Wie Sie Ransomware Angriffe vermeiden können

Dienstag, 4. Februar 2020 von Tilly Holland

DST-IMG_Ransomware-Case-Study_Feb-2021

Gemäß dem letzten McAfee threat report, wuchsen  Ransomware Attacken im ersten Quartal 2019 um 118%. Not only was there a significant rise in the number of attacks, but the year also saw new ransomware families appearing, and cyber criminals using more innovative techniques to cause chaos. It is, therefore, more important than ever that organizations know how to avoid becoming a victim of ransomware.

Nicht nur die Zahl der Angriffe ist deutlich gestiegen, sondern es sind auch neue Ransomware-Familien aufgetaucht und Cyber-Kriminelle nutzen ausgefeiltere Techniken für ihre Angriffe. Es ist daher wichtiger denn je, dass Unternehmen wissen, wie sie vermeiden können, Opfer von Ransomware zu werden.

Was müssen Sie über Ransomware wissen

In den letzten Jahren hat die Cyberkriminalität mit alarmierender Geschwindigkeit zugenommen. Leider geht der Anstieg der Technologie Hand in Hand mit dem Anstieg der Cyberkriminalität.

Laut des Cyber Security Breaches Survey waren 43 % der Unternehmen im Jahr 2018 Opfer einer Form von Cybersicherheitsverletzung. Während der US-Bundesstaat Kalifornien im Vorjahr allein durch Cyberkriminalität mehr als 214 Millionen Dollar verloren hat.

Erst letzten Monat schrieben wir über den neuesten Hack, der für Schlagzeilen sorgte: Collection #1. Und wenn man bedenkt, dass allein im letzten Jahr schätzungsweise mindestens 1,5 Billionen Dollar durch Cyberkriminalität erwirtschaftet wurden, ist es kein Wunder, dass dies zu einem großen Problem wird.

Es gibt viele Formen der Cyberkriminalität, von Phishing-Betrug über Internetbetrug bis hin zu Cyberstalking. In diesem Blog werden wir uns auf Ransomware konzentrieren.

 

Was ist Ransomware?

Ransomware ist eine Form von Schadsoftware, die entweder den Zugriff auf ein Computersystem blockiert oder die persönlichen Daten eines Opfers online veröffentlicht. Der Angreifer fordert vom Opfer ein Lösegeld und verspricht - nicht immer wahrheitsgemäß -, den Zugriff auf die Daten nach der Zahlung wiederherzustellen.

Seit den 1980er Jahren gibt es verschiedene Ransomware-Trojaner, aber die wirkliche Chance für Angreifer hat sich seit der Einführung von Bitcoin erhöht. Diese Kryptowährung ermöglicht es Angreifern, auf einfache Weise Geld von ihren Opfern zu sammeln, ohne den Umweg über traditionelle Kanäle zu gehen.

 

Woher kommt Ransomware?

Ransomware wird von hochqualifizierten Betrügern erstellt, die Experten in der Computerprogrammierung sind. Ransomware kann über Ihren Computer aus einem E-Mail-Anhang, über Ihr Netzwerk oder über Ihren Browser eindringen, wenn Sie eine Website besuchen, die mit dieser Art von Malware infiziert ist.

Wie arbeitet Ransomware?

Phishing

Das häufigste Verbreitungssystem für Ransomware ist Phishing-Spam - Anhänge, die in der E-Mail eines Opfers ankommen und sich als vertrauenswürdige Datei tarnen. Laut einer Studie des Sicherheitssoftwareunternehmens Trend Micro beginnen 91 % der Cyberangriffe und der daraus resultierenden Datenverletzungen mit einer Spear-Phishing-E-Mail.


Sobald der Anhang heruntergeladen und geöffnet wurde, kann die Malware den Computer des Opfers übernehmen und einige der Dateien des Benutzers verschlüsseln. In diesem Fall können die Dateien nur mit einem mathematischen Schlüssel entschlüsselt werden, den nur der Angreifer kennt.

Es sind auch Fälle bekannt, in denen Malware eine Meldung anzeigt, die behauptet, dass das "Windows" des Benutzers gesperrt ist. Der Benutzer wird dann aufgefordert, eine "Microsoft"-Telefonnummer anzurufen und einen sechsstelligen Code einzugeben, um das System wieder zu aktivieren. In der Nachricht wird behauptet, dass der Anruf kostenlos ist, was jedoch nicht stimmt. Während des Telefonats mit dem gefälschten "Microsoft" fallen für den Benutzer Ferngesprächsgebühren an.

 

Doxware

 

Eine andere Malware wird Leakware oder Doxware genannt. Hier droht der Angreifer damit, sensible Daten auf der Festplatte des Opfers freizugeben, wenn kein Lösegeld gezahlt wird. Oftmals sind E-Mails und Word-Dokumente das Ziel, aber es gab auch Fälle von mobilen Varianten, bei denen private Nachrichten, Bilder und Kontaktlisten von den Telefonen der Benutzer freigegeben wurden.

Doxware ist bekannt dafür, dass sie effektiver ist als Ransomware - in Bezug auf die Erlangung des Geldes vom Opfer. Bei Ransomware können Sie separate Backups von Daten erstellen, auf die nicht mehr zugegriffen werden kann, aber bei Doxware kann ein Angreifer, sobald er über Informationen verfügt, die das Opfer nicht öffentlich machen möchte, nur noch wenig tun, außer zu zahlen.

 

Es ist nicht allein das Lösegeld, was teuer ist!

Man könnte meinen, dass die Zahlung eines Lösegelds, um Zugang zu Ihren Daten zu erhalten, schon schlimm genug ist, aber das kann im Vergleich zu den tatsächlichen Schadenskosten, die mit einem Angriff verbunden sind, verblassen. Diese können Folgendes umfassen:


  • Beschädigung und Zerstörung (oder Verlust) von Daten
  • Verlorene Produktivität
  • Unterbrechung des normalen Geschäftsablaufs nach einem Angriff
  • Forensische Untersuchung
  • Wiederherstellung und Löschung von Geiseldaten und Systemen
  • Reputationsschaden
  • Mitarbeiterschulung als direkte Reaktion auf die Angriffe
  • Wenn Sie die oben genannten Punkte berücksichtigen, ist es kein Wunder, dass die Schäden durch Ransomware in diesem Jahr auf 11,5 Milliarden US-Dollar steigen werden, wobei 2021  alle 11 Sekunden ein Angriff prognostiziert wird - im letzten Jahr waren es noch alle 40 Sekunden.

     

    Zahlen oder nicht

    Wenn Sie mit Experten für Cyberkriminalität sprechen, raten die meisten dringend davon ab, Lösegeld zu zahlen, da die Finanzierung von Ransomware-Angreifern nur dazu beiträgt, mehr Ransomware zu erstellen.

    Viele Unternehmen widersetzen sich jedoch diesem Rat und wägen die Kosten für die verschlüsselten Daten gegen das geforderte Lösegeld ab. Letztes Jahr haben in den USA 45 % der Unternehmen, die von Ransomware betroffen waren, ihre Angreifer bezahlt. Aber warum?

    Während die Verweigerung der Zahlung von Ransomware für die breitere Geschäftswelt empfohlen wird, ist die Verweigerung der Zahlung möglicherweise nicht der beste Fall für das Unternehmen selbst. Vor allem dann nicht, wenn die Möglichkeit besteht, dass das Unternehmen dauerhaft den Zugriff auf wichtige Daten verliert, Geldstrafen von Aufsichtsbehörden auferlegt bekommt oder sogar ganz vom Markt verschwindet. Die Entscheidung zwischen der Zahlung eines relativ bescheidenen Lösegelds und dem Verbleib im Geschäft oder der Verweigerung der Zahlung, um der breiteren Geschäftswelt zu helfen, ist für die meisten eine klare Sache.

    In einigen Ransomware-Fällen wird das geforderte Lösegeld oft so hoch angesetzt, dass es sich für den Angreifer lohnt, aber niedrig genug, dass es oft billiger ist, als wenn ein Opfer für die Rekonstruktion seiner verlorenen Daten zahlt. Manchmal werden auch Rabatte angeboten, wenn das Opfer innerhalb eines bestimmten Zeitrahmens zahlt, z. B. innerhalb von 3 Tagen.

    Vor diesem Hintergrund legen einige Unternehmen sogar Bitcoin-Reserven speziell für Lösegeldzahlungen an. Dies ist vor allem in Großbritannien zu beobachten, wo Unternehmen anscheinend eher bereit sind, Lösegeld zu zahlen. Laut Gotham Sharma, Geschäftsführer bei der Exeltek Consulting Group, "gibt etwa ein Drittel der mittelgroßen britischen Unternehmen an, Bitcoin vorrätig zu haben, um auf Ransomware-Notfälle zu reagieren, wenn andere Optionen nicht sofort ausgeschöpft werden können."

     

    Wenn Sie Opfer eine Ransomware-Attacke geworden sind

    Wenn Sie mit Ransomware infiziert wurden, müssen Sie zunächst herausfinden, um welche Art von Ransomware es sich handelt. Wenn Sie an einer Ransomware-Notiz auf Ihrem Bildschirm nicht vorbeikommen, dann sind Sie wahrscheinlich mit Ransomware infiziert, die den Bildschirm sperrt. Wenn Sie durch Ihre Anwendungen navigieren können, aber Ihre Dateien, Filme usw. nicht öffnen können, sind Sie von verschlüsselnder Ransomware betroffen - der schlimmsten der beiden Varianten. Wenn Sie durch Ihr System navigieren und alle Ihre Dateien lesen können, sind Sie wahrscheinlich von einer gefälschten Ransomware betroffen, die nur versucht, Ihnen Angst einzujagen, damit Sie zahlen.

    Es gibt einen großartigen Blog, der detailliert beschreibt, was zu tun ist, wenn Sie von Ransomware betroffen sind, die den Bildschirm sperrt oder verschlüsselt.

    Ransomware vorbeugen

    -Stellen Sie sicher, dass Sie ein gutes Backup aller Ihrer Dateien haben. Wenn etwas passiert, ist die Wiederherstellung Ihrer Dateien von einem Backup der schnellste Weg, um wieder Zugriff auf Ihre Daten zu erhalten.


    -Wenn Sie auf E-Mails, unaufgeforderte Telefonanrufe, Textnachrichten oder Sofortnachrichten antworten, geben Sie keine persönlichen Informationen an. Phisher können versuchen, Mitarbeiter zur Installation von Malware zu verleiten oder Informationen zu erlangen, indem sie vorgeben, jemand aus Ihrer IT-Abteilung zu sein.

    -Versichern Sie sich, dass Sie eine seriöse Antiviren-Software und eine Firewall haben. Es gibt viele gefälschte Software auf dem Markt, daher ist es wichtig, dass Ihr Virenschutz und Ihre Firewall stark sind, um sicherzustellen, dass Sie vor Malware-Bedrohungen geschützt sind.

    - Vergewissern Sie sich, dass auf Ihren Mail-Servern eine Inhaltsprüfung und Filterung vorhanden ist. Jede eingehende E-Mail sollte auf bekannte Bedrohungen gescannt werden, und blockieren Sie alle Anhangstypen, die eine Bedrohung darstellen könnten.

    -Wenn Sie beruflich unterwegs sind, sollten Sie Ihre IT-Abteilung vorher informieren, vor allem, wenn Sie möglicherweise öffentliche drahtlose Internetpunkte nutzen. Stellen Sie sicher, dass Sie ein vertrauenswürdiges virtuelles privates Netzwerk (VPN) verwenden, wenn Sie auf öffentliche WLAN-Punkte zugreifen.

    - Vergewissern Sie sich, dass Ihre gesamte Computersoftware auf dem neuesten Stand ist. Dazu gehören das Betriebssystem, der Browser und alle Toolbar-Plug-ins, die Sie verwenden.

     

    Ontrack und Ransomware

    Bei Ontrack verfolgen wir ständig mehr als 270 verschiedene Arten von Ransomware. Ransomware verändert und entwickelt sich ständig weiter, daher wollen wir sicherstellen, dass wir die neuesten Veränderungen und Fortschritte beobachten und studieren. Das Studieren von Ransomware und ihrer sich ständig verändernden Formen bedeutet, dass es wahrscheinlicher ist, dass wir in der Lage sind, Daten wiederherzustellen, die als Folge eines Angriffs verloren gegangen sind.

    Wir verfügen derzeit über Verschlüsselungsmöglichkeiten für etwa 150  Arten von Ransomware. Noch vor ein paar Jahren waren es nur sechs, wir haben also einen langen Weg hinter uns!

    Wenn es um unzugängliche Daten geht, ist es immer am besten, einen Experten zu kontaktieren. Wenn Sie von Ransomware angegriffen werden, wenden Sie sich an einen Experten wie Ontrack, der Ihnen möglicherweise helfen kann, Zugriff auf Ihre Daten zu erhalten.

    Neue Ransomware-Familien

    Cyberkriminelle lassen sich immer wieder neue und innovative Wege einfallen, um Unternehmen anzugreifen und zu infizieren. Spear-Phishing-Taktiken sind nach wie vor eine beliebte Wahl vieler Bedrohungsakteure. Dennoch, so die Forscher von McAfee, "verschaffen sich immer mehr Angreifer Zugang zu einem Unternehmen, das über offene und exponierte Remote-Zugangspunkte wie Remote Desktop Protocol (RDP) und Virtual Network Computing (VNC) verfügt." Hacker sind oft in der Lage, auf diese Zugangsdaten zuzugreifen, da Unternehmen oft RDP-Client-Ports für das Internet offen lassen - es ist einfach, Blöcke von IP-Adressen nach offenen RDP-Ports zu scannen. Angreifer versuchen dann, das Login/Passwort des Remote-Desktops zu erzwingen. Hacker können RDP-Anmeldedaten auch über Untergrundmärkte und Passwortlecks erhalten.


    Anatova

    Eine Entdeckung für 2019 war die Ransomware Anatova. Diese neue Ransomware-Familie tarnt sich als das Symbol eines Spiels oder einer Anwendung, um den Benutzer zum Herunterladen zu verleiten. Es handelt sich um eine extrem fortschrittliche Form von Malware, die sich schnell anpasst und Ausweich- und Verbreitungstechniken einsetzt, um ihre Entdeckung zu verhindern. Aufgrund seines modularen Aufbaus kann er zusätzliche Funktionalitäten einbetten, die es ihm ermöglichen, Anti-Ransomware-Methoden zu umgehen. Glücklicherweise entdeckte das McAfee Advanced Threat Research-Team diese neue Ransomware-Familie Anfang 2019, bevor sie zu einer signifikanten Bedrohung wurde.


    Dharma

    Die Ransomware Dharma, eine Variante von CrySiS, gibt es seit 2018, aber die Cyberkriminellen veröffentlichen immer wieder neue Varianten, die sich nicht entschlüsseln lassen.


    GandCrab

    Eine bösartige Ransomware, die AES-Verschlüsselung verwendet und eine Datei namens "GandCrab.exe" auf dem System ablegt. GandCrab zielt auf Verbraucher und Unternehmen mit PCs unter Microsoft Windows ab. Am 31. Mai 2019 gaben die Cyberkriminellen hinter GandCrab bekannt, dass sie alle weiteren Angriffe mit der Ransomware GandCrab stoppen und behaupten, sie hätten mehr als 2 Milliarden US-Dollar an Lösegeldzahlungen geleistet und gingen in den "wohlverdienten Ruhestand."


    Emotet

    Emotet war ursprünglich eine Malware, die es auf Banken abgesehen hatte - sie würde sich auf Ihren Computer schleichen und sensible und private Informationen stehlen. Erstmals im Jahr 2014 aufgetaucht, hat Emotet eine Vielzahl von Versionen durchlaufen und sich zu einer Ransomware entwickelt, die sich sogar der Erkennung durch einige Anti-Malware-Produkte entziehen kann. Seit seiner Einführung hat Emotet Bankanmeldungen, Finanzdaten und Bitcoin-Brieftaschen von Einzelpersonen, Unternehmen und Regierungsstellen in ganz Europa und den USA gestohlen.

    Die Hacker nutzen wurmähnliche Fähigkeiten, um sich auf andere Computer zu verbreiten, und schleusen Emotet in der Regel über Spam-E-Mails ein, die den Anschein erwecken, legitim zu sein, und das Opfer durch verlockende Formulierungen zum Klicken auf den Link verleiten.

    Emotet ist eine der kostspieligsten und zerstörerischsten Malwares - nach Angaben des Department of Homeland Security belaufen sich die Kosten für die Beseitigung eines durchschnittlichen Emotet-Angriffs auf über 1 Million US-Dollar.


    Ryuk

    Ryuk zielt speziell auf große Organisationen ab, um einen hohen finanziellen Gewinn zu erzielen. Laut CrowdStrike erbeutete Ryuk zwischen August 2018 und Januar 2019 über 705,80 Bitcoins in 52 Transaktionen im Gesamtwert von 3.701.893,98 US-Dollar. Das Unternehmen erregte erstmals Aufsehen mit seinem Angriff auf den Betrieb von Tribune Publishing in der Weihnachtszeit 2018. Zunächst dachte das Unternehmen, dass es sich bei dem Angriff nur um einen Serverausfall handelte, aber es wurde schnell klar, dass es sich um die Ransomware Ryuk handelte.


    Ein anderer Begriff für Ransomware wie Ryuk, die auf große Unternehmen abzielt, um einen hohen ROI zu erzielen, ist "Big Game Hunting". Diese groß angelegten Angriffe beinhalten eine detaillierte Anpassung der Kampagnen an die einzelnen Ziele, wodurch die Effektivität der Angriffe erhöht wird. Die "Großwildjagd" erfordert daher viel mehr Arbeit vom Hacker; außerdem wird sie normalerweise in Phasen gestartet. Phase eins könnte beispielsweise ein Phishing-Angriff sein, der darauf abzielt, das Netzwerk eines Unternehmens mit Malware zu infizieren, um das System abzubilden und wichtige Anlagen zu identifizieren. Phase zwei und drei sind dann eine Reihe von Erpressungs- und Lösegeld-Angriffen/-Forderungen.


    Wie man sich vor Ransomware schützen kann

    Bei der Bekämpfung von Ransomware gibt es viele Dinge zu beachten. Da es heutzutage so viele verschiedene Arten von Malware gibt, sollten Sie die folgenden drei Haupttipps im Auge behalten und entsprechend ausführen.


    1. E-Mail-Sicherheit an erster Stelle

    Laut McAfee sind Spam-E-Mails nach wie vor einer der Haupteinfallstore für Ransomware-Viren, insbesondere bei gezielten Angriffen. Daher ist die Absicherung dieser Hauptanfälligkeitsquelle für jeden, der ein Netzwerk betreibt oder eine Verbindung zum Internet hat, von entscheidender Bedeutung.

     

    2. Schaffen Sie ein sicheres Netzwerk und eine sichere IT-Umgebung

    Ransomware, die einen einzelnen Computer infiziert, ist zweifelsohne ein ernstes Problem. Aber wenn sie sich im gesamten Netzwerk ausbreitet, kann sie nicht nur zu einem Alptraum für die IT-Abteilung werden, sondern das gesamte Unternehmen gefährden.

    Unternehmen, die dies noch nicht getan haben, sollten über die Implementierung einer Datensicherheitssoftware nachdenken, die alle eingehenden E-Mails prüft, bevor der beabsichtigte Empfänger sie erhält. Eine solche Lösung wird das Risiko, dass sich ein Virus innerhalb eines Firmennetzwerks ausbreitet, drastisch reduzieren. Darüber hinaus sollten IT-Administratoren und das Management die Implementierung einer Netzwerksicherheitssoftware in Betracht ziehen, die das Netzwerk und seine Dateien automatisch auf Bedrohungen überwacht. Die Lösung wird die Administratoren auch alarmieren, wenn ein Ransomware-Angriff versucht, große Mengen an Dateien über das Netzwerk zu verschlüsseln.

    Und nicht zuletzt: Aktualisieren Sie Ihre Software und Betriebssysteme immer mit den neuesten Patches, sobald diese verfügbar sind. Wie schon so oft betont, sind Hacker mit ihren Angriffen nur dann erfolgreich, wenn das Opfer Lücken in seinen Datensicherheitsrichtlinien hat.

     

    3. Machen Sie Ihre Mitarbeiter schlau

    Selbst erfahrene Computeranwender geraten in Panik, wenn sie merken, dass sie mit einem Ransomware-Angriff konfrontiert sind. Daher ist es wichtig, dass jeder Mitarbeiter in einem Unternehmen genau weiß, was im Falle eines Ransomware-Angriffs zu tun ist, selbst Führungskräfte und IT-Direktoren auf höchster Ebene.

    Ein Ransomware-Angriff sollte nicht nur Teil eines Business-Continuity-Plans für das höhere Management oder IT-Experten sein, sondern genaue Tipps, was im Falle eines Angriffs zu tun ist, sollten in jedem Büro sichtbar und verständlich sein. Diese können einfach, aber effektiv sein, zum Beispiel:

    • Trennen Sie die Verbindung zum Internet und zum internen Netzwerk.
    • Versuchen Sie, das Gerät ordnungsgemäß herunterzufahren oder rufen Sie sofort die IT-Sicherheit/IT-Administration an

    Sowohl die Mitarbeiter der IT-Sicherheit als auch der Administration sollten sich kontinuierlich über die neuesten Entwicklungen im Bereich Cybersecurity und Hacking informieren. Das Lesen der neuesten Blog-Nachrichten, das Informieren über neue Entwicklungen in dieser Szene und Schlupflöcher in Netzwerken oder Softwarelösungen sollte daher für diese Mitarbeiter eine Notwendigkeit sein.


    Was sollten Sie tun, wenn Sie von Ransomware betroffen sind?

    Wenn aus dem einen oder anderen Grund Ransomware Ihre Verteidigungslinie durchbricht, sollten Sie Folgendes tun:

    Bezahlen Sie niemals das Lösegeld! Das Bezahlen der Kriminellen ist keine Garantie dafür, dass Sie Ihre Daten zurückbekommen. In vielen Fällen (und ganz sicher, wenn es sich um Ransomware oder Wiper-Malware handelt) werden Sie Ihre Daten nicht zurückbekommen, sodass Sie ohne Daten und mit viel weniger Geld dastehen!

    Versuchen Sie nicht, die Daten selbst zu entschlüsseln. Einige Computerspezialisten haben zwar die Fähigkeiten, verlorene Daten wiederherzustellen, aber es ist riskant - wenn etwas schief geht, könnten Ihre Daten für immer zerstört werden.

    Datenrettung von Ransomware

    Aus der Sicht eines Datenrettungsspezialisten ist jeder Ransomware-Fall anders. Es gibt nicht nur einen großen Unterschied in der Art und Weise, wie Ransomware-Varianten die Daten verschlüsseln und sich im Netzwerk verbreiten, sondern auch, wie sie auf unterschiedliche Bereiche von Datenspeichersystemen abzielen.


    Einige Systeme und Datenstrukturen sind anspruchsvoller und benötigen mehr Zeit zur Wiederherstellung als andere. Da jeder Fall anders ist, ist es sinnvoll, einen Spezialisten zu kontaktieren und zu fragen, ob er Ihre Art von Ransomware-Stamm schon einmal gesehen hat. Diese können Sie beraten, ob es sich lohnt, einen Datenrettungsversuch zu unternehmen und ob sie bereits mit ähnlichen Fällen erfolgreich waren.


    Die Angriffe der letzten Jahre zeigen, dass Ransomware weiterhin eine ernsthafte Bedrohung für Privatpersonen und Unternehmen darstellt. Es lohnt sich daher, Ihre Datensicherheit, Netzwerkrichtlinien, Benutzerschulungen und Backup-Verfahren zu überdenken.


    Aus der Backup-Perspektive empfehlen wir Ihnen, Backups Ihrer geschäftskritischen Daten auf externen Speichergeräten zu speichern, die Sie nicht mit Ihrem Netzwerk verbinden, z. B. auf Bändern. Sie sollten Ihre Backups regelmäßig auf Genauigkeit und Funktionalität testen.


    Wenn Ihre Backups nicht funktionieren oder von Ransomware befallen sind, wenden Sie sich am besten an einen professionellen Ransomware-Datenrettungsdienstleister, der versuchen kann, Ihre Daten von den problematischen Backup-Medien wiederherzustellen oder die Ransomware selbst zu umgehen, um an die Daten zu gelangen.

    Ransomware Attacke

    Ontrack Datenrettungsblog

    Das sagen unsere Kunden: