Go to Top

Ransomware-Angriffe: Alles, was Sie wissen müssen

In den letzten Jahren hat die Cyberkriminalität in alarmierender Weise zugenommen. Leider geht der Aufstieg der Technologie Hand in Hand mit dem Anstieg der Cyberkriminalität.

Laut des Cyber Security Breach Survey waren 43% der Unternehmen im Jahr 2018 Opfer einer Cybersicherheitsverletzung. Im Vorjahr hatte der US-Bundesstaat Kalifornien allein durch Cyberkriminalität mehr als 214 Millionen Dollar verloren.

Erst letzten Monat schrieben wir über den neuesten Hack, um in die Schlagzeilen zu kommen, Collection #1. Und da Cyberkriminalität allein im letzten Jahr schätzungsweise mindestens 1,5 Billionen Dollar generiert hat, ist es kein Wunder, dass dies zu einem großen Problem wird.

Es gibt viele Formen der Cyberkriminalität, die von Phishing-Betrug, Internetbetrug bis hin zu Cyberstalking reichen. In diesem Blog werden wir uns auf Ransomware konzentrieren.

Was ist Ransomware?

Ransomware ist eine Form von bösartiger Software, die entweder den Zugang zu einem Computersystem blockiert oder die persönlichen Daten eines Opfers online veröffentlicht. Der Angreifer verlangt vom Opfer ein Lösegeld und verspricht – nicht immer wahrheitsgemäß – den Zugriff auf die Daten bei Zahlung wiederherzustellen.

Seit den 1980er Jahren sind in den letzten zehn Jahren verschiedene Ransomware-Trojaner aufgetaucht, aber die echte Chance für Angreifer hat sich seit der Einführung von Bitcoin erhöht. Diese Kryptowährung ermöglicht es Angreifern, leicht Geld von ihren Opfern zu sammeln, ohne über traditionelle Kanäle zu gehen.

Woher kommt Ransomware?

Ransomware wird von hoch qualifizierten Betrügern erstellt, die Experten für Computerprogrammierung sind. Ransomware kann über Ihren Computer von einem E-Mail-Anhang, über Ihr Netzwerk oder über Ihren Browser eindringen, wenn Sie eine Website besuchen, die mit dieser Art von Malware infiziert ist.

Wie funktioniert Ransomware?

Phishing

Das gebräuchlichste Bereitstellungssystem für Ransomware sind Phishing-Spam-Anhänge, die in der E-Mail eines Opfers ankommen und sich als eine Datei tarnen, der sie vertrauen können. Laut einer Studie des Sicherheitssoftwareunternehmens Trend Micro beginnen 91% der Cyber-Angriffe und die daraus resultierende Datenverletzung mit einer Spear-Phishing-E-Mail.

Sobald der Anhang heruntergeladen und geöffnet wurde, kann die Malware den Computer des Opfers übernehmen und einige der Dateien des Benutzers verschlüsseln. In diesem Fall können die Dateien nur durch einen mathematischen Schlüssel entschlüsselt werden, der nur dem Angreifer bekannt ist.

Es gab auch Fälle, in denen Malware eine Meldung anzeigt, dass der „Windows-Account“ des Benutzers gesperrt ist. Der Benutzer wird dann aufgefordert, eine vermeintliche Microsoft-Rufnummer anzurufen und einen sechsstelligen Code einzugeben, um das System zu reaktivieren. Die Nachricht behauptet, dass der Anruf kostenlos ist, aber das ist nicht wahr. Während des Telefonats mit einem Mitarbeiter der vermeintlichen Microsoft, zahlt der Benutzer Ferngesprächsgebühren.

(Beispiel einer Phishing E-Mail: http://www.malwarehelp.org/screenshots-of-phishing-email-messages.html)

Doxware

Eine weitere Malware wird als Leakware oder Doxware bezeichnet. Hier droht der Angreifer damit, sensible Daten auf der Festplatte des Opfers freizugeben, es sei denn, es wird ein Lösegeld gezahlt. Häufig auf E-Mails und Word-Dokumente ausgerichtet, gab es auch Fälle von mobilen Varianten, in denen private Nachrichten, Bilder und Kontaktlisten von den Telefonen der Benutzer freigegeben wurden.

Doxware ist bekanntlich effektiver als Ransomware – in Bezug auf die Beschaffung des Geldes vom Opfer. Mit Ransomware können Sie getrennte Backups von Daten verwalten, die nicht mehr zugänglich sind. Mit Doxware gibt es leider nicht mehr viel zu tun, außer zu bezahlen, sobald ein Angreifer Informationen hat, die das Opfer nicht veröffentlicht haben will.  Nicht nur das Lösegeld macht die Sache teuer!

Man sollte meinen, dass die Zahlung eines Lösegelds, um wieder Zugang zu Ihren Daten zu erhalten, schlimm genug ist, aber das ist kein Vergleich zu den tatsächlichen Schadenskosten, die mit einem Angriff verbunden sind.

Diese können Folgendes beinhalten:

  • Beschädigung und Zerstörung (oder Verlust) von Daten
  • Produktivitätsverlust
  • Störung des normalen Geschäftsablaufs nach einem Angriff
  • Forensische Untersuchung
  • Wiederherstellung und Löschung von Geiseldaten und -systemen
  • Reputationsschaden
  • Mitarbeiterschulung als direkte Reaktion auf die Angriffe

Wenn Sie das oben Gesagte berücksichtigen, ist es kein Wunder, dass Ransomware-Schäden in diesem Jahr auf 11,5 Milliarden Dollar ansteigen werden, wobei bis Ende dieses Jahres alle 14 Sekunden ein Angriff prognostiziert wird, im Vergleich zu 40 Sekunden im Vorjahr.

Bezahlen oder nicht bezahlen

Wenn Sie mit Experten für Cyberkriminalität sprechen, fordern die meisten Sie auf, die Lösegelder nicht zu bezahlen, da die Finanzierung von Ransomware-Angriffen nur dazu beitragen wird, mehr Ransomware zu schaffen.

Obwohl viele Organisationen gegen diesen Ratschlag sind, der die Kosten der verschlüsselten Daten gegen das geforderte Lösegeld abwägt. Im vergangenen Jahr zahlten in den USA 45% der von Ransomware betroffenen Unternehmen ihre Angreifer. Aber warum?

Während die Verweigerung der Zahlung von Ransomware für die gesamte Geschäftswelt vorgeschlagen wird, ist die Verweigerung der Zahlung möglicherweise nicht die beste Lösung für das Unternehmen selbst. Insbesondere wenn die Chance besteht, dass das Unternehmen den Zugang zu wichtigen Daten dauerhaft verliert, Bußgelder von den Aufsichtsbehörden erhält oder sein Geschäft ganz aufgeben muss. Die Wahl zwischen der Zahlung eines relativ bescheidenen Lösegeldes und dem Verbleiben im Geschäft oder der Weigerung, zu zahlen, um der breiteren Geschäftswelt zu helfen, ist für die meisten ein Kinderspiel.

In einigen Fällen von Ransomware wird das geforderte Lösegeld oft an einem Punkt festgelegt, an dem es sich für den Angreifer lohnt, aber niedrig genug und oft billiger als die Kosten, die ein Opfer für die Wiederherstellung seiner verlorenen Daten bezahlen müsste. Manchmal werden auch Rabatte gewährt, wenn das Opfer innerhalb eines bestimmten Zeitraums z.B. innerhalb von 3 Tagen bezahlt.

Vor diesem Hintergrund bauen einige Unternehmen tatsächlich Bitcoin-Reserven speziell für Lösegeldzahlungen auf. Dies zeigt sich insbesondere im Vereinigten Königreich, wo Organisationen offenbar eher Lösegeld zahlen. Laut Gotham Sharma, Geschäftsführer der Exeltek Consulting Group, „berichten etwa ein Drittel der mittelständischen britischen Unternehmen, dass Bitcoin zur Verfügung steht, um auf Ransomware-Notfälle zu reagieren, wenn andere Optionen nicht sofort ausgeschöpft werden können“.

Was tun, wenn Sie mit Ransomware infiziert sind?

Wenn Sie glauben, sich mit Ransomware infiziert zu haben, sollten Sie zuerst herausfinden, um welche Art von Ransomware es sich handelt. Wenn Sie an einer Ransomware-Notiz auf Ihrem Bildschirm nicht vorbeikommen, dann sind Sie wahrscheinlich mit Ransomware infiziert worden, die den Bildschirm sperrt. Wenn Sie durch Ihre Apps blättern können, aber Ihre Dateien, Filme usw. nicht öffnen können, wurden Sie von verschlüsselnder Ransomware getroffen – der schlimmere Fall von beiden. Wenn Sie in Ihrem System navigieren und alle Ihre Dateien lesen können, dann haben die Angreifer wahrscheinlich mit einer Fälschung zugeschlagen, die Sie nur zu erschrecken versucht, damit Sie bezahlen.

Es gibt einen großartigen Blog-Post, der detailliert beschreibt, was zu tun ist, wenn man hier sowohl mit Bildschirmverriegelung als auch mit verschlüsselter Ransomware infiziert wird.

Wie kann man Ransomware verhindern?

  • Stellen Sie sicher, dass Sie ein gutes Backup aller Ihrer Dateien haben. Auf diese Weise ist im Notfall die Wiederherstellung Ihrer Dateien aus einem Backup der schnellste Weg, um den Zugriff auf Ihre Daten wiederherzustellen.
  • Bei der Beantwortung von E-Mails enthalten unaufgeforderte Anrufe, Textnachrichten oder Sofortnachrichten keine personenbezogenen Daten. Phisher können versuchen, Mitarbeiter zur Installation von Malware zu verleiten oder Informationen zu gewinnen, indem sie behaupten, sie seien jemand aus Ihrer IT-Abteilung.
  • Stellen Sie sicher, dass Sie über eine seriöse Antivirensoftware und eine Firewall verfügen. Es gibt viele gefälschte Software auf dem Markt, daher ist es wichtig, dass Ihr Antivirenprogramm und Ihre Firewall stark sind, um sicherzustellen, dass Sie vor Malware-Bedrohungen geschützt sind.
  • Stellen Sie sicher, dass Sie über eine Inhaltsüberprüfung und -filterung auf Ihren Mail-Servern verfügen. Jede eingehende E-Mail sollte auf bekannte Bedrohungen überprüft werden und alle Anhänge blockieren, die eine Bedrohung darstellen könnten.
  • Wenn Sie beruflich unterwegs sind, sollten Sie Ihre IT-Abteilung vorher informieren, besonders dann, wenn Sie glauben, dass Sie öffentliche drahtlose Internet-Spots nutzen. Stellen Sie sicher, dass Sie über ein vertrauenswürdiges Virtual Private Network (VPN) verfügen, wenn Sie auf öffentliche Wi-Fi-Spots zugreifen.
  • Stellen Sie sicher, dass alle Ihre Computerprogramme auf dem neuesten Stand sind. Dazu gehören das Betriebssystem, der Browser und alle von Ihnen verwendeten Plug-Ins für die Symbolleiste.

Lesen Sie auch unseren vorherigen Blogartikel wie Sie Ihr Unternehmen vor Cyberkriminalität schützen.

Ontrack und Ransomware

Bei Ontrack verfolgen wir ständig 271 verschiedene Arten von Ransomware. Ransomware ändert und entwickelt sich ständig, deshalb wollen wir sicherstellen, dass wir die neuesten Änderungen und Weiterentwicklungen beobachten und studieren. Die Untersuchung von Ransomware und ihren sich ständig ändernden Formen bedeutet, dass es wahrscheinlicher ist, dass wir in der Lage sein werden, Daten wiederherzustellen, die durch einen Angriff verloren gegangen sind.

Wir haben derzeit Verschlüsselungsfunktionen für 138 Arten von Ransomware. Noch vor ein paar Jahren waren es nur 6, also sind wir einen langen Weg gegangen!

Wenn es um unzugängliche Daten geht, ist es immer am besten, einen Experten zu kontaktieren. Wenn Sie von Ransomware angegriffen werden, wenden Sie sich an einen Experten wie Ontrack Datenrettung, der Ihnen möglicherweise helfen kann, Zugang zu Ihren Daten zu erhalten.

Bildnachweis: Ontrack Datenrettung

Screenshot: www.malwarehelp.org