Erfahren Sie, welche Beweggründe hinter Ransomware stecken und wie Angriffe durchgeführt werden.
Schutz vor RansomwareBei Ransomware handelt es sich um schändlichen Code oder Aktionen, die Angreifer einsetzen, um den Betrieb einer Organisation zu stören, typischerweise indem sie ihre Daten in Geiselhaft nehmen. Ziel ist es, ein Unternehmen zur Zahlung eines Lösegelds zu zwingen, damit es zu seinem normalen Betrieb zurückkehren kann.
Es ist fast unmöglich, eine Organisation so weit zu schützen, dass sie für Ransomware-Angriffe völlig unangreifbar ist. Es ist jedoch möglich, ihren Schutz wesentlich zu optimieren, um die schlimmsten Auswirkungen eines Angriffs abzumildern oder die Wahrscheinlichkeit, überhaupt angegriffen zu werden, zu verringern.
Der Versuch, alle Arten von Ransomware aufzuzählen, kann zu einer wahren Verfolgungsjagd werden. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) bezeichnet Ransomware als eine „sich ständig weiterentwickelnde Form von Malware“. Zu den häufigeren Ransomware-Varianten gehören die folgenden:
Ransomware zielt darauf ab, ein Opfer dazu zu zwingen, Lösegeld zu bezahlen. Dabei folgt die Malware, die ein Angreifer bei einem Ransomware-Angriff einsetzt, einem bestimmten Muster: Sie dringt in das System ein, verschlüsselt böswillig die Daten und erzwingt dann von dem Unternehmen oder der Person das Lösegeld.
Wie bereits erwähnt, ist die doppelte Erpressung immer häufiger geworden. Für moderne Angreifer reicht es nicht aus, den Zugriff auf die Daten eines Unternehmens zu blockieren. Sie sehen auch einen Wert darin, die Daten zu stehlen und eine zusätzliche Zahlung zu verlangen, um sie zurückzugeben.
Die Auswirkungen von Ransomware auf Netzwerksysteme können je nach Art der Schutzmaßnahmen und Reaktionszeit variieren. Sobald der Zugriff erfolgt ist, können Angreifer mithilfe von Post-Exploitation-Frameworks die Umgebung durchsuchen und sich erweiterte Rechte verschaffen. Wenn ein Bedrohungsakteur vollständigen Zugriff erhält, könnte er das gesamte Netzwerk verschlüsseln, was wiederum zu einer vollständigen Unterbrechung des Geschäftsbetriebs führen würde.
Infizierte Endpunkte im größeren Netzwerk-Ökosystem könnten die Bedrohung für eine gewisse Zeit eindämmen, aber es ist ein Wettlauf mit der Zeit, bevor sich die Malware ausbreitet. Um den Umfang eines Angriffs zu begrenzen, ist die schnelle Entfernung dieser infizierten Assets von entscheidender Bedeutung.
Ransomware ist in der heutigen Welt allgegenwärtig. Sehen wir uns einige aktuelle bemerkenswerte Beispiele an.
Der WannaCry Ransomware-Angriff von 2017 ist eines der bemerkenswertesten und berüchtigtsten Beispiele für Ransomware in jüngster Zeit. Die Ransomware unterschied sich von herkömmlicher Ransomware dadurch, dass sie eine Komponente enthielt, die anfällige Systeme finden und sich schnell verbreiten konnte. Aufgrund dieses Verhaltens ist diese Art von Ransomware als Wurm bekannt, der sich seinen Weg durch ein Netzwerk bahnt und maximalen Schaden anrichtet.
Da sowohl traditionelle Phishing-Taktiken als auch das Wurmformat der Malware zum Einsatz kamen, war sie besonders bösartig und sorgte weltweit für Aufsehen. Es wurde ein Bitcoin-Lösegeld von Anwendern und Organisation gefordert, die in der Regel nicht über aktuelle Software und/oder mangelnde Vorkehrungen in Bezug auf Berechtigungen, Passwörter und Zugangsdaten verfügten.
Ähnlich wie WannaCry wurde die Petya-Ransomware typischerweise eingesetzt, um sich leicht zu verbreiten und Schwachstellen schnell zu lokalisieren. Die Benutzer erhielten eine Aufforderung zum Neustart, woraufhin ihre Systeme nicht mehr verfügbar waren. Petya wurde zunächst als bösartiger E-Mail-Anhang verbreitet, der ein System infizierte, nachdem ein Nutzer auf den Anhang geklickt hatte und dieser lokal heruntergeladen wurde.
Der erste Petya-Angriff richtete in der gesamten Ukraine großen Schaden an und beeinträchtigte die Bankeninfrastruktur sowie andere kritische Sektoren des Landes schwer. Von dort aus konnte es sich wie ein Lauffeuer über ganz Europa verbreiten. Eine nachfolgende Variante, genannt NotPetya, verfügte über noch mehr bösartige Fähigkeiten als die Originalversion und verursachte Schäden in Milliardenhöhe.
Das vielleicht hartnäckigste dieser Beispiele, CryptoLocker, lockte seine Opfer in erster Linie mit Phishing-E-Mails mit bösartigen Anhängen. Dies könnte ein guter Zeitpunkt sein, innezuhalten und die Vorzüge von Schulung für Sicherheitsbewusstsein hervorzuheben. Nicht alle, aber viele dieser Angriffe erfordern eine Aktion seitens des Nutzers, um auf seine Systeme zugreifen zu können. Daher ist es wichtig, dass die Mitarbeiter wissen, welche Maßnahmen sie ergreifen sollten und welche nicht.
Bemerkenswert ist, dass CryptoLocker besonders effektiv war, weil die Cyberkriminellen die Aktionen bekannter Unternehmen wie FedEx und UPS nachahmten. Asymmetrische Verschlüsselung wird verwendet, um Nutzer von ihren Dateien auszuschließen. Das bedeutet, dass zwei Schlüssel verwendet werden: einer für die Verschlüsselung und einer für die Entschlüsselung.
Ransomware kann verhindert werden, indem wichtige Best-Practice-Verhaltensweisen befolgt werden, die sich durch das gesamte Sicherheitsprogramm ziehen sollten. Wenn man genauer hinschaut, gibt es zwei Schlüsselphasen eines Ransomware-Angriffs, in denen Maßnahmen von entscheidender Bedeutung sind, um das Risiko zu verringern und die schlimmsten Auswirkungen eines Angriffs zu verhindern.
Vermeiden Sie es, erneut Opfer eines Angriffs zu werden, indem Sie die ursprünglichen Zugriffs- und Ausführungsvektoren des ersten Angriffs identifizieren und beseitigen, um eine vollständige Ausschaltung des Angreifers zu gewährleisten.
Ransomware kann durch Scannen von Netzwerken mit einer effektiven Anti-Malware-Lösung entfernt werden. Teams sollten in der Lage sein, Ransomware/Malware automatisch zu untersuchen und einzudämmen, bevor sie echten Schaden anrichten kann.
Nach dem Scannen und Erkennen empfiehlt es sich, das Domänenkonto eines angegriffenen Nutzers schnell aus der lokalen Administratorgruppe zu entfernen. Nutzerkonten mit Administratorrechten ermöglichen automatisierte und gezielte Angriffe auf Systemebene sowie eine einfache Installation von Ransomware.
Darüber hinaus können Systemadministratoren Entscheidungspunkte für Sicherheitsanalysten generieren, um infizierte Benutzerkonten und Malware-Kommunikation zu blockieren oder Geräte vollständig aus dem Netzwerk zu isolieren. Indem Prozesse zur Verlangsamung der Infektion automatisiert werden, haben die Sicherheitskräfte mehr Zeit, um die Ransomware-Bedrohung vollständig zu beseitigen.
Ransomware-Statistik 2023: Ein Blick zurück, um vorauszuplanen
Erfahren Sie mehr über die Ransomware-Präventionslösung von Rapid7
Ransomware-as-a-Service (RAS) – Spickzettel
Ransomware: Neueste Rapid7-Blogbeiträge
Bericht: Schwachstellen: Trends bei der Offenlegung von Ransomware-Daten