Bedrohungen

Ransomware – Was ist das? Wie kann man sich schützen?

Ransomware ist eine Art bösartiger Software (Malware), die droht, Daten oder ein Computersystem zu veröffentlichen oder den Zugriff darauf zu blockieren, normalerweise durch Verschlüsselung, bis das Opfer eine Lösegeldgebühr an den Angreifer zahlt. In vielen Fällen ist die Lösegeldforderung mit einer Frist versehen. Zahlt das Opfer nicht rechtzeitig, sind die Daten für immer weg oder das Lösegeld steigt. Ransomware-Angriffe sind heutzutage allzu häufig. Sowohl große Unternehmen in Nordamerika als auch in Europa sind ihm zum Opfer gefallen. Cyberkriminelle greifen jeden Verbraucher oder jedes Unternehmen an, und die Opfer kommen aus allen Branchen.

Was ist Ransomware?

Ransomware ist eine Art von Malware und Cyberkriminalität, die Daten gegen Lösegeld bereithält. Der Zugriff auf Daten in Computernetzwerken, mobilen Geräten und Servern ist gesperrt, bis das Opfer ein Lösegeld zahlt. Häufige Ziele von Ransomware sind Einzelpersonen, Unternehmen, Organisationen wie Krankenhäuser, Regierungen und Bildungseinrichtungen. Die zwei Haupttypen von Ransomware sind Krypto-Ransomware und Locker-Ransomware.

Ransomware kann mehrere Formen annehmen. Eine der häufigsten Ransomware-Angriffsmethoden ist die Nutzung eines Phishing -Betrugs. Eine sorgfältig formulierte E-Mail fordert den Empfänger auf, einen Anhang zu öffnen oder eine Datei herunterzuladen. Diese Aktion installiert Vektor-Ransomware, die den Computer übernimmt und das gesamte Computernetzwerk infiltrieren kann, wodurch jeder von seinen Computern, dem Netzwerk und anderen verbundenen Systemen ausgeschlossen wird.

Das Ziel von Ransomware ist es, das Opfer davon zu überzeugen, ein Lösegeld zu zahlen, um seine Daten freizugeben. Typischerweise verlangen die Kriminellen hinter Ransomware-Angriffen eine Zahlung in Kryptowährung. Dies liegt an seiner weitgehend unauffindbaren Natur. Sobald die Zahlung gesichert ist, erhält das Opfer einen Freischaltcode oder eine Entschlüsselungsdatei, die die Daten im Computernetzwerk, auf dem Mobilgerät oder auf den Servern freigibt.

Haupttypen von Ransomware

Krypto-Ransomware

Als häufigste Art von Ransomware verschlüsseln sie Daten, Informationen oder Dateien auf den Geräten der Opfer. Das Opfer kann in der Regel die Daten einsehen und das System sogar nutzen. Aufgrund der Verschlüsselung können sie jedoch nicht auf die Daten zugreifen. Krypto-Ransomware fordert die Opfer auch zur Zahlung auf. Wenn der Benutzer das Zeitlimit überschreitet, werden alle verschlüsselten Daten dauerhaft gelöscht.

Locker Ransomware

Diese Arten von Ransomware verhindern, dass Benutzer auf ihre Systeme zugreifen. Meistens können Benutzer nur den Sperrbildschirm sehen oder mit einem Bildschirm interagieren, der die Lösegeldforderung enthält. Die Maus und die Tastatur werden teilweise aktiviert, um die Zahlung an den Angreifer einzuleiten. Locker zerstören normalerweise keine Daten, sie hindern Benutzer nur daran, darauf zuzugreifen. Ein Timer mit einer Verzögerung erscheint, um das Opfer zur Zahlung zu verleiten.

Scareware

Scareware versucht normalerweise, Benutzer mit einer alarmierenden Nachricht zu erschrecken und sie so dazu zu verleiten, Malware herunterzuladen. Angreifer verwenden häufig Eingabeaufforderungen, die offiziell und legitim aussehen, und verleiten den Benutzer dazu, schnell zu handeln, ohne ihm viel Zeit zum Nachdenken oder Analysieren zu geben. Aufforderungen können ein Popup-Fenster, eine Drohnachricht oder eine gefälschte Schaltfläche sein, die alarmierende Nachrichten anzeigt, wie zum Beispiel: „Ihr PC ist langsam. Beschleunigen Sie ihn jetzt“ oder „Angreifer können Ihre IP-Adresse sehen, schützen Sie sie . du jetzt.“ Benutzer, die den Köder schlucken, erlauben Ransomware, in ihre Systeme einzudringen und sie zu sperren oder ihre Daten zu verschlüsseln.

Leakware

Bei Leakware droht der Angreifer damit, die Daten nicht zu vernichten, sondern öffentlich zugänglich zu machen. Leak-Angriffe, auch bekannt als Doxware, zielen auf Organisationen wie Banken und Regierungsbehörden ab, die mit vertraulichen oder sensiblen Daten arbeiten.

Ransomware als Service (RaaS)

RaaS bedeutet, dass Hacker ein SaaS-ähnliches Geschäftsmodell verwenden, um Ransomware-Angriffe auszuführen. RaaS funktioniert wie ein Affiliate-Netzwerk, das es Cyberkriminellen mit einfacher Technologie ermöglicht, sich in RaaS einzuklinken und Ransomware-Angriffe zu starten. Mitglieder der Partnerorganisation erhalten einen Prozentsatz der Lösegeldzahlung. Das RaaS-Modell ist einer der Hauptgründe für die dramatische Zunahme von Ransomware-Angriffen in der jüngeren Vergangenheit, da es die Barriere der für einen Angriff erforderlichen Programmierkenntnisse beseitigt.

Was sind die Ransomware-Techniken?

Dateiverschlüsselung

Crypto-Ransomware verwendet entweder symmetrische oder asymmetrische Dateiverschlüsselung. Die symmetrische Verschlüsselung verwendet denselben Schlüssel zum Verschlüsseln und Entschlüsseln der Daten. Die asymmetrische Verschlüsselung verwendet einen öffentlichen Schlüssel zum Verschlüsseln der Daten und einen privaten Schlüssel zum Entschlüsseln der Daten.

Die symmetrische Verschlüsselung ist eine viel schnellere Methode zum Verschlüsseln von Daten und Dateien. Wenn das Opfer den Schlüssel entdeckt, ist es viel einfacher, die Daten zu entschlüsseln. Bei der asymmetrischen Verschlüsselung muss sich der Kriminelle keine Sorgen um den Schutz des öffentlichen Schlüssels machen, da er die Daten nicht entschlüsseln kann. Savvy Crypto Ransomware verwendet eine Kombination aus symmetrischer und asymmetrischer Dateiverschlüsselung. Gängige Arten der Dateiverschlüsselung sind heruntergeladene öffentliche Schlüssel, eingebettete öffentliche Schlüssel und eingebettete symmetrische Schlüssel.

Bildschirmsperre

Locker-Ransomware verwendet eine Bildschirmsperre, um das Opfer von seinem Computer oder Mobilgerät auszuschließen. Das bedeutet, dass das Opfer auf nichts auf dem Computer oder Mobilgerät zugreifen kann, einschließlich des Betriebssystems oder anderer Netzwerkdienste. Oft wird eine Lösegeldforderung in einer Endlosschleife auf dem Bildschirm angezeigt. Der Bildschirm kann einen Countdown-Timer oder eine steigende Lösegeldforderung enthalten.

Gängige Arten der Bildschirmsperre sind Windows-Locker-Ransomware, Browser-Sperren und Android-Locker-Ransomware.

Wie und Warum verbreitet sich Ransomware?

Ransomware-Angriffe und ihre Varianten entwickeln sich aus mehreren Gründen schnell weiter, um präventiven Technologien entgegenzuwirken:

  • Einfache Verfügbarkeit von Malware-Kits, mit denen bei Bedarf neue Malware-Beispiele erstellt werden können
  • Verwendung bekannter guter generischer Interpreter zum Erstellen plattformübergreifender Ransomware (z. B. verwendet Ransom32 Node.js mit einer JavaScript-Payload)
  • Einsatz neuer Techniken, wie z. B. Verschlüsselung des kompletten Datenträgers statt ausgewählter Dateien

Die Diebe von heute müssen nicht einmal technisch versiert sein. Ransomware-Marktplätze sind online aus dem Boden geschossen, bieten Malware-Stämme für jeden potenziellen Cyberkriminellen und generieren zusätzlichen Gewinn für die Malware-Autoren, die oft eine Kürzung der Lösegelderlöse verlangen.

Phishing-E-Mails

Dieser Prozess beginnt, wie viele erfolgreiche Cyberangriffe, mit einer Phishing-Nachricht, die den Empfänger dazu verleitet, auf einen schädlichen Link zu klicken oder einen potenziell schädlichen Anhang herunterzuladen. Im Fall der Simulationsvorlage der Veranstaltung wurde die frühere Taktik verwendet, bei der die teilnehmenden Endbenutzer auf eine gefälschte Webseite geleitet wurden, über die die Ransomware geliefert wurde.

Webseiten

Die E-Mail und die Webseite fälschten die Microsoft SharePoint-Oberfläche für ein authentisches Erscheinungsbild. Die E-Mail-Nachricht enthielt sogar Anweisungen zum Herunterladen der Datei, was den Endbenutzer zusätzlich dazu verleitete, die Aktion abzuschließen, sobald er auf der Webseite gelandet war.

Diese Taktiken können mit minimalem Aufwand von jedem genutzt werden, der versucht, ein Gerät mit Ransomware zu infizieren und die Opfer von ihren Computern, Netzwerken und verwandten Systemen auszuschließen.

Downloader

Wenn ein Downloader einen Computer infiltriert, lädt er weitere Ransomware-Malware herunter, die den Computer oder das Mobilgerät weiter infiziert. Normalerweise ermöglicht diese Art von Ransomware Cyberkriminellen, den Computer oder das Gerät zu kontrollieren.

Werbung

Gefälschte kriminelle Werbung wird auf echten Websites angezeigt und leitet das Opfer auf eine Website, die ein Exploit-Kit hostet.

Selbstausbreitung

Die Ransomware verbreitet sich auf dem betroffenen System und greift alle Computer oder Geräte in einem freigegebenen Netzwerk an.

Verkehrsverteilungssysteme

Website-Traffic wird auf eine Website umgeleitet, die ein Exploit-Kit hostet. Das Exploit-Kit legt Computerschwächen offen und die Ransomware wird mit Drive-by-Download-Malware installiert.

Gängige Beispiele für Ransomware

Ransomware richtet nach wie vor verheerende Schäden bei Unternehmen, Banken und ihren Kunden sowie Regierungen auf der ganzen Welt an. Hier ist eine Liste der bekanntesten und berüchtigtsten Ransomware-Programme:

1.CryptoLocker

Screenshot of a Cryptolocker attack.
By Nikolai GrigorikOwn work, CC BY-SA 4.0, Link

Einer der frühesten Ransomware-Stämme, CryptoLocker, verschlüsselt die Daten der Opfer und bietet einen privaten Schlüssel zur Entschlüsselung im Austausch gegen Bitcoins oder Prepaid-Gutscheine. Die Angreifer drohen bei Überschreitung des Zeitlimits damit, den privaten Schlüssel zu löschen und den Zugriff auf die Daten dauerhaft zu verweigern.

● Entstehungsjahr: 2013
● Ziel: Computer mit Microsoft Windows
● Verteilungsmodus: Infektiöse Anhänge
● Anwendbare Gebiete: Weltweit
● Geschätzte Erpressung: 3 Millionen US-Dollar

2. BadRabbit

Bad Rabbit verschlüsselt Benutzerdateitabellen und fragt nach Bitcoins, um sie zu entschlüsseln. Betroffen waren vor allem Regierungsbehörden wie das Ministerium für Infrastruktur der Ukraine. Einige der im Code verwendeten Zeichenfolgen enthielten Charakternamen aus der beliebten Game of Thrones-Serie.

● Entstehungsjahr: 2017
● Zielgruppe: Organisationen und Verbraucher
● Verbreitung: über gefälschte Adobe Flash-Update-Anfragen
●Betroffene Gebiete: Russland, Ukraine und Osteuropa
● Erpressungsschätzung: Unbekannt, mit einer öffentlich anerkannten Lösegeldzahlung von 1 Million US-Dollar.

3. NotPetya (Petya)

Petya.A.png
Das Bildschirmfoto kann entsprechend der genannten Lizenz frei genutzt werden, Gemeinfrei, Link

Diese Malware infiziert direkt den Systemstartdatensatz und verschlüsselt das NTFS-Dateisystem. Es verhindert, dass das System das Betriebssystem startet, bis das Lösegeld bezahlt ist. Einige Wissenschaftler glauben, dass dies eher eine „Kriegshandlung“ eines Nationalstaats gegen die Ukraine ist als eine Absicht von Cyberkriminellen, Geld zu plündern.

● Entstehungsjahr: 2016
● Zielgruppe: Microsoft Windows-Computer
● Verbreitung: über infektiöse Anhänge
● Betroffene Gebiete: Hauptsächlich Ukraine
● Geschätzte Erpressung: Unbekannt

4. Cerber

Cerber ist eine RaaS-Crypto-Ransomware, die Systeme infiziert, wenn der Benutzer auf eine bösartige Werbung oder Spam klickt, die von einem Angreifer initiiert wurde.

● Entstehungsjahr: 2016
● Zielgruppe: Cloud-basierte Microsoft 365-Benutzer
● Verbreitung: Phishing-Kampagnen und Malvertising
● Betroffene Gebiete: Weltweit
● Geschätzte Erpressung: rund 2 Millionen US-Dollar im ersten Jahr

5. WannaCry

WannaCry startet einen Wurmangriff auf das Zielsystem, sperrt Daten und fordert ein Lösegeld in Kryptowährung. Es verbreitet sich sehr schnell innerhalb von Systemen. Sein Transportcode nutzt eine Schwachstelle namens EternalBlue – eine Schwachstelle für Cyberangriffe, die von der US-amerikanischen National Security Agency (NSA) entwickelt wurde –, um auf sich selbst zuzugreifen und Kopien davon zu erstellen.

● Entstehungsjahr: 2017
● Zielgruppe: Computer mit Microsoft Windows
●Verteilung: über eine Microsoft-Schwachstelle namens EternalBlue
● Betroffene Gebiete: 150 Länder weltweit
●Geschätzte Erpressung: insgesamt 327 Zahlungen in Höhe von insgesamt 130.634,77 $

6. Dharma (CrySiS)

Dharma ist ein RaaS-Betrieb, der sich an kleine und mittlere Unternehmen (KMU) richtet, die sich kein erstklassiges Cybersicherheitsteam leisten können. Es ermöglicht Angreifern, Verzeichnisdateien auf den Windows-Systemen der Opfer zu verschlüsseln. Einmal im System versteckt, infiziert es jede Datei, die dem Verzeichnis hinzugefügt wird. Bedrohungsakteure, die Dharma verwenden, verlangen oft ein relativ geringes Lösegeld von 8.000 bis 10.000 US-Dollar. Die Anzahl der Angriffe war jedoch enorm, was es zu einem der effektivsten RaaS machte, das jemals geschaffen wurde.

● Entstehungsjahr: 2016
●Zielgruppen: Verzeichnisse im Benutzerverzeichnis unter Windows
● Verbreitung: über Phishing-E-Mails oder Angriffe auf RDP (Remote Desktop Protocol)-Eintrittspunkte.
● Betroffene Gebiete: Weltweit
● Geschätzte Erpressung: 24 Millionen US-Dollar

7. Maze

Maze operiert über ein Affiliate-Netzwerk von Cyberkriminellen und zielt hauptsächlich auf SaaS-Unternehmen ab. Sobald Maze das Netzwerk eines IT-Anbieters infiziert hat, breitet es sich auch auf Kundennetzwerke aus. Maze verschlüsselt normalerweise Daten auf dem System des Opfers und droht, sie online zu veröffentlichen, es sei denn, das Lösegeld wird in Kryptowährungen gezahlt.

● Entstehungsjahr: 2019
●Zielgruppe: Firmennetzwerke mit Windows
● Verteilung: RDP-Brute-Force-Angriffe und Spam
● Betroffene Gebiete: Weltweit
● Geschätzte Erpressung: 24 Millionen US-Dollar

Wer ist ein Ransomware-Ziel?

Jede Person, jedes Unternehmen, jede Organisation oder Regierung ist ein Ziel für Ransomware. Cyberkriminelle suchen nach jedem, der bereit ist, ein Lösegeld zu zahlen, um wieder Zugriff auf ihre Daten, Computernetzwerke, Server oder Mobilgeräte zu erhalten. Cyberkriminellen ist es egal, wen sie mit ihrer Ransomware angreifen. Aus diesem Grund ist es von entscheidender Bedeutung, dass Ihre Mitarbeiter und Ihr Unternehmen cybersicher sind.

Die Benutzerfreundlichkeit von Ransomware für Cyberkriminelle zeigt, warum es wichtig ist, dass sich jeder in Ihrem Unternehmen der Bedrohungen und Risiken von Ransomware bewusst ist. Mit einer Ransomware-Simulation können Sie erkennen, welche Mitarbeiter anfällig für Ransomware sind, und Ihr Team darüber aufklären, wie leicht es zu Social-Engineering-Angriffen kommen kann.

10 Punkte Sicherheitsplan um Ransomware-Angriffen vorzubeugen

1. Investieren Sie in Ihre Mitarbeiter. Betonen und konzentrieren Sie sich auf Phishing und Sicherheitsbewusstsein, um das menschliche Risiko zu verringern. Nutzen Sie kostenlose Ransomware-Simulationstools, um Ransomware-Risiken aufzuklären und zu identifizieren.

2. Geben Sie Ihren Mitarbeitern die notwendigen Tools und Kenntnisse an die Hand, die sie benötigen, um Ransomware-Risiken zu erkennen. Informieren Sie Ihr Team darüber, wie und wann unerwartete Anhänge oder Anhänge aus unbekannten Quellen geöffnet werden.

3. Erstellen Sie interne Helden der Cybersicherheit, die sich für die Cybersicherheit Ihres Unternehmens einsetzen. Dieser Prozess hilft, Ihre Mitarbeiter zu motivieren, ihr Verhalten zu ändern.

4. Verwenden Sie bewährte Schulungen zum Sicherheitsbewusstsein und Schulungsplattformen für Ransomware-Simulationen, um ansprechende und effektive Schulungen zum Sicherheitsbewusstsein bereitzustellen.

5. Fördern und schaffen Sie Umgebungsunterstützung für Verhaltensänderungen. Schaffen Sie eine Arbeitsumgebung, die zum Lernen anregt und eine sicherheitsbewusste Kultur fördert.

6. Profitieren Sie von automatisierten und benutzerfreundlichen Schulungen, um das Lernen ansprechend, informativ und überschaubar zu halten. Lesen Sie Schritt-für-Schritt-Anleitungen zur Entwicklung eines effektiven Sicherheitsbewusstseinsprogramms, das das Sicherheitsverhalten verbessert.

7. Bieten Sie kontinuierliche Kommunikation und Kampagnen über Cybersicherheit, Ransomware und die Risiken, die in Form von URLs, E-Mails und Anhängen auftreten können.

8. Verwenden Sie ein flexibles Bereitstellungsmodell, das animierte Videos, interaktive Online-Schulungen, verwaltete Sicherheitsdienste, Microlearning-Module und Phishing-Simulationen umfasst, um fortlaufenden Support zu bieten.

9. Profitieren Sie von einer kostenlosen CISO-Coaching-Sitzung, um zu erfahren, wie Sie das bestehende Ransomware-Bewusstsein verbessern oder ein neues Sicherheitsbewusstseinsprogramm erstellen können.

10. Sehen Sie sich Ransomware-Webcasts an, um zu erfahren, wie einfach jeder Opfer von Ransomware werden kann und wie Sie Ihr Unternehmen schützen können.

Was ist eine Ransomware-Simulation?

Eine Ransomware-Simulation ist der beste Weg, um das Bewusstsein für Ransomware-Risiken zu schärfen. Es kann auch dabei helfen, die Mitarbeiter zu identifizieren, die am stärksten von Ransomware-Angriffen bedroht sind. Die Ransomware-Simulation macht es einfach, das Bewusstsein für Cybersicherheit in Ihrem Unternehmen in einem ansprechenden und informativen Format zu integrieren. Echtzeitsimulationen schulen Endbenutzer und verbessern das unternehmensweite Verständnis von Ransomware-Angriffen. Die Leute sehen aus erster Hand, wie einfach es ist, dazu verleitet zu werden, Ransomware-Malware auf ihren Computern und Mobilgeräten zu installieren.

So schützen Sie sich vor Ransomware

Befolgen Sie diese Tipps, um Ransomware zu vermeiden und Schäden zu mindern, wenn Sie angegriffen werden:

  • Sichern Sie Ihre Daten . Der beste Weg, um die Gefahr zu vermeiden, von Ihren kritischen Dateien ausgeschlossen zu werden, besteht darin, sicherzustellen, dass Sie immer Sicherungskopien davon haben, vorzugsweise in der Cloud und auf einer externen Festplatte. Wenn Sie eine Ransomware-Infektion bekommen, können Sie auf diese Weise Ihren Computer oder Ihr Gerät löschen und Ihre Dateien aus dem Backup neu installieren. Das schützt Ihre Daten und Sie kommen nicht in Versuchung, die Malware-Autoren mit Lösegeldzahlungen zu belohnen. Backups verhindern Ransomware nicht, aber sie können die Risiken mindern.
  • Sichern Sie Ihre Backups. Stellen Sie sicher, dass Ihre Sicherungsdaten von den Systemen, auf denen sich die Daten befinden, nicht geändert oder gelöscht werden können. Ransomware sucht nach Datensicherungen und verschlüsselt oder löscht sie, damit sie nicht wiederhergestellt werden können. Verwenden Sie daher Sicherungssysteme, die keinen direkten Zugriff auf Sicherungsdateien zulassen.
  • Verwenden Sie Sicherheitssoftware und halten Sie sie auf dem neuesten Stand. Stellen Sie sicher, dass alle Ihre Computer und Geräte mit umfassender Sicherheitssoftware geschützt sind, und halten Sie Ihre gesamte Software auf dem neuesten Stand. Stellen Sie sicher, dass Sie die Software Ihrer Geräte frühzeitig und häufig aktualisieren, da Patches für Fehler normalerweise in jedem Update enthalten sind.
  • Üben Sie sicheres Surfen. Seien Sie vorsichtig, wo Sie klicken. Reagieren Sie nicht auf E-Mails und Textnachrichten von Personen, die Sie nicht kennen, und laden Sie Anwendungen nur von vertrauenswürdigen Quellen herunter. Dies ist wichtig, da Malware-Autoren oft Social Engineering verwenden, um Sie dazu zu bringen, gefährliche Dateien zu installieren.
  • Verwenden Sie nur sichere Netzwerke. Vermeiden Sie die Nutzung öffentlicher Wi-Fi-Netzwerke, da viele von ihnen nicht sicher sind und Cyberkriminelle Ihre Internetnutzung ausspionieren können. Erwägen Sie stattdessen die Installation eines VPN, das Ihnen eine sichere Verbindung zum Internet bietet, egal wohin Sie gehen.
  • Bleiben Sie informiert . Bleiben Sie über die neuesten Ransomware-Bedrohungen auf dem Laufenden, damit Sie wissen, worauf Sie achten müssen. Für den Fall, dass Sie eine Ransomware-Infektion bekommen und nicht alle Ihre Dateien gesichert haben, sollten Sie wissen, dass einige Entschlüsselungstools von Technologieunternehmen zur Verfügung gestellt werden, um den Opfern zu helfen.
  • Implementieren Sie ein Sicherheitsbewusstseinsprogramm . Bieten Sie jedem Mitglied Ihrer Organisation regelmäßige Schulungen zum Sicherheitsbewusstsein an, damit sie Phishing- und andere Social-Engineering-Angriffe vermeiden können. Führen Sie regelmäßige Übungen und Tests durch, um sicherzustellen, dass die Schulung eingehalten wird.

9 Schritte zur Reaktion auf einen Ransomware-Angriff

Wenn Sie vermuten, von einem Ransomware-Angriff betroffen zu sein, ist es wichtig, schnell zu handeln. Glücklicherweise gibt es mehrere Schritte, die Sie unternehmen können, um die bestmögliche Chance zu haben, den Schaden zu minimieren und schnell wieder wie gewohnt zu arbeiten.

  1. Isolieren Sie das infizierte Gerät: Ransomware, die ein Gerät betrifft, ist eine mäßige Unannehmlichkeit. Ransomware, die alle Geräte Ihres Unternehmens infizieren darf, ist eine große Katastrophe und könnte Sie endgültig aus dem Geschäft bringen. Der Unterschied zwischen den beiden liegt oft in der Reaktionszeit. Um die Sicherheit Ihres Netzwerks, Ihrer Laufwerke und anderer Geräte zu gewährleisten, ist es wichtig, dass Sie das betroffene Gerät so schnell wie möglich vom Netzwerk, Internet und anderen Geräten trennen. Je früher Sie dies tun, desto unwahrscheinlicher ist es, dass andere Geräte infiziert werden.
  2. Stoppen Sie die Ausbreitung: Da sich Ransomware schnell verbreitet – und das Gerät mit Ransomware nicht unbedingt Patient Zero ist – garantiert die sofortige Isolierung des infizierten Geräts nicht, dass die Ransomware nicht an anderer Stelle in Ihrem Netzwerk vorhanden ist. Um den Umfang effektiv einzuschränken, müssen Sie alle Geräte, die sich verdächtig verhalten, vom Netzwerk trennen, einschließlich derer, die außerhalb des Unternehmens betrieben werden – wenn sie mit dem Netzwerk verbunden sind, stellen sie ein Risiko dar, egal wo sie sich befinden. Es ist auch eine gute Idee, die drahtlose Verbindung (Wi-Fi, Bluetooth usw.) an dieser Stelle zu beenden.
  3. Bewerten Sie die Schäden: Um festzustellen, welche Geräte infiziert wurden, suchen Sie nach kürzlich verschlüsselten Dateien mit seltsamen Dateierweiterungsnamen und suchen Sie nach Berichten über seltsame Dateinamen oder Benutzer, die Probleme beim Öffnen von Dateien haben. Wenn Sie Geräte entdecken, die nicht vollständig verschlüsselt wurden, sollten sie isoliert und ausgeschaltet werden, um den Angriff einzudämmen und weiteren Schaden und Datenverlust zu verhindern. Ihr Ziel ist es, eine umfassende Liste aller betroffenen Systeme zu erstellen, einschließlich Netzwerkspeichergeräten, Cloud-Speicher, externem Festplattenspeicher (einschließlich USB-Sticks), Laptops, Smartphones und anderen möglichen Vektoren. An diesem Punkt ist es ratsam, Aktien zu sperren. Alle sollten nach Möglichkeit eingeschränkt werden; Wenn nicht, beschränken Sie so viele wie möglich. Dadurch werden alle laufenden Verschlüsselungsprozesse angehalten und es wird auch verhindert, dass weitere Freigaben infiziert werden, während die Behebung erfolgt. Aber bevor Sie das tun, sollten Sie sich die verschlüsselten Freigaben ansehen. Dies kann nützliche Informationen liefern: Wenn auf einem Gerät eine viel höhere Anzahl offener Dateien als gewöhnlich vorhanden ist, haben Sie möglicherweise gerade Ihren Patienten Null gefunden. Andernfalls…
  4. Lokalisieren Sie Patient Null: Die Verfolgung der Infektion wird erheblich einfacher, sobald Sie die Quelle identifiziert haben. Suchen Sie dazu nach Warnungen, die möglicherweise von Ihrer Antivirus-/Antimalware-, EDR- oder einer anderen aktiven Überwachungsplattform stammen. Und da die meiste Ransomware über bösartige E-Mail-Links und -Anhänge in Netzwerke gelangt, die eine Aktion des Endbenutzers erfordern, kann es auch nützlich sein, Personen nach ihren Aktivitäten (z. B. dem Öffnen verdächtiger E-Mails) und dem, was ihnen aufgefallen ist, zu fragen. Schließlich kann auch ein Blick auf die Eigenschaften der Dateien selbst einen Hinweis liefern – die als Eigentümer aufgeführte Person ist wahrscheinlich der Einstiegspunkt. (Denken Sie jedoch daran, dass es mehr als einen Patienten Null geben kann!)
  5. Identifizieren Sie die Ransomware: Bevor Sie fortfahren, ist es wichtig herauszufinden, mit welcher Variante von Ransomware Sie es zu tun haben. Eine Möglichkeit ist, No More Ransom zu besuchen, eine weltweite Initiative, der Trellix angehört. Die Website verfügt über eine Reihe von Tools, mit denen Sie Ihre Daten freigeben können, einschließlich des Crypto Sheriff-Tools: Laden Sie einfach eine Ihrer verschlüsselten Dateien hoch und sie wird nach einer Übereinstimmung suchen. Sie können auch die im Erpresserbrief enthaltenen Informationen verwenden: Wenn die Ransomware-Variante nicht direkt angegeben ist, kann die Verwendung einer Suchmaschine zur Abfrage der E-Mail-Adresse oder des Erpresserbriefs selbst helfen. Sobald Sie die Ransomware identifiziert und ein wenig über ihr Verhalten recherchiert haben, sollten Sie alle nicht betroffenen Mitarbeiter so schnell wie möglich benachrichtigen, damit sie wissen, wie sie die Anzeichen einer Infektion erkennen können.
  6. Melden Sie die Ransomware den Behörden: Sobald die Ransomware eingedämmt ist, sollten Sie sich aus mehreren Gründen an die Strafverfolgungsbehörden wenden. Zunächst einmal verstößt Ransomware gegen das Gesetz – und wie jedes andere Verbrechen sollte es den zuständigen Behörden gemeldet werden. Zweitens, so das United States Federal Bureau of Investigation, „können Strafverfolgungsbehörden in der Lage sein, Justizbehörden und Instrumente zu nutzen, die den meisten Organisationen nicht zur Verfügung stehen.“ Partnerschaften mit internationalen Strafverfolgungsbehörden können genutzt werden, um die gestohlenen oder verschlüsselten Daten zu finden und die Täter vor Gericht zu bringen. Schließlich kann der Angriff Auswirkungen auf die Compliance haben: Wenn Sie das ICO nicht innerhalb von 72 Stunden über einen Verstoß mit EU-Bürgerdaten informieren, kann Ihr Unternehmen gemäß den Bestimmungen der DSGVO mit hohen Geldstrafen belegt werden.
  7. Werten Sie Ihre Backups aus: Jetzt ist es an der Zeit, mit dem Reaktionsprozess zu beginnen. Der schnellste und einfachste Weg, dies zu tun, ist die Wiederherstellung Ihrer Systeme aus einem Backup. Im Idealfall haben Sie ein nicht infiziertes und vollständiges Backup, das kürzlich genug erstellt wurde, um von Nutzen zu sein. Wenn dies der Fall ist, besteht der nächste Schritt darin, eine Antiviren-/Antimalware-Lösung einzusetzen, um sicherzustellen, dass alle infizierten Systeme und Geräte frei von Ransomware sind – andernfalls wird Ihr System weiterhin gesperrt und Ihre Dateien verschlüsselt, wodurch möglicherweise Ihr Backup beschädigt wird. Sobald alle Spuren von Malware entfernt wurden, können Sie Ihre Systeme aus diesem Backup wiederherstellen und – sobald Sie bestätigt haben, dass alle Daten wiederhergestellt sind und alle Apps und Prozesse gesichert sind und normal ausgeführt werden – wie gewohnt weiterarbeiten . Leider erkennen viele Organisationen nicht, wie wichtig es ist, Backups zu erstellen und zu pflegen, bis sie sie brauchen und sie nicht da sind. Da moderne Ransomware immer ausgefeilter und widerstandsfähiger wird, stellen einige derjenigen, die Backups erstellen, bald fest, dass die Ransomware sie ebenfalls beschädigt oder verschlüsselt hat, wodurch sie völlig unbrauchbar werden.
  8. Informieren Sie sich über Ihre Entschlüsselungsoptionen: Wenn Sie sich ohne brauchbares Backup wiederfinden, besteht immer noch die Möglichkeit, dass Sie Ihre Daten zurückerhalten. Eine wachsende Zahl kostenloser Entschlüsselungsschlüssel finden Sie auf  bekannten Seiten im Netz. Wenn einer für die Ransomware-Variante verfügbar ist, mit der Sie es zu tun haben (und vorausgesetzt, Sie haben inzwischen alle Spuren von Malware von Ihrem System gelöscht), können Sie den Entschlüsselungsschlüssel verwenden, um Ihre Daten zu entsperren. Selbst wenn Sie das Glück haben, einen Entschlüsseler zu finden, sind Sie noch nicht fertig – Sie können immer noch mit stunden- oder tagelangen Ausfallzeiten rechnen, während Sie an der Fehlerbehebung arbeiten.
  9. Machen Sie weiter: Wenn Sie keine brauchbaren Backups haben und keinen Entschlüsselungsschlüssel finden können, besteht Ihre einzige Option möglicherweise darin, Ihre Verluste zu begrenzen und von vorne zu beginnen. Der Wiederaufbau wird kein schneller oder billiger Prozess sein, aber sobald Sie Ihre anderen Optionen ausgeschöpft haben, ist es das Beste, was Sie tun können.

Warum ist es so schwierig, Ransomware-Angreifer zu finden?

Die Verwendung anonymer Kryptowährungen für Zahlungen wie Bitcoin macht es schwierig, der Geldspur zu folgen und Kriminelle aufzuspüren. Cyberkriminelle Gruppen entwickeln zunehmend Ransomware-Schemata, um schnell Profit zu machen. Die einfache Verfügbarkeit von Open-Source-Code und Drag-and-Drop-Plattformen zur Entwicklung von Ransomware hat die Erstellung neuer Ransomware-Varianten beschleunigt und hilft Skript-Anfängern, ihre eigene Ransomware zu erstellen. In der Regel sind hochmoderne Malware wie Ransomware polymorph, was es Cyberkriminellen ermöglicht, traditionelle signaturbasierte Sicherheit basierend auf Datei-Hash einfach zu umgehen.

Warum sollte ich nicht einfach das Lösegeld zahlen?

Angesichts der Möglichkeit einer wochen- oder monatelangen Genesung könnte es verlockend sein, einer Lösegeldforderung nachzugeben. Aber es gibt mehrere Gründe, warum dies eine schlechte Idee ist:

  • Möglicherweise erhalten Sie nie einen Entschlüsselungsschlüssel. Wenn Sie eine Ransomware-Nachfrage bezahlen, sollten Sie im Gegenzug einen Entschlüsselungsschlüssel erhalten. Aber wenn Sie eine Ransomware-Transaktion durchführen, sind Sie auf die Integrität von Kriminellen angewiesen. Viele Leute und Organisationen haben das Lösegeld bezahlt, nur um nichts zurück zu bekommen – ihnen fehlen dann Zehn-, Hundert- oder Tausende von Dollar, und sie müssen ihre Systeme immer noch von Grund auf neu aufbauen.
  • Sie könnten wiederholt Lösegeldforderungen erhalten. Sobald Sie ein Lösegeld zahlen, wissen die Cyberkriminellen, die die Ransomware eingesetzt haben, dass Sie ihnen ausgeliefert sind. Sie können Ihnen einen funktionierenden Schlüssel geben, wenn Sie bereit sind, ein wenig (oder viel) mehr zu bezahlen.
  • Möglicherweise erhalten Sie einen Entschlüsselungsschlüssel, der funktioniert – irgendwie. Die Entwickler von Ransomware sind nicht in der Dateiwiederherstellungsbranche tätig; Sie sind im Geldgeschäft. Mit anderen Worten, der Entschlüsseler, den Sie erhalten, ist möglicherweise gerade gut genug, damit die Kriminellen sagen können, dass sie ihren Teil des Deals aufgehalten haben. Darüber hinaus ist es nicht ungewöhnlich, dass der Verschlüsselungsprozess selbst einige Dateien irreparabel beschädigt. In diesem Fall kann selbst ein guter Entschlüsselungsschlüssel Ihre Dateien nicht entsperren – sie sind für immer verloren.
  • Vielleicht malst du dir ein Ziel auf den Rücken. Sobald Sie ein Lösegeld zahlen, wissen Kriminelle, dass Sie eine gute Investition sind. Eine Organisation, die nachweislich das Lösegeld gezahlt hat, ist ein attraktiveres Ziel als ein neues Ziel, das möglicherweise zahlt oder nicht. Was hält dieselbe Gruppe von Kriminellen davon ab, in ein oder zwei Jahren erneut anzugreifen oder sich in ein Forum einzuloggen und anderen Cyberkriminellen mitzuteilen, dass Sie ein leichtes Ziel sind?
  • Selbst wenn am Ende alles gut ausgeht, finanzieren Sie immer noch kriminelle Aktivitäten . Angenommen, Sie zahlen das Lösegeld, erhalten einen guten Entschlüsselungsschlüssel und bringen alles wieder zum Laufen. Dies ist lediglich das beste Worst-Case-Szenario (und nicht nur, weil Sie viel Geld ausgeben). Wenn Sie das Lösegeld bezahlen, finanzieren Sie kriminelle Aktivitäten. Abgesehen von den offensichtlichen moralischen Implikationen bekräftigen Sie die Idee, dass Ransomware ein funktionierendes Geschäftsmodell ist. (Denken Sie darüber nach – wenn niemand jemals das Lösegeld bezahlt, glauben Sie, dass sie weiterhin Ransomware herausbringen würden?) Gestärkt durch ihren Erfolg und ihren übergroßen Zahltag, werden diese Kriminellen weiterhin Chaos in ahnungslosen Unternehmen anrichten und weiterhin Zeit und Mühe investieren investieren Sie Geld in die Entwicklung neuer und noch heimtückischerer Ransomware-Stämme – von denen einer in Zukunft den Weg auf Ihre Geräte finden könnte.

 

Ein Gedanke zu „Ransomware – Was ist das? Wie kann man sich schützen?

Die Kommentare sind geschlossen.

Pin It on Pinterest