Ransomware: Was es ist und wie Sie sich schützen können

Ransomware ist eine Art von Schadsoftware oder Malware, die Ihre Daten praktisch als Geisel hält, indem sie Ihren Computer sperrt und damit droht, ihn so lange gesperrt zu halten, bis Sie das Lösegeld des Angreifers zahlen. Die International Business Machines Corporation (IBM) berichtet, dass Ransomware-Angriffe im Jahr 2021 21% aller Cyberangriffe ausmachten und einen unglaublichen Verlust von 20 Milliarden US-Dollar verursachten.

Was ist Ransomware?

In der Vergangenheit zielten Ransomware-Angriffe ausschließlich darauf ab, die Daten oder das Gerät einer Person zu sperren, bis diese Geld für die Entsperrung bezahlt. 

Heutzutage heben Cyberkriminelle die Sache jedoch auf eine ganz neue Ebene. Der X-Force Threat Intelligence Index 2022 hat ergeben, dass praktisch alle Ransomware-Angriffe inzwischen die Strategie der "doppelten Erpressung" verfolgen, bei der nicht nur Daten gesperrt werden, sondern auch eine Lösegeldzahlung erwartet wird, um den Diebstahl zu verhindern. Darüber hinaus führen diese böswilligen Cyberkriminellen eine zusätzliche Bedrohung in ihr Repertoire ein - dreifache Erpressungskampagnen mit DDoS-Angriffen (Distributed Denial of Service) - und diese werden immer häufiger.

Ransomware und Malware

Um Ransomware besser zu verstehen, müssen wir zunächst untersuchen, was Malware (bösartige Software) ist und welche Auswirkungen sie hat.

Malware - ein Begriff, der mehr Fragen aufwirft als beantwortet. Handelt es sich um bösartige Software, oder wird sie einfach für schändliche Zwecke verwendet? Wie bei vielen Aspekten der Cybersicherheit gibt es auch auf diese Frage keine einfache Antwort; stattdessen handelt es sich um einen komplizierten und komplexen Bereich, bei dem wir mehrere Faktoren berücksichtigen müssen. Die Software kann an sich schon böswillig sein, doch letztlich ist der Mensch, der diese Software bedient, dafür verantwortlich, ob und wie böswillig sie sein wird.

Cyber-Bedrohungen gibt es viele, von zerstörerischen Viren bis hin zu raffinierten Trojanern. Aber es gibt eine spezielle Sorte, die noch gefährlicher ist als diese - Ransomware. Entdecken Sie das Geheimnis hinter dieser bösartigen Software und erfahren Sie, wie Sie sich davor schützen können!

Wie funktioniert die Ransomware?

Ransomware ist so konzipiert, dass sie den Zugriff auf den Zielcomputer oder das Zielnetzwerk sowie sämtliche Inhalte sperrt, bis der Angreifer eine Zahlung erhält. Noch ausgefeiltere Angriffe können eine so starke Verschlüsselung auf Festplattenebene auslösen, dass es ohne Zahlung des Lösegelds unmöglich wäre, Dateien zu entschlüsseln. Von 2013 bis 2020 verzeichnete das Internet Crime Complaint Center des FBI einen dramatischen Anstieg der gemeldeten Ransomware-Vorkommen um 243%.

Im Gegensatz zu anderen Formen der Cyberkriminalität ist es bei Ransomware notwendig, dass die Opfer mit dem Kriminellen zusammenarbeiten, um erfolgreich zu sein.

Wie auf ihrer Website angegeben, warnt das FBI davor, Lösegeld zu zahlen, wenn eine Person oder ein Unternehmen von Ransomware angegriffen wird. Durch die Zahlung des Lösegelds gibt es keine Garantie, dass eine Organisation oder ein Opfer wieder Zugang zu ihren Daten erhält, was es zu einer riskanten und unzuverlässigen Lösung macht. In einigen Fällen, in denen die Opfer das von den Angreifern geforderte Lösegeld gezahlt haben, erhalten sie leider nie einen legitimen Entschlüsselungsschlüssel zum Entsperren ihrer Daten. Und selbst wenn sie einen erhalten, ist es möglich, dass nicht alle Dateien wiederhergestellt werden können. Durch die Zahlung des Lösegelds schaffen Sie nicht nur Anreize für Kriminelle, weiterhin Ransomware-Angriffe auf Unternehmen und Einzelpersonen auszuführen, sondern machen sie auch für andere potenzielle Cyber-Kriminelle attraktiver.

Beliebte Ransomware-Varianten

Bei den zahlreichen Ransomware-Varianten, die es gibt, ist es kein Wunder, dass einige erfolgreicher sind als andere. Tatsächlich gibt es einige wenige, die sich in puncto Effektivität und Popularität von den anderen abheben und sich so von ihren Kollegen abheben.

1. Ryuk

Ryuk ist eine Art von Ransomware, die auf eine bestimmte Art von Benutzern abzielt. Sie wird in der Regel über eine E-Mail oder die Anmeldeinformationen einer Person verbreitet, um in ein System einzudringen. Sobald das System infiziert ist, verschlüsselt Ryuk einige Dateien und verlangt dann Geld, um sie zurückzugeben.

Ryuk ist bekannt dafür, eine der teuersten Ransomware-Varianten zu sein, mit durchschnittlichen Lösegeldforderungen von über $1 Million. Aus diesem Grund haben es Cyberkriminelle im Zusammenhang mit Ryuk regelmäßig auf Unternehmen abgesehen, die über umfangreiche finanzielle Mittel verfügen, um diese exorbitanten Zahlungen zu leisten.

2.REvil (Sodinokibi)

REvil (auch bekannt als Sodinokibi) ist ein bösartiger Ransomware-Stamm, der vor allem Großunternehmen befällt.

Die berüchtigte Ransomware REvil, die seit 2019 von der russischsprachigen Gruppe betrieben wird, ist heute eine der berüchtigtsten Cyberbedrohungen im Internet. Sie wurde beispielsweise für bedeutende Sicherheitsverletzungen wie "Kaseya" und "JBS" verantwortlich gemacht, was sie zu einer ernsthaften Bedrohung für Unternehmen in zahlreichen Branchen macht.

In den letzten Jahren lieferte sich REvil ein Kopf-an-Kopf-Rennen mit Ryuk um den Titel der teuersten Ransomware. Es sind Berichte aufgetaucht, dass diese Schadsoftware Lösegeldzahlungen von bis zu $800.000 forderte.

Ursprünglich war REvil nur eine weitere herkömmliche Ransomware-Variante, hat sich aber inzwischen weiterentwickelt. Derzeit verwenden sie die Technik der doppelten Erpressung - sie verschlüsseln nicht nur Dateien, sondern stehlen auch Daten von Unternehmen. Das bedeutet, dass die Angreifer nicht nur ein Lösegeld für die Entschlüsselung der Daten fordern, sondern auch damit drohen, die gestohlenen Informationen öffentlich zu machen, wenn keine zusätzliche Zahlung erfolgt.

3. Labyrinth

Die Ransomware Maze ist für ihren innovativen Erpressungsansatz bekannt geworden. Sie verschlüsselt nicht nur Dateien, sondern stiehlt auch sensible Daten vom Computer des Opfers und droht damit, diese zu veröffentlichen oder zu verkaufen, wenn kein Lösegeld gezahlt wird. Diese bedrohliche Strategie bringt die Opfer in eine noch schwierigere Lage: Entweder sie zahlen oder sie müssen mit sehr viel höheren Kosten aufgrund einer teuren Datenpanne rechnen.

Obwohl sich die Maze-Ransomware-Gruppe aufgelöst hat, bedeutet dies nicht, dass Ransomware-Bedrohungen nun obsolet sind. Mehrere ehemalige Partner von Maze haben stattdessen die Ransomware Egregor eingesetzt, und es wird weithin spekuliert, dass diese drei Varianten - Sekhmet ist die dritte - einen identischen Urheber haben.

4. DearCry

Im März 2021 veröffentlichte Microsoft kritische Updates für vier Sicherheitslücken in seinen Exchange-Servern. Bevor jedoch alle die Korrekturen anwenden konnten, um sich vor potenziellem Schaden zu schützen, schaltete sich DearCry mit einer neuen Ransomware-Variante ein, die speziell darauf ausgelegt ist, diese Schwachstellen auszunutzen.

Die Ransomware DearCry kann viele Dateien sperren und hinterlässt auf dem Computer eine Lösegeldforderung, die den Benutzer auffordert, sich mit den Betreibern in Verbindung zu setzen, um zu erfahren, wie der Zugriff wiederhergestellt werden kann.

5. Lapsus$

Die südamerikanische Ransomware-Gang Lapsus$ wurde mit Cyberangriffen auf namhafte Ziele weltweit in Verbindung gebracht. Mit Einschüchterung und der Möglichkeit, sensible Daten preiszugeben, hat sich die Cyber-Gang einen Namen gemacht, indem sie ihre Opfer erpresst, bis ihre Forderungen erfüllt sind. Sie haben sich damit gebrüstet, in Nvidia, Samsung und Ubisoft und andere globale Unternehmen eingedrungen zu sein. Diese Gruppe nutzt gestohlenen Quellcode, um bösartige Dateien als legitime Software auszugeben.

6. Lockbit

LockBit ist eine Software, die entwickelt wurde, um zu verhindern, dass Menschen auf Daten zugreifen können. Sie ist seit September 2019 auf dem Markt. Vor Kurzem wurde sie zu einem Ransomware-as-a-Service (RaaS). Das bedeutet, dass Menschen für die Nutzung der Software bezahlen können, um andere am Zugriff auf ihre Daten zu hindern.

Ransomware hat kostspielige Folgen

Menschen, die mit Ransomware zu tun haben, sind oft zurückhaltend, wenn es um die Höhe des gezahlten Lösegelds geht. Wie im Bericht Definitive Guide to Ransomware 2022 dargelegt, sind die Lösegeldforderungen drastisch gestiegen; was früher nur einstellige Beträge umfasste, hat sich inzwischen auf sieben- und achtstellige Beträge ausgeweitet. In den extremsten Fällen müssen Unternehmen ein saftiges Lösegeld von 40 bis 80 Millionen US-Dollar zahlen, um ihre Daten zurückzubekommen. Doch diese Zahlungen sind nicht die einzigen Kosten, die mit Ransomware-Angriffen verbunden sind; andere direkte und indirekte Kosten können die finanzielle Belastung eines Unternehmens noch erhöhen. Laut der IBM-Studie "Cost of Data Breach 2021" belaufen sich die Standardkosten von Ransomware-Angriffen ohne Lösegeldzahlungen auf durchschnittlich 4,62 Millionen US-Dollar.

Der Fall der DCH-Krankenhäuser

Das DCH ist ein regionales medizinisches Zentrum in Tuscaloosa, Alabama, das seit 1923 besteht.

Am 1. Oktober 2019 wurden die DCH-Krankenhäuser von Ransomware angegriffen. Alles Elektronische war ausgefallen. Sie konnten keine neuen Patienten aufnehmen und mussten alles in Papierform erledigen.

Ein Vertreter von DCH erklärte, dass das System kompromittiert wurde, als jemand einen beschädigten E-Mail-Anhang öffnete und damit interagierte. Glücklicherweise waren keine Patientendaten gefährdet.

Das DCH Hospital System verfügt über drei große Krankenhäuser - das DCH Regional Medical Center, das Northport Medical Center und das Fayette Medical Center - die einen großen Teil von West-Alabama versorgen. Diese drei medizinischen Einrichtungen bieten über 850 Betten und nehmen jährlich mehr als 32.000 Patienten auf.

Am Samstag, den 5. Oktober, entschied sich DCH Hospitals für die Zahlung des Lösegelds und den Erhalt eines Entschlüsselungsschlüssels von den Angreifern, um schnellstmöglich wieder Zugang zu ihren Systemen zu erhalten. Die Höhe des gezahlten Betrags wird jedoch nicht bekannt gegeben. Da Gesundheitssysteme kritisch und sensibel sind, sind sie ein leichtes Ziel für Ransomware-Angriffe. Oft ist es für diese Organisationen günstiger, das Lösegeld zu zahlen, als sich mit einem möglichen Datenverlust oder Störungen auseinanderzusetzen. Die vertraulichen Informationen, die in ihren Systemen gespeichert sind, sind zu wertvoll, um sie zu verlieren. Die bösartige Ransomware, die zum Eindringen in die Sicherheit des DCH-Krankenhauses verwendet wurde, wurde unwissentlich von einem Mitarbeiter unterstützt, der eine Phishing-E-Mail mit einem verseuchten Anhang öffnete. Dies ermöglichte der Malware den Zugriff und die anschließende Infizierung des Computernetzwerks.

5 Schritte, um zu verhindern, ein Ransomware-Opfer zu werden

1. Schulen Sie Ihre Mitarbeiter über Bedrohungen der Cybersicherheit.

Um uns vor Cyberangriffen zu schützen und deren Auftreten am Arbeitsplatz erkennen zu können, müssen wir unsere individuelle Verantwortung für die Cybersicherheit anerkennen. Jeder Mitarbeiter sollte eine spezielle Schulung zur Erkennung und Vermeidung von Bedrohungen aus dem Cyberspace erhalten. Letztlich liegt es aber an jedem Einzelnen, die erhaltenen Informationen zu nutzen, um potenzielle Risiken in seinem Alltag richtig einzuschätzen. Der Vorfall bei den DCH-Krankenhäusern ist ein wichtiges Beispiel dafür, wie wertvoll es sein kann, über ein persönliches Verständnis von Cybersicherheit zu verfügen.

Das Unternehmen muss den Mitarbeiter über die potenziellen Risiken des Öffnens von E-Mail-Anhängen unbekannter Absender informieren, insbesondere in einer Arbeitsumgebung. Im Zweifelsfall ist es immer am besten, jemanden mit Erfahrung zu konsultieren, bevor man Nachrichten, Links oder Anhänge öffnet. Viele Unternehmen verfügen über eine interne IT-Abteilung, die alle Meldungen über einen Phishing-Versuch entgegennimmt und dem Mitarbeiter bestätigt, ob er legitim ist. Wenn die Nachricht von einer vertrauenswürdigen Quelle stammt, z. B. vom Anbieter Ihres Bankkontos oder von Bekannten, die Sie persönlich kennen, sollten Sie sich direkt mit ihnen in Verbindung setzen und sich bestätigen lassen, dass sie die Nachricht und ihren Inhalt geschickt haben, bevor Sie auf die angegebenen Links klicken. Auf diese Weise können Sie sich vor möglichen Cyberangriffen schützen.

2. Sichern Sie Ihre Dateien.

Wenn Sie jemals von Ransomware betroffen sind oder Daten bei einem Angriff verloren gehen und Sie das Lösegeld nicht zahlen wollen, ist eine sichere Sicherung Ihrer wertvollsten Informationen unerlässlich.

Um die Folgen eines bösartigen Angriffs zu minimieren, hätten die DCH-Krankenhäuser vor dem Vorfall vorbeugende Maßnahmen ergreifen und ihre wichtigen Dateien sichern sollen. Ein Backup hätte es ihnen ermöglicht, geöffnet zu bleiben und den Betrieb ohne Unterbrechung durch Ransomware fortzusetzen.

3. Halten Sie Ihre Software auf dem neuesten Stand.

Cyberkriminelle nutzen häufig bestehende Schwachstellen aus, um schadhafte Software in ein Gerät oder System einzuschleusen. Ungepatchte oder Zero-Day-Sicherheitslücken können gefährlich sein, da sie der digitalen Sicherheitsbranche entweder nicht bekannt sind oder noch nicht identifiziert und behoben wurden. Es wurde beobachtet, dass bestimmte Ransomware-Gruppen von Cyberkriminellen Informationen über Zero-Day-Schwachstellen erwerben, die sie für ihre bösartigen Operationen nutzen. Es ist auch bekannt, dass Hacker gepatchte Sicherheitslücken ausnutzen können, um in Systeme einzudringen und Angriffe zu starten. 

Zum Schutz vor Ransomware-Angriffen, die auf Schwachstellen in Software und Betriebssystemen abzielen, ist es wichtig, regelmäßig Patches einzuspielen.

4. Installation und Aktualisierung von Cybersicherheitstools

Es ist von entscheidender Bedeutung, die Tools für die Cybersicherheit aufzurüsten - Anti-Malware- und Antiviren-Software, Firewalls, sichere Web-Gateways sowie Unternehmenslösungen wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR), mit denen Sicherheitsteams bösartige Aktivitäten in Echtzeit erkennen können.

5. Umsetzung von Richtlinien zur Zugangskontrolle

Unternehmen sollten eine Multi-Faktor-Authentifizierung, eine Zero-Trust-Architektur, eine Netzwerksegmentierung und ähnliche Sicherheitsvorkehrungen einsetzen, um gefährdete Daten zu schützen und zu verhindern, dass Kryptowürmer auf andere Rechner im Netzwerk übergreifen.

Ransomware zielt auch auf Einzelpersonen ab.

In der Regel konzentrieren sich die Berichte über Ransomware auf die Folgen von Hackerangriffen auf Unternehmen oder Gesundheitssysteme; es ist jedoch wichtig zu wissen, dass auch Privatpersonen nicht vor diesen Angriffen gefeit sind. Sie kommen sogar häufiger vor, als Sie vielleicht denken. Einzelpersonen müssen sich der echten Gefahr von Ransomware bewusst sein, wenn sie das Internet nutzen, da sie ihre Sicherheit gefährden können.

Cyberkriminelle verwenden zwei Hauptmethoden für die Verbreitung von Ransomware: Verschlüsselung und Sperrbildschirm.

Verschlüsselungs-Ransomware

Cyberkriminelle haben es vor allem auf bestimmte, lokal auf Geräten gespeicherte Dateien abgesehen, die sie mit Ransomware verschlüsseln. Um diese Dokumente auszusuchen, verwenden die Angreifer Phishing-Tricks oder andere Formen von Schadsoftware, um ihr Ziel auszuspionieren. Sobald die Dateien verschlüsselt sind, fordert das Opfer ein Lösegeld, um den Entschlüsselungsschlüssel zu erhalten, der für den Zugriff auf seine Daten erforderlich ist. Hacker nutzen diese Strategie in der Regel, um an vertrauliche oder sensible Informationen zu gelangen, die Unternehmen unbedingt schützen wollen. Dieser Ansatz ist bei böswilligen Parteien sehr beliebt geworden und macht Unternehmen und Organisationen zu einem häufigen Ziel.

Bildschirm sperren - Ransomware

Umgekehrt verschlüsselt Ransomware für Bildschirmsperren bestimmte Dateien und macht das Gerät des Benutzers vollständig funktionsunfähig. Sperrbildschirm-Ransomware sperrt Ihr Gerät und zeigt eine bildschirmfüllende Meldung an, die nicht zu entfernen und nicht zu minimieren ist. Sie werden aufgefordert, ein Lösegeld zu zahlen, um das System zu entsperren oder verlorene Daten oder Dateien wiederherzustellen.

Diese Programme setzen oft Angstmacherei ein, um Sie zur Zahlung zu zwingen, z. B. mit einer tickenden Uhr, die davor warnt, alle Ihre Dateien zu löschen, wenn die Zeit abgelaufen ist. Cyber-Angreifer versuchen oft, Personen einzuschüchtern, indem sie Geschichten darüber erfinden, dass ihre Geräte mit illegalen Aktivitäten oder unangemessenem Material in Verbindung stehen, und drohen, sie den Behörden zu melden, wenn das Opfer nicht zahlt. Um die Opfer zur Zahlung des Lösegelds zu zwingen, verwenden einige Ransomware-Entwickler pornografische Bilder und drohen, dass das Opfer diese ohne Zahlung nicht entfernen kann.

Letztlich

Die Umsetzung wirksamer Cybersicherheitsmaßnahmen, wie z. B. die regelmäßige Aktualisierung Ihrer Software und Sicherheitstools, die Durchsetzung von Zugriffskontrollrichtlinien und das Wissen um die verschiedenen Taktiken, die von diesen bösartigen Programmen verwendet werden, schützen Ihr Unternehmen vor Ransomware-Angriffen. Darüber hinaus sollten auch Privatpersonen proaktive Maßnahmen ergreifen, um ihre Geräte vor Ransomware-Angriffen zu schützen. Dazu gehört auch, dass sie beim Öffnen von E-Mails oder beim Anklicken von Links aus unbekannten Quellen Vorsicht walten lassen. Mit Bewusstsein und umsichtigen Praktiken können wir alle dazu beitragen, die Bedrohung durch Ransomware in unserer digitalen Welt zu verringern.