Ransomware is malware that employs encryption to hold a victim’s information at ransom. d. h. die wichtigsten Daten eines Benutzers oder Unternehmens werden verschlüsselt, sodass Dateien, Datenbanken oder Anwendungen nicht mehr aufgerufen werden können. Dann wird das Opfer zur Zahlung eines Lösegelds aufgefordert, wenn es den Zugriff auf die Daten zurückerhalten möchte. Ransomware ist oft so konzipiert, dass sie sich im ganzen Netzwerk sowie auf den angegriffenen Datenbank- und Datei-Servern verteilt, was schnell zur Lähmung des gesamten Unternehmens führen kann. Ransomware ist eine zunehmende Bedrohung, durch die Cyber-Kriminelle Milliarden einnehmen und Unternehmen sowie staatlichen Einrichtungen enorme Schäden und Kosten entstehen.
Ransomware uses asymmetric encryption. Bei dieser Form der Kryptografie wird eine Datei mit einem Schlüsselpaar ver- und entschlüsselt. Der Angreifer generiert das einmalige öffentlich-private Schlüsselpaar für das Opfer, wobei der private Schüssel für die Entschlüsselung der Dateien auf dem Server des Angreifers abgelegt wird. Dabei verspricht der Angreifer dem Opfer, den privaten Schlüssel nach Zahlung eines Lösegeldes auszuhändigen – ein Versprechen, das in der Vergangenheit nicht immer gehalten wurde. Ohne Zugang zu diesem privaten Schlüssel ist es praktisch unmöglich, die in Geiselhaft genommenen Dateien zu entschlüsseln.
Ransomware gibt es in zahlreichen Variationen. Oft wird Ransomware (und andere Schadsoftware bzw. Malware) über E-Mail-Spam-Kampagnen oder gezielte Angriffe übertragen und benötigt einen Angriffsvektor, um sich auf dem Endgerät zu verankern. Wenn die Malware einmal auf das System gelangt ist, bleibt sie dort, bis das Ziel erreicht wurde.
Nach der erfolgreichen Ausnutzung einer Schwachstelle wird die Ransomware abgelegt und als böswillige (d. h. schädliche) Binärdatei auf dem infizierten System ausgeführt. Diese Binärdatei sucht und verschlüsselt dann wertvolle Dateien, z. B. Microsoft Word-Dokumente, Bilder, Datenbanken usw. Die Ransomware kann auch System- und Netzwerkschwachstellen ausnutzen, um sich auf andere Systeme und potenziell im gesamten Unternehmen auszubreiten.
Sobald die Dateien verschlüsselt sind, fordert die Ransomware den Benutzer auf, innerhalb von 24 bis 48 Stunden ein Lösegeld zu zahlen. Zudem wird damit gedroht, dass die Dateien andernfalls für immer verloren sind. Wenn keine Datensicherung zur Verfügung steht oder diese Datensicherungen ebenfalls verschlüsselt wurden, muss das Opfer das Lösegeld zahlen, um seine persönlichen Dateien zurückzubekommen.
Ransomware-Angriffe und ihre Varianten entwickeln sich ständig weiter, um den Schutztechnologien immer einen Schritt voraus zu bleiben. Das geht aus folgenden Gründen so schnell:
Kriminelle müssen heute nicht einmal technisch versiert sein. Ransomware-Marktplätze sprießen aus dem Online-Boden und bieten Malware-Varianten für alle Möchtegern-Cyber-Kriminellen an. Die Malware-Autoren lassen sich gern mit einem Anteil der Lösegeldzahlungen bezahlen und streichen damit einen zusätzlichen Gewinn ein.
Da für die Lösegeldzahlung anonyme Kryptowährungen wie Bitcoin verwendet werden, ist es schwer, der Spur des Geldes zu folgen und die Kriminellen aufzuspüren. Cyber-kriminelle Gruppen entwickeln zunehmend Ransomware-Taktiken, mit denen sie schnelles Geld machen können. Durch die leichte Verfügbarkeit von Open-Source-Code und Drag-and-Drop-Plattformen zur Ransomware-Erstellung kommen immer mehr neue Ransomware-Varianten auf den Markt und auch Neulinge können ganz einfach eigene Varianten kreieren. Moderne Malware wie Ransomware ist meist polymorph, sodass Cyber-Kriminelle problemlos herkömmliche signaturbasierte Sicherheitsmaßnahmen überwinden können, die auf Datei-Hashes basieren.
Ransomware-as-a-Service ist ein Cyber-kriminelles Geschäftsmodell, bei dem Malware-Entwickler mit ihren Kreationen Geld verdienen können, ohne ihre Schadsoftware selbst verbreiten zu müssen. Kriminelle ohne Technikkenntnisse kaufen die fertigen Produkte und starten die Infektionen, während die Entwickler einen Teil der Lösegeldeinnahmen erhalten. Die Entwickler gehen dabei relativ wenige Risiken ein, während deren Kunden die meiste Arbeit übernehmen. Einige Ransomware-as-a-Service-Anbieter setzen auf Abonnements, während andere für den Zugriff auf die Ransomware eine Registrierung verlangen.
Um Ransomware-Angriffe zu verhindern und im Falle eines Angriffs Schäden zu beheben, sollten Sie diese Tipps befolgen:
Bei der Untersuchung und Behandlung von Problemen mit Ransomware stoßen unsere Incident-Response-Experten häufig auf die folgenden Trends.
Die mittlere Verweildauer bei Ransomware-Angriffen beträgt 72,75 Tage. Zum Vergleich: Der Wert für alle Bedrohungen zusammen (einschließlich Ransomware) liegt bei 56 Tagen.
Days of the week highlighted above represent when deployment and execution of the ransomware attack begins, not when the attacker gains initial access.
Focus on attacker behavior to reduce the average dwell time of a strategic ransomware actor
from 72 days to only 24 hours or less.
If you suspect you’ve been hit with a ransomware attack, it’s important to act quickly. Zum Glück können Sie verschiedene Maßnahmen ergreifen, um Schäden mit hoher Wahrscheinlichkeit zu minimieren und schnell zu den gewohnten Abläufen zurückzukehren.
Angesichts wochen- oder monatelanger Wiederherstellungsarbeiten kann es verlockend sein, der Lösegeldforderung nachzukommen. Es gibt jedoch einige Gründe, die dagegen sprechen.