktion auf der Strecke bleibt. Cyberkriminelle versuchen im E-Mailtext die Gefühle der Opfer anzusprechen – beispielsweise mit der Zusendung vermeintlicher Bewerbungsunterlagen - um unmittelbar eine erwünschte Aktion hervorzurufen.
Fallen die Empfänger auf den E-Mailköder herein und klicken auf den bereitgestellten Link oder öffnen sie den präparierten E-Mailanhang, waren die Angreifer erfolgreich. Die Schadsoftware (Payload) wird nachgeladen und die Ransomware kann sich über das Endgerät im System ausbreiten.
Drive-by-Downloads und Malvertising
Für Drive-by-Infektionen kompromittieren Cyberkriminelle die Websites seriöser Anbieter. Das Aufrufen der Website sorgt dafür, dass die dort eingeschleuste Ransomware im Hintergrund heruntergeladen und ausgeführt wird. Ähnlich funktioniert Malvertising, bei der Kriminelle eine infizierte digitale Werbeanzeige schalten. Für das Ausführen des Schadcodes genügen entweder ein Klick auf die Anzeige oder das Aufrufen der Website, auf der sie platziert ist.
Um schlagkräftig agieren zu können und die Erfolgschancen ihrer Ransomware-Kampagnen zu erhöhen, setzen Cyberkriminelle zunehmend Exploit Kits ein. Exploits bezeichnen Schwachstellen und Sicherheitslücken in Firmware und Software, die „ausgebeutet“, also für bösartige Zwecke missbraucht werden können. Die über Phishing, Drive-by-Downloads oder Malvertising verbreiteten Exploit Kits sind Programme, die automatisiert nach einer Vielzahl von Schwachstellen in einem System suchen.
Haben sie eine oder mehrere der gesuchten Schwachstellen entdeckt, laden sie die Schadsoftware nach. Das Ausnutzen von Schwachstellen erfüllt den Zweck, Cyberkriminellen möglichst schnell weitreichenden Zugriff auf das IT-System zu ermöglichen und der frühzeitigen Erkennung durch Antivirensoftware zu entgehen.
Wie schützt man sich vor Ransomware?
Schwachstellen in IT-Systemen können darüber entscheiden, ob man Ransomware zum Opfer fällt, oder nicht. Für Unternehmen sowie IT-Dienstleister, MSPs, MSSPs und Systemhäuser besteht die beste Prävention darin, die Widerstandsfähigkeit der IT-Systeme zu erhöhen. Dazu müssen sie auf mehreren Ebenen ansetzen:
Vorbereitung für den Ernstfall
Das Ausarbeiten von Recovery-Plänen kann selbst bei einem erfolgreichen Angriff die Verwundbarkeit erheblich reduzieren. Als letzte Verteidigungslinie im Ernstfall sollten Notfallpläne die folgenden Bereiche abdecken:
Maßnahmen zur Eindämmung der Ausbreitung und Schutz der noch nicht-betroffenen Systeme
Wie müssen Back-ups durchgeführt und gesichert werden, damit sie auch im Notfall schnell bereit stehen?
Unter welchen Bedingungen ist eine Wiederherstellung sinnvoll und wie soll sie ablaufen?
Wie sichert man Spuren für eine spätere forensische Analyse?
Gewissenhafte Cyber-Hygiene
Im IT-Alltag gilt es, die Gegebenheiten und Abläufe des IT-Systems so zu gestalten, dass die Angriffsfläche für Ransomware möglichst klein bleibt. Zu den Best Practices in der Prävention gehören:
Segmentierte und isolierte Netzwerk-Topografien
Einsatz einer Network Detection and Response (NDR)-Lösung
Regelmäßige Backups
Unmittelbares Einspielen verfügbarer Updates auf allen Systemkomponenten
Erneuern von Software und Hardware mit abgelaufenem Security-Support
Systematisches Patch- und Schwachstellenmanagement
Zugangskontrollmanagement
Zwei-Faktor-Authentifizierung bei Cloud- und Webservices
Deaktivieren unnötiger Wartungsverbindungen
Allow-Listing von Anwendungen
Regelmäßige IT-Security-Trainings
Ist der Ransomware Schutz ausreichend? Lywand prüft!
Die anhaltende Professionalisierung der Cyberkriminalität führt dazu, dass die Angriffsvektoren immer spezieller werden. Schwachstellen, die gegenwärtig nur geringe Relevanz für die IT-Sicherheit besitzen, können schon bald gezielt ausgenutzt werden.
Den Überblick zu behalten und zuverlässig einschätzen zu können, inwieweit die Sicherheitsmaßnahmen gegen Ransomware ausreichend sind, wird immer schwieriger. Lywand unterstützt Unternehmen, IT-Dienstleister, MSPs, MSSPs und Systemhäuser darin, IT-Umgebungen zuverlässig zu überprüfen.
Lywand’s Security Audit Plattform verfügt über eine eigenständige Bewertungskategorie des Ransomware Schutzes. Die Bewertungsskala von A-F stellt auf einen Blick die Anfälligkeit der IT-Umgebung für einen Ransomware Angriff dar.
Neue Kategorie Ransomware
Dazu werden technische Eigenschaften, wie die Aktualität installierter Software und des Anti-Virenschutzes, der Zustand der Firewall, die Web Traffic- und E-Mailsicherheit sowie die Makro-Sicherheit automatisiert überprüft.
Nicht-technische Voraussetzungen, wie Backup-Routinen und Sicherheitsbewusstsein werden über Fragebögen erhoben und fließen in die Bewertung ein.
Daraus entwickelt die Plattform einen individuellen Maßnahmenkatalog, mit der die IT-Sicherheitslage verbessert und der Schutz gegen Ransomware Angriffe erhöht werden kann.
Sie wollen mehr erfahren?
In der Demo Session gibt es einen Live-Rundgang durch die Security Audit Plattform von lywand. Wir zeigen die wichtigsten Funktionen und besprechen gemeinsam mit Ihnen, welche Einsatzszenarien sich für Sie ergeben und wie Sie optimal von lywand profitieren können.