17/9/2020

Was ist eigentlich Ransomware?

Ein Überblick über das Thema Ransomware: Erpressungsmethoden since 1980.
Von
Michael Döhmen
IT-Security Enthusiast
und
Andreas Karnbach
Pre-Sales Consultant

Wenn Sie morgens Ihren Rechner hochfahren und plötzlich keinerlei Daten mehr aufrufbar sind sollten Sie sich Gedanken machen.

Ransomware-Attacken sind kontinuierlich in den Nachrichten. Opfer sind Unternehmen, Institutionen oder Behörden – sogar Kliniken sind beliebte Ziele. Da stellt man sich die Frage: Warum machen die das? Die Drahtzieher hinter den Attacken sind nun mal Kriminelle, die sich durch diese Art von Angriffen bereichern wollen. Wichtig zu wissen: Das Ausrollen der Ramsomware ist nicht der Anfang, sondern das Ende der Attacke.

Noch mal einen Schritt zurück: Ransomware – was ist das überhaupt?

Ransom Malware – kurz Ransomware – beschreibt Angriffsmethoden, wobei das Opfer daran gehindert wird, auf seine Daten zuzugreifen. Die Dateien werden in der Regel verschlüsselt und nur gegen Bezahlung von Lösegeld wieder freigegeben.

Wie lange gibt es Ramsomware schon?

Tatsächlich gibt es dieses Format schon seit den 80er Jahren. Damals noch bekannt als „PC Cyborg“. Natürlich hatten die Angriffe von damals nicht die Qualität und Raffinesse der heutigen. Denn mit zunehmender Bedeutung der IT-Security, mussten sich die Angreifer immer wieder neue Methoden einfallen lassen. Ransomware-Attacken blicken also auf eine fast 30-jährige Historie zurück.

Gibt es verschiedene Varianten von Ramsomware?

Ja, die gibt es. Starten wir mit der harmlosesten Variante:

SCAREWARE:

Wie der Name schon sagt, soll dem User Angst gemacht werden, sodass er eine bestimmte Aktion ausführt. In der Regel öffnet das Programm Pop-ups, die vorgeben, dass Viren auf dem Computer sind – zur Behebung soll der User dann ein Entgelt bezahlen. Natürlich ist mittlerweile den meisten Usern klar, dass seriöse Systeme so nicht arbeiten. Daten und Programme sind aber weiterhin zugänglich.

SCREENLOCKER:

Ein Screenlocker sorgt dafür, dass Sie Ihr Endgerät nicht mehr benutzen können. Auch ein Reboot oder die Trennung vom Netz löst dieses Problem nicht. Es wird immer wieder derselbe Screen eingeblendet, wo – wie bei Ramsomware üblich – zu einer Zahlung aufgefordert wird.

ENCRYPTING RANSOMWARE:

Das ist der Worst-Case für jede IT-Abteilung. Wenn Sie Opfer einer Encryption Ransomware geworden sind, können Sie sicher sein, dass der Angreifer bereits mehrere Wochen oder sogar Monate in Ihrem Netzwerk gewohnt hat. Das Kommunizieren der Verschlüsselung bildet quasi den Abschluss des Angriffs. Die Daten sind in der Regel nicht nur verschlüsselt, sondern auch bereits abgeflossen bzw. gestohlen und genau diesen Fakt nutzen die Angreifer zur Erpressung. In der Regel heißt das Credo momentan: Daten gegen Bitcoins. Wer zahlt, erhält sofort wieder Zugriff auf seine Systeme. Wer zahlt, finanziert damit aber weitere Angriffe auf Unternehmen. Ein paar berühmte Ransomware-Beispiele: EMOTET, WannaCry, Maze, GrandCarb, SamSam, NotPetya

Wie kommt Ransomware eigentlich ins Unternehmen?

Die gängigste Methode ist der Einsatz klassischer, infizierter Spammails. Häufig ist es der Anhang, der am Ende die Malware ausführt. Deshalb ist es wichtig, den Mitarbeitern klar zu machen, wie sie grundsätzlich mit externen E-Mails umgehen sollen. Die besten Tipps haben wir im Beitrag SOCIAL-ENGINEERING zusammengetragen. Denn gerade Social-Engineering ist eine beliebte Variante, um Personen ganz gezielt zu irritieren. Die Angreifer bauen via Recherche Vertrauen und persönliche Bindungen auf, um die Täuschung zu perfektionieren. Security-Awareness Schulungen sind deshalb ein sehr wichtiges und strategisches Mittel in der Prävention von Ransomware-Attacken.

Eine weitere beliebte Methode ist Malvertising. Dabei führen die Angreifer den Internet User auf infizierte Webseiten, wo der infizierte Code direkt ausgeführt wird. Häufig ist es eine Kombination aus iframe und damit verbundener Landingpage, wo direkt ein Hintergrunddownload ausgeführt wird.

Seltener, aber ebenfalls möglich: eine Installation via externem Datenträger (CD-Rom, USB-Stick, SD-Karte) auf einem Endgerät, welches sich im Firmennetzwerk befindet. Infizierte Datenträger könnten z. B. einfach in der Lobby „vergessen“ werden und jemand ist neugierig genug und probiert ihn aus.

Wie kann ich mich vor Ransomware schützen?

Die gute Nachricht: Man kann sich schützen. Natürlich gibt es in der IT-Security keine 100%ige Sicherheit, aber mit den richtigen Maßnahmen ist man nah dran.

  • Investieren Sie in ein schlüssiges IT-Sicherheitskonzept
  • Investieren Sie in best-of-breed Cyber-Security-Technologie
  • Investieren Sie darüber hinaus in regelmäßige Security-Schulungen Ihrer Mitarbeiter
  • Erstellen Sie regelmäßig Backups Ihrer Daten auf sicheren, von Ihrem Netzwerk getrennten Servern für den Notfall
  • Sorgen Sie dafür, dass Ihre Security-Systeme immer wieder gepatcht werden
  • Beschäftigen Sie sich nach großen Updates mit den neuen Funktionen und überprüfen Sie das Zusammenspiel Ihrer Systemlandschaft

Was tue ich, wenn ich Opfer geworden bin?

Wenn es Sie doch getroffen haben sollte, machen Sie bitte exakt Folgendes:

  • Bezahlen Sie niemals das geforderte Lösegeld
  • Bewahren Sie die Ruhe und rufen uns an  
  • Wir finden gemeinsam mit Ihnen den besten Weg aus dieser Situation

Wir beraten Sie gerne und erarbeiten mit Ihnen Strategien, um bestmöglich für diese Attacken geschützt zu sein.

Sie waren bereits Opfer? Häufig lassen Angreifer eine "Backdoor" bestehen, um gegebenfalls erneut zuzuschlagen. Sie sollten nach einer Attacke absolut sicher sein, dass auch diese eingebauten Hintertüren geschlossen werden. Kontaktieren Sie uns bei Fragen.

Noch Fragen?

Wir geben gerne Auskunft!
Kontaktieren Sie uns.