Skip to Content

Lebenszyklus eines Ransomware-Angriffs

Da Cyberkriminelle heute immer raffinierter werden, verfügen sie über mehr Arten von Ransomware und mehr Vektoren, über die sie Angriffe auf Unternehmen durchführen können, als je zuvor. Schon während Unternehmen wirksamere Gegenmaßnahmen entwickeln, passen Kriminelle ihre Taktiken und Werkzeuge an, um diese Maßnahmen zu umgehen. 

Auch wenn Ransomware-Angriffe etwas mysteriös erscheinen können, folgen sie in der Regel der gleichen Grundstruktur. Sobald Sie verstehen, wie diese Angriffe funktionieren, können Sie eine umfassendere Strategie zur Schadensbegrenzung vorbereiten, die die Auswirkungen eines Angriffs verhindern oder abschwächen kann.

Im Folgenden wird die Anatomie eines Ransomware-Angriffs näher beleuchtet, einschließlich der Frage, wie der Angreifer Zugang zu einem System erhält und es infiziert. 

Der ultimative Leitfaden zum Schutz vor Ransomware.

E-Book herunterladen

Infektions- und Verbreitungsvektoren

Ransomware ist eine Art von Malware, mit der wichtige Computerdateien oder sensible Daten verschlüsselt werden. Danach fordern die Angreifer ein Lösegeld für die Daten. Infektionen treten auf, wenn Ransomware-Malware heruntergeladen und auf Geräten im Netzwerk eines Unternehmens installiert wird. 

Ransomware kann sich auf verschiedene Weise Zugang zum Zielsystem verschaffen. Der gängigste Weg sind Phishing-E-Mails, die einen Link zu einer kompromittierten Website oder einen Anhang mit eingebetteter Malware enthalten. Wenn der Benutzer auf den Link oder den Anhang klickt, wird die Malware heruntergeladen und auf dem Computersystem ausgeführt. 

Informieren Sie sich über vier Bereiche, die häufig Schwachstellen für Ransomware darstellen. >>

Das Remote-Desktop-Protokoll (RDP) ist ein weiterer gängiger Angriffsvektor für Ransomware, da es einfach zu verwenden ist und einem Angreifer Zugang auf höchster Ebene verschaffen kann. Tatsächlich war RDP im Jahr 2020 bei der Hälfte aller gemeldeten Ransomware-Fälle der ursprüngliche Angriffsvektor. 

Ein kompromittierter RDP-Zugang kann im Dark Web gekauft werden, und um eine ungeschützte RDP-Verbindung zu finden, muss nur ein Skript erstellt werden, das nach dem Standard-Port sucht. Hacker haben oft Zugang zu denselben Tools wie Sicherheitsexperten und können das gesamte Internet in weniger als einer Minute nach einem offenen Port durchsuchen. 

Andere Verbreitungsvektoren, beispielsweise die Ransomware WannaCry, versuchen, Systeme direkt zu infizieren. WannaCry infiziert Computer, auf denen das Betriebssystem Microsoft Windows läuft, und verschlüsselt die Dateien auf der Festplatte des Computers. Dann fordert der Angreifer eine Lösegeldzahlung in Bitcoin. WannaCry, das erstmals 2017 zum Einsatz kam, ist immer noch aktiv und hat mehr als 100.000 Organisationen auf der ganzen Welt infiziert.

Sehen Sie sich das On-Demand-Webinar an, um die Anatomie eines Ransomware-Angriffs kennenzulernen und zu erfahren, wie Sie eine Schutzstrategie gestalten können, die jede Phase berücksichtigt.

Verschlüsselung

Sobald die Ransomware auf dem Zielsystem installiert ist, wartet sie, sammelt unbemerkt Daten und infiziert so viele Systeme wie möglich. Anschließend stiehlt und/oder verschlüsselt sie Systemdateien mit den wertvollsten und sensibelsten Daten des Unternehmens. Ransomware kann manchmal Backups zerstören oder als Teil des Angriffs Daten stehlen, aber ihr Hauptziel ist es in der Regel, so viele Dateien oder Systeme wie möglich zu verschlüsseln, um das Unternehmen handlungsunfähig zu machen.

Es gibt verschiedene Arten und Varianten von Ransomware, darunter Krypto-, Locker-, Erpressungs-Ransomware und Ransomware-as-a-Service (RaaS).

Krypto-Ransomware verschlüsselt Dateien, wobei der Inhalt unlesbar gemacht wird. Um die Dateien wieder in ein lesbares Format umzuwandeln, ist ein Entschlüsselungsschlüssel erforderlich. Die Cyberkriminellen stellen dann Lösegeldforderungen und versprechen, die Daten zu entschlüsseln oder den Entschlüsselungsschlüssel zu liefern, sobald die Forderungen erfüllt sind.

Locker-Ransomware verschlüsselt keine Dateien, sondern sperrt das Opfer vollständig von seinem System oder Gerät aus. Die Cyberkriminellen verlangen dann ein Lösegeld für das Entsperren des Geräts. Im Allgemeinen ist es möglich, Daten nach einem versuchten Kryptoangriff wiederherzustellen oder ihn zu vereiteln, wenn ein gutes Backup vorhanden ist. Aber ein Locker-Ransomware-Angriff ist schwieriger und teurer zu beheben. Selbst, wenn die Daten gesichert sind, muss das Gerät komplett ersetzt werden.

Das grundlegende Ziel eines Ransomware-Angriffs ist es, Geld zu erpressen. Unternehmen können sich jedoch weigern zu zahlen, insbesondere wenn sie über ein gutes Backup- und Wiederherstellungssystem verfügen. Aus diesem Grund haben Angreifer in den letzten Jahren damit begonnen, eine neue Technik anzuwenden, die sogenannte doppelte Erpressung (Double Extortion), bei der Daten sowohl verschlüsselt als auch extrahiert werden. Weigert sich das Unternehmen zu zahlen, drohen die Hacker damit, die Informationen online zu veröffentlichen oder sie an den Meistbietenden zu verkaufen.

Und es kommt noch schlimmer. So verheerend Double-Extortion-Ransomware auch klingt, warnen Sicherheitsexperten sogar vor einer noch größeren Gefahr: Ransomware mit dreifacher Erpressung (Triple Extortion). Die Angreifer extrahieren nicht nur Daten und fordern Lösegeld vom ursprünglichen Opfer, sondern verlangen auch Geld von den betroffenen Dritten. 

Ransomware-as-a-Service (RaaS) schließlich nutzt das Standardmodell für Software-as-a-Service (SaaS). Es handelt sich um einen abonnementbasierten Service, der Abonnenten Zugang zu vorab entwickelten Ransomware-Tools für Ransomware-Angriffe bietet. Abonnenten werden als Partner bezeichnet und erhalten einen Prozentsatz jeder Lösegeldzahlung.

Lösegeldnachrichten und -forderungen

Nachdem die Ransomware erfolgreich im Zielnetzwerk installiert wurde, werden Lösegeldforderungen gestellt. Die Hacker benachrichtigen das Opfer, dass ein Angriff stattgefunden hat, und nennen das Lösegeld, das gezahlt werden muss, damit der Angriff rückgängig gemacht wird. Lösegeldforderungen werden auf Computerbildschirmen angezeigt oder in Form einer Notiz im Verzeichnis mit den verschlüsselten Dateien hinterlassen. 

Lösegeldforderungen enthalten in der Regel Angaben zur Höhe des Lösegelds, zur geforderten Zahlungsmethode und zur Frist für die Zahlung sowie das Versprechen, dass der Zugriff auf die verschlüsselten Dateien wiederhergestellt wird, sobald das Lösegeld gezahlt wurde. Wenn es zu einer Datenexfiltration gekommen ist, kann der Hacker auch zusagen, dass er keine weiteren Daten preisgeben und den Nachweis erbringen wird, dass die Daten vernichtet worden sind. Die Bezahlung erfolgt in der Regel in einer Kryptowährung (z. B. Bitcoin oder Monero).

Doch selbst wenn ein Lösegeld gezahlt wird, gibt es keine Garantie dafür, dass der Angreifer die Daten tatsächlich wiederherstellen oder seine Versprechen einhalten wird. Der Angreifer kann eine Kopie der gestohlenen Daten zurückbehalten, um sie zu einem späteren Zeitpunkt zu verwenden. Entschlüsselungsschlüssel funktionieren möglicherweise nicht vollständig, sodass einige Daten verschlüsselt bleiben, oder sie enthalten zusätzliche, unentdeckte Malware, die der Angreifer in Zukunft nutzen kann.

Die Verhandlung: Zahlen oder nicht zahlen?

Die Entscheidung, ob ein Lösegeld gezahlt oder nicht gezahlt werden soll, kann kompliziert sein und von mehreren Faktoren abhängen:

  • Wie gravierend sind die Auswirkungen der Sicherheitsverletzung auf den Geschäftsbetrieb?
  • Werden Mitarbeiter nicht mehr arbeiten können? Wie viele, und für wie lange?
  • Wie groß ist das Risiko eines Datenlecks?

Eine genauere Betrachtung der Vor- und Nachteile der Zahlung gegenüber der Nichtzahlung finden Sie im Blogbeitrag You’ve Been Hit by Ransomware. Was jetzt?

Wenn Ihr Backup- und Wiederherstellungssystem nicht von der Ransomware betroffen ist, können Sie die Zahlung des Lösegelds möglicherweise ganz vermeiden (abhängig davon, von welcher Art Ransomware Sie betroffen sind). Wenn das Zahlen des Lösegelds jedoch wirklich Ihre einzige Option ist, ist es ratsam, ein erfahrenes Incident-Response-Team zu beauftragen, das Sie bei den Verhandlungen unterstützt und die Zahlung erleichtert.

Die Nachwirkungen: Wiederherstellung

Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt 21 Tage. Wenn Sie das Lösegeld zahlen, kann es mehrere Tage dauern, bis Sie den Entschlüsselungsschlüssel erhalten und die Verschlüsselung rückgängig machen können. 

Beachten Sie, dass einige Ransomware-Varianten Backups im angegriffenen Netzwerk identifizieren und zerstören. Wenn Backups zerstört oder verschlüsselt wurden, kann sich der Wiederherstellungsprozess komplizierter gestalten. Aber selbst wenn die Backups brauchbar sind, kann die Wiederherstellung ein langwieriger Prozess sein, je nachdem, welche Art von Backup- und Wiederherstellungssystem Sie nutzen.

Unabhängig davon, ob Sie das Lösegeld bezahlen oder versuchen, die Daten selbst wiederherzustellen, sollten Sie damit rechnen, dass der gesamte Wiederherstellungsprozess mehrere Tage dauert. Planen Sie auch einen gewissen finanziellen Verlust ein, sei es in Form von Lösegeldzahlungen, Kosten für die Reaktion auf einen Vorfall oder Umsatzeinbußen aufgrund von Ausfallzeiten.

Wie sich der Wiederherstellungsprozess zwischen zwei hypothetischen Organisationen mit unterschiedlichen Wiederherstellungsmöglichkeiten unterscheiden könnte, erfahren Sie im Artikel A Tale of Two Ransomware Attacks: Which Company Are You?

Seien Sie darauf vorbereitet, auf einen Angriff zu reagieren

Unternehmen können es sich nicht leisten, auf das Risiko eines Ransomware-Angriffs nicht vorbereitet zu sein. Sie denken vielleicht, dass Sie alles richtig machen, um sicher zu bleiben, aber wenn Sie sich auf veraltete Backup-Architekturen verlassen, sind Sie nicht vor modernen Angriffen geschützt. 

Wie reagiert man am besten auf einen Angriff? Nur moderne Lösungen wie Pure Storage® FlashBlade® mit SafeMode™-Snapshots und Rapid Restore®, das eine Datenwiederherstellungs-Performance von bis zu 270 TB pro Stunde liefert, können Ihre Sicherheitsstrategie auf die nächste Stufe heben.

Zum dritten Mal Leader

Pure Storage ist wieder ein Leader im Gartner® Magic Quadrant™ für Distributed File Systems & Object Storage.

Report erhalten
KONTAKTIEREN SIE UNS
Fragen, Kommentare?

Haben Sie eine Frage oder einen Kommentar zu Produkten oder Zertifizierungen von Pure?  Wir helfen Ihnen gerne!

Termin für Demo vereinbaren

Vereinbaren Sie einen Termin für eine Live-Demo und sehen Sie selbst, wie Pure Ihnen helfen kann, Ihre Daten in überzeugende Ergebnisse zu verwandeln. 

Rufen Sie uns an: +49 89 26200662
Presse:
 pr@purestorage.com

 

Pure Storage Germany GmbH

Mies-van-der-Rohe-Straße 6

80807 München

Deutschland

info@purestorage.com

SCHLIESSEN
Ihr Browser wird nicht mehr unterstützt!

Ältere Browser stellen häufig ein Sicherheitsrisiko dar. Um die bestmögliche Erfahrung bei der Nutzung unserer Website zu ermöglichen, führen Sie bitte ein Update auf einen dieser aktuellen Browser durch.