Ransomware-Attacken die Stirn bieten

Freitag, 9. September 2022 von Tim Black

 

Ein Ransomware-Angriff ist eine der größten Bedrohungen für Online-Nutzer. In diesem Artikel erfahren Sie, was während einer Ransomware-Attacke passiert und welche Schritte Sie unternehmen müssen, um Ihr Unternehmen zu schützen.


Wie man mit einem Ransomware-Angriff umgeht

Ransomware-Attacken stellen eine große Bedrohung für Unternehmen dar, denn sie beeinträchtigen zu 90 % deren Betriebsfähigkeit, und im Durchschnitt dauert es einen Monat, bis sie sich von dem Angriff erholt haben. Ransomware-Angriffe nehmen zu und beeinflussen den regulären Geschäftsbetrieb bis hin zum Stillstand. Bis 2031 wird erwartet, dass Unternehmen alle zwei Sekunden Opfer eines Ransomware-Angriffs werden (2021 waren es noch alle 11 Sekunden).


Was ist ein Ransomware-Angriff?

Ransomware ist eine Art von Malware, die die Daten eines Unternehmens verschlüsselt, sodass kein Zugriff mehr möglich ist. Es wird ein Lösegeld gefordert und nach der Zahlung sollten die Entschlüsselungsschlüssel herausgegeben werden, damit das Unternehmen wieder Zugang erhält.

Zwar ist keine Branche vor den Auswirkungen von Ransomware sicher, aber ein Cyberkrimineller wählt ein Unternehmen in der Regel aufgrund von zwei Faktoren als Ziel:

  • Gelegenheit: z. B. wenn das Unternehmen ein kleines Sicherheitsteam hat, keine IT-Ressourcen zur Verfügung stehen oder wenn es sich um ein Unternehmen mit vielen Daten handelt.
  • Potenzieller finanzieller Gewinn: Unternehmen, die sofortigen Zugriff auf ihre Dateien benötigen und eher bereit sind, schnell ein Lösegeld zu zahlen - wie Anwälte oder Regierungsbehörden.

Cyberkriminelle können sich über verschiedene Taktiken Zugang zu Unternehmensdaten verschaffen, darunter:


  • Phishing: Einsatz von Social-Engineering-Techniken, um Benutzer zu einer bestimmten Handlung zu verleiten, z. B. zum Anklicken eines bösartigen Links in einer E-Mail.
  • Remote-Zugriff: Scannen des Internets nach offenen Ports, z. B. dem Remote-Desktop-Protokoll, und Erfassen gültiger Anmeldedaten zur Authentifizierung durch die Remote Lösung.
  • Kompromittierung privilegierter Konten: Ausnutzung von Administratorkonten für den Zugriff auf weitere Systeme und sensible Daten.
  • Bekannte Software- oder Anwendungsschwachstellen: Ausnutzung bekannter Schwachstellen, für die Patches zur Behebung des Problems zur Verfügung standen, aber nicht angewendet wurden.

Vor der Verschlüsselung der Daten kann ein Cyberkrimineller Kopien anfertigen und damit drohen, diese weiterzugeben, wenn das Lösegeld nicht rechtzeitig gezahlt wird. Dies wird als "doppelte Erpressung" bezeichnet. Wenn die Verschlüsselung erst einmal begonnen hat, geht es schnell - die durchschnittliche Ransomware-Variante kann in nur 42 Minuten und 52 Sekunden fast 100.000 Dateien mit einer Gesamtgröße von 54,93 GB verschlüsseln - daher ist Schnelligkeit das A und O, wenn es darum geht, nach einem Angriff zu handeln.

Was Sie im Falle eines Ransomware-Angriffs tun sollten

Sobald Sie wissen, dass Sie von einem Ransomware-Angriff betroffen sind - in der Regel, weil eine große Benachrichtigung auf dem Bildschirm aufleuchtet -, müssen Sie das infizierte Gerät unbedingt isolieren. Entfernen Sie Netzwerk- und Datenkabel, USB-Geräte und Dongles, und deaktivieren Sie WiFi und Bluetooth, um zu verhindern, dass das Gerät eine Verbindung herstellt, die zur Verbreitung der Bedrohung führen könnte.

Trotz großem Stress oder schockähnlichem Zustand über das Geschehene, ist es wichtig, ruhig zu bleiben, während man die Situation einschätzt. Eine Möglichkeit, dies zu erreichen, sind Ransomware-Simulationen, bei denen das Unternehmen übt, wie es nach einem Angriff reagieren würde, so dass die Mitarbeiter mit den Schritten vertraut sind, mit denen sie die Sicherheitsverletzung in einer ruhigen und zeitnahen Weise eindämmen können:

Benachrichtigung des Unternehmens/Kontaktpersonen

Es ist wichtig, dass die gesamte Kommunikation von einer zentralen Stelle innerhalb des Unternehmens koordiniert wird, um Fehlinformationen oder Verwirrung zu vermeiden. Dazu sollte die Anweisung gehören, mit niemandem in den Medien zu sprechen und nichts in den sozialen Medien zu veröffentlichen. PR-Ankündigungen müssen sorgfältig vorbereitet werden, um Aktionäre, Kunden und den Markt nicht zu verunsichern.

Sobald ein Angriff bekannt ist, muss jeder im Unternehmen auf die Bedrohung aufmerksam gemacht werden. Wenn jemand den Verdacht hat, dass sein Gerät infiziert ist, sollten sofort Maßnahmen ergriffen werden, um es vom Netzwerk zu isolieren. Bewährte Praktiken besagen, dass User alle ihre Anmeldedaten zurücksetzen sollten - insbesondere für privilegierte Konten -, um zu verhindern, dass der Kriminelle wertvolle Daten sammelt, die für weitere Angriffe verwendet werden könnten.

Identifizieren Sie den Typ der Ransomware

Führen Sie mit dem Malware-Scan-Tool auf dem Gerät oder über das Security Operations Centre des Unternehmens einen Malware-Scan durch, um festzustellen, welche Ransomware verwendet wurde, denn dies hilft bei der Festlegung der erforderlichen Maßnahmen.

Machen Sie außerdem Notizen über den Angriff, einschließlich Datum, Uhrzeit, Dateidetails, erste Anzeichen von Ransomware, betroffene Geräte, was Sie unmittelbar vor dem Angriff getan haben und wann Ihr Gerät angeschlossen war. Machen Sie außerdem Fotos und zeichnen Sie verdächtige Programme, Dateien und Pop-ups auf.

All diese Informationen fließen dann in das Ransomware-Identifizierungstool ein, um festzustellen, womit das Unternehmen angegriffen wurde und welche Abhilfemaßnahmen Sie jetzt ergreifen müssen.

Lösegeldzahlung

Cybersicherheitsexperten und Bundesbehörden sind sich einig: Zahlen Sie kein Lösegeld.

Untersuchungen zeigen, dass nur 3 von 5 Unternehmen nach einer Lösegeldzahlung wieder Zugang zu ihren  Daten/Systemen erhalten haben. Es gibt also keine Garantie dafür. Und selbst wenn Sie Ihre Daten zurückerhalten, gibt es keine Garantie dafür, dass sie sicher sind - bei 18 % der Ransomware-Opfer, die das Lösegeld gezahlt haben, wurden die sensiblen Daten dennoch von bösartigen Akteuren im Dark Web veröffentlicht.

Entfernen der Ransomware

Leider ist das Entfernen von Ransomware von Geräten nicht so einfach wie ein Klick auf "Löschen". In vielen Fällen ist ein komplettes Zurücksetzen auf die Werkseinstellungen erforderlich, was unwiderruflich ist und das Risiko eines Datenverlusts birgt. Daher ist es immer am besten, die Unterstützung eines Fachmanns in Anspruch zu nehmen, der geeignete Entschlüsselungs-Tools verwenden und Ihren Betrieb sicher wiederherstellen kann.


Wiederherstellung von Daten aus Backups

Die effektivste Methode zur Wiederherstellung von Daten nach einem Ransomware-Angriff ist die Erstellung eines aktuellen Backups. Eine bewährte Methode ist die "3-2-1-Regel" - 3 Kopien der Daten, die an zwei verschiedenen Orten gespeichert werden, von denen eine offline ist.

Wenn es um die Wiederherstellung von Daten geht, scannen Sie Ihre Daten zunächst auf Malware und stellen Sie sicher, dass Backups nur mit bekanntermaßen sauberen Geräten verbunden sind, um eine erneute Infektion zu verhindern.

Melden Sie den Angriff

Sobald Ihr Unternehmen wieder online ist, sollten Sie den Ransomware-Angriff den zuständigen Behörden melden - zum Beispiel der CISA in den USA oder der NCSC in Großbritannien. Diese Informationen sind von unschätzbarem Wert, da sie den Behörden dabei helfen, die Entwicklung von Ransomware-Angriffen zu verfolgen, um die Cyberkriminellen zu stoppen, mit Abhilfemaßnahmen zu unterstützen und die weitere Verbreitung zu verhindern.


Schützen Sie sich vor künftigen Ransomware-Angriffen

Das richtige Verhalten von Personen kann eines der besten Mittel sein, um die Bedrohung durch Ransomware abzuwehren. Führen Sie Schulungen durch und weisen Sie immer wieder auf deren Bedeutung hin, um sicherzustellen, dass diese Verhaltensweisen verinnerlicht werden:


  • Aktualisieren Sie Ihr Gerät und schalten Sie automatische Updates ein.
  • Aktivieren der Multi-Faktor-Authentifizierung.
  • Regelmäßige Backups durchführen.
  • Kontrolle darüber, wer auf was auf Ihren Geräten zugreifen kann.
  • Aktivieren Sie den Schutz vor Ransomware.
  • Kontakt zu Ontrack für Ransomware-Wiederherstellung

Jeder Ransomware-Angriff ist einzigartig und variiert in seiner Komplexität, doch eine Datenwiederherstellung ist häufig  möglich. Wir bei Ontrack haben eine spezialisierte Sammlung proprietärer Tools zur Datenrettung entwickelt - wir verfügen derzeit über Verschlüsselungsfähigkeiten für 138 Arten von Ransomware und verfolgen kontinuierlich 271 verschiedene Varianten.

Mit Laboren auf der ganzen Welt stehen unsere Spezialisten rund um die Uhr zur Verfügung, um im schlimmsten Fall Hilfe und Unterstützung zu leisten.