Vorgehen und Massnahmen

Alles, was man zu Ransomware wissen sollte

Uhr
von Cornelia Lehle, Sales Director, G Data Schweiz

Ransomware-Angriffe mit Lösegeldforderungen in Millionenhöhe sorgen wiederholt für Schlagzeilen. Cyberkriminelle verfeinern ihre Angriffe laufend und profitieren davon, dass Unternehmen immer noch allzu sorglos mit dem Schutz kritischer Daten und dem eigenen Netzwerk umgehen. Eine Bestandsaufnahme.

Die erste Ransomware erschien bereits vor über 30 Jahren – getarnt als Programm zum Thema AIDS / HIV. Mehr als 10'000 Rechner wurden damals per Diskette infiziert. Insbesondere in den letzten zehn Jahren haben Sicherheitsexperten einen rasanten Anstieg von Ransomware-Attacken verzeichnet und werden nicht müde, davor zu warnen.

Was ist Ransomware?

Zu Ransomware gehört jedes Schadprogramm, das Lösegeld erpresst und dabei den Zugriff auf Daten, Teile des Systems oder das gesamte System verhindert, oder vorgibt, dies zu tun. Der Begriff Ransomware wird oft synonym für Malware verwendet, die Dateien verschlüsselt und Lösegeld erpresst, sogenannte File-Encrypter. Allerdings gibt es weitere Arten wie etwa Disk-Encrypter, die den Master-Boot-Record verschlüsseln und damit den Start des Betriebssystems verhindern. Oder Fake-Encrypter: Sie täuschen lediglich vor, dass sie Dateien verschlüsseln. Eine weitere Unterart sind Screenlocker, die den Bildschirm sperren.

Ransomware – Die Entwicklung

Wenig überraschend haben die Cyberkriminellen in der Corona-Pandemie ihre Angriffsbemühungen verstärkt. Laut IT-Sicherheitsforschern stieg die Anzahl von Ransomware-Angriffen seither deutlich. Und auch die Höhe der Lösegeldforderungen ist gestiegen - so nahm der durchschnittlich geforderte Betrag innerhalb 2021 von etwa 110'000 US-Dollar im ersten Quartal auf 170'000 Dollar im dritten Quartal zu. Dabei ist eine Tendenz zu beobachten: Kriminelle passen die Lösegeldforderungen an die wirtschaftliche Zahlungsfähigkeit ihrer Opfer an.

2021 war die Ransomware STOP besonders aktiv. Sie war im Sommer für mehr als die Hälfte aller Erpressungsversuche verantwortlich. Die Entwickler vertrieben STOP als Ransomware-as-a-Service. Das bedeutet, dass Angreifer die Malware nach ihren eigenen Wünschen konfigurieren können. Typischerweise haben sie die Möglichkeit, die zu verschlüsselnden Dateien und die Höhe der Lösegeldforderung festzulegen. Die Konfigurationsmöglichkeiten erschweren die Identifizierung der Ransomware, weil Verwechslungsgefahr mit anderer Ransomware besteht.

Beispiel einer Ransomware-Benachrichtigung. (Source: zVg)

Anatomie einer Attacke

Die meisten Cyberattacken folgen einem festen Muster: Zunächst spähen die Angreifer ihr Opfer aus und sammeln Informationen. Dazu analysieren sie die Netzwerkinfrastruktur und suchen gezielt nach offenen Ports oder Access Points. Gleichzeitig sammeln sie mit professionellen Analysetools Informationen zu aktiven Maschinen, Betriebssystemen und Services. So erfahren sie den aktuellen Patch-Status oder finden möglicherweise Lücken wie ein ungepatchtes Citrix-System oder einen noch aktiven Windows-7-Rechner. Die Kriminellen werten auch Social-Media-Accounts aus, um mittels Social Engineering einen Weg in das fremde Netz zu finden. Die gefundenen Schwachstellen nutzen die Angreifer aus und schleusen den Schadcode direkt in das Zielsystem oder verschicken Mails mit Malware an Mitarbeitende des anvisierten Unternehmens.

Dies alles passiert unbemerkt – ebenso wie die nächsten Schritte, in denen die Cyberkriminellen sukzessive die Kontrolle über die Systeme übernehmen. Dazu verbreiten sie das Schadprogramm immer weiter im Netzwerk und etablieren einen Rückkanal zu einem Command-and-Control-Server, mit dem sie ständig Informationen austauschen. Die Angreifer laden automatisiert einerseits neuen Schadcode nach, andererseits leiten sie die für die Täter interessanten Daten aus dem Unternehmen aus. Erst dann setzen sie zum finalen Schlag an und verschlüsseln das System beziehungsweise die wichtigsten Dateien. Dann werden die Bildschirme im Unternehmen schwarz und eine Lösegeldforderung erscheint. Die Erfahrungen zeigen, dass zwischen der Erstinfektion und dem Auftauchen eines Schadens im Schnitt 180 Tage vergehen.

Wie entferne ich Ransomware?

Wer Opfer einer Attacke geworden ist, steht vor der zentralen Frage: Wie entferne ich den Schädling aus meinen Systemen? Das Problem: In der Regel löscht sich die Ransomware, nachdem sie ihr Werk vollbracht hat. Hier sind Unternehmen auf jeden Fall auf die Hilfe von Fachleuten angewiesen. Um die befallene IT-Infrastruktur restlos vom schadhaften Code zu befreien, analysieren Malware-Experten die Systeme zunächst mit speziellen Tools. Im ersten Schritt gilt es, das Problem einzugrenzen sowie den bereits entstandenen Schaden abzuschätzen, die genutzte Schadsoftware zu identifizieren und zu prüfen, ob die Täter weitere Werkzeuge eingesetzt haben. Ein wesentlicher Punkt ist die Wiederherstellung der Daten. Diese hängt unmittelbar mit der Backup-Strategie des Unternehmens zusammen. Hat eine Firma die Sicherung getrennt vom Netzwerk aufbewahrt, können die Incident-Response-Fachleute auf eine unverschlüsselte Datenbasis zugreifen und das Unternehmen schnell wieder vollständig arbeitsfähig machen. Komplizierter ist es, wenn beim Angriff die Backups ebenfalls verschlüsselt wurden.

Lösegeld – zahlen oder nicht?

Wenn es um die Frage geht "Zahlen oder nicht?", galt bisher immer der Grundsatz "Niemals zahlen". Der Grund dafür: Wenn Opfer von Ransomware-Angriffen die geforderten Lösegelder zahlen, bekommt das Geschäftsmodell weiter Auftrieb. Wer die richtigen Vorkehrungen getroffen hat, ist auf der sicheren Seite. Einfach das Backup zurückspielen und im schlimmsten Fall vielleicht ein paar Stunden Arbeit zu verlieren, ist grundsätzlich das Mittel der Wahl. Doch die Erfahrung hat auch gezeigt, dass nicht jedes Unternehmen für den Ernstfall vorgesorgt hat. In diesem Worst Case ist guter Rat sehr teuer. Dann geht es darum, ob die Unternehmensleitung das Lösegeld zahlt – oder ob die Firma untergeht. Wenn es allerdings so weit kommt, muss das Unternehmen eine Entscheidung treffen – auch mit Unterstützung von Polizei und Sachverständigen. Steht fest, um welche Ransomware es sich handelt, und dass die Zahlung auch wirklich zu einer Entschlüsselung führt, dann ist die Zahlung des Lösegeldes hier vielleicht das kleinere Übel – und womöglich die letzte Hoffnung für das betroffene Unternehmen. Allerdings ist die Lösegeld-Zahlung keine Garantie, dass Unternehmen ihre Daten zurückerhalten.

Unternehmen schützen! Aber wie?

Wenn Unternehmen sich dem Thema IT-Sicherheit verweigern, handeln sie fahrlässig und gefährden die Existenz des Unternehmens. Dabei können sie das Risiko einer Ransomware-Attacke durch zahlreiche Massnahmen deutlich reduzieren:

  • Der aktuelle Status der technologischen IT-Schutzmassnahmen lässt sich etwa durch einen Penetrationstest prüfen. Damit lassen sich mögliche Lücken in der IT-Sicherheit aufdecken und mit entsprechenden Massnahmen schliessen. Wichtig dabei ist: Dieser Test sollte regelmässig stattfinden, da sie nur eine Momentaufnahme des aktuellen Status abbilden. Neue Geräte, Anwendungen oder Updates verändern den Status wieder.

  • Selbstverständlich gehören eine Firewall und Endpoint-Schutz zur grundlegenden Absicherung.

  • Viel entscheidender ist aber eine Backup-Strategie sowie ein regelmässiger Test, ob die Backups auch funktionsfähig sind.

  • Passwörter sind ebenfalls ein wichtiger Baustein für die IT-Sicherheit. Insbesondere lange und komplexe Passwort-Phrasen sind besonders sicher. Der Vorteil dabei: Sichere Kennwörter müssen nicht so häufig getauscht werden.

  • Natürlich gehört auch die Schulung der Mitarbeitenden über Cybergefahren in das Massnahmenbündel. So lässt sich das Bewusstsein der Angestellten für die IT-Sicherheit schärfen, sodass sie künftig umsichtiger handeln und eine Ransomware-Attacke im besten Fall verhindern.

Webcode
DPF8_243834