Die Bedrohungslage durch Ransomware ist hoch und die Methoden der Betrüger werden immer perfider. Gleichzeitig bleibt das Thema IT-Sicherheit trotz zunehmender Digitalisierung in vielen Unternehmen noch immer auf der Strecke: „Die Hacker haben es immer noch genauso leicht wie vor ein paar Jahren und ein Ende dieses Trends ist momentan in Sicht", fasst Aaron Hartel von Trufflepig Forensics die Lage zusammen. Erfahren Sie hier, wie Ransomware funktioniert, welche Auswirkungen sie auf Unternehmen haben kann und welche Schritte Sie unternehmen können, um sich effektiv davor zu schützen.
Bei Ransomware handelt es sich um bösartige Software (Malware), die darauf abzielt, den Zugriff auf die eigenen Systeme oder Daten zu verhindern oder diese zu verschlüsseln. Die Angreifer fordern dann von den Opfern meist ein Lösegeld, um Daten oder Systemzugriffe wieder freizugeben. Mögliche Opfer können sowohl Privatpersonen als auch Unternehmen sein.
Die Folgen reichen vom Verlust vertraulicher Daten, über Produktionsstillstand, Ausfall der Unternehmens-IT und finanziellem Schaden bis hin zu erheblichem Image-Verlust und Bedrohung der Existenz. Um den Angriff möglichst schnell zu beenden, sind die Opfer oft bereit, hohe Summen zu zahlen und dem Leid so ein schnelles Ende zu setzen. Oft scheint das die schnellere und angenehmere Option zu sein, trotzdem bedeutet das Zahlen des geforderten Lösegelds nicht zwangsläufig ein Ende des Angriffs.
Einen Ransomware-Angriff durchzuführen, ist leichter denn je. Das bedeutet auch, dass sowohl kleine als auch mittelständische Unternehmen betroffen sein können. Der von Sophos veröffentliche Bericht zur State of Ransomware 2022 zeigt, dass im vergangenen Jahr zwei Drittel der mittelständischen Unternehmen in Deutschland von Ransomware-Angriffen betroffen waren. Fast die Hälfte der Befragten gab an, das geforderte Lösegeld bezahlt zu haben, in gerade einmal vier Prozent der Fälle konnten anschließend alle Daten wieder vollständig entschlüsselt werden.
Auch das Universitätsklinikum Düsseldorf war im September 2020 von einem Ransomware-Angriff betroffen. Die Folge: ein weitreichender Ausfall der IT-Infrastrukturen. Das Klinikum war gezwungen, Operationen zu verschieben und sich von der Notfallversorgung abzumelden. Erst zwei Wochen später herrschte wieder Normalbetrieb. Über eine Schwachstelle in einem VPN-Produkt war es den Angreifern gelungen, ins System einzudringen.
Im Februar 2023 kompromittierte eine europaweit koordinierte Ransomware-Kampagne mehr als 2100 Internet-Zugänge. Auch in Deutschland waren hunderte Unternehmen betroffen. Den Angreifern gelang es, mit geringem Aufwand über das Internet Zugriff auf virtuelle Maschinen zu bekommen, die mit einer Software der Firma VMWare eingerichtet waren. Die dort liegenden Daten wurden dann mittels Ransomware verschlüsselt. Mimecast und Statista befragten 2023 200 Unternehmen zu ihrer IT-Sicherheit bezüglich MS-Office-Anwendungen. Die Ergebnisse zeigen, dass 80 % der damit verbundenen Ransomware-Angriffe in Unternehmen mit weniger als 500 Beschäftigten stattfanden. Unter den Unternehmen mit 1000 bis 4999 Beschäftigten, waren zwei Drittel mindestens einmal Opfer eines Ransomware-Angriffs.
Infektion: Um einen Ransomware-Angriff durchzuführen, suchen sich Angreifer Schwachstellen im System, über die sie eindringen können. Das können grundlegende Mängel in der IT-Sicherheit, infizierte Downloads, scheinbar harmlose Spam- oder Phishing-Mails oder Exploit-Kits, die über Drive-By Infektionen, beispielsweise komprimierte Webseiten oder schädliche Werbeanzeigen (Malvertising) ins System gelangen, sein. Laut BKA ist Phishing in Deutschland das Haupteinfallstor für derartige Schadsoftware. Dank generativen KI-Tools ist das inzwischen in allen Sprachen täuschend echt möglich.
Ausbreitung: Einmal ins System gelangt, versuchen sich die Angreifer dort auszubreiten. Schwache Passwörter kommen ihnen dabei zugute, aber auch Remote Desktop Protocols (RDPs) und allgemein geltende mangelhafte Sicherheitsprotokolle begünstigen ihre schnelle Verbreitung. Je mehr Systeme komprimiert werden, desto höher ist am Ende auch der potenzielle Schaden für betroffene Unternehmen.
Verschlüsselung: Nachdem sie sich Zugang verschafft haben, beginnt die Ransomware damit, Dateien und Systeme zu verschlüsseln. Diese Verschlüsselungsmaßnahme entzieht dem Benutzer den Zugang zu seinen eigenen Systemen und macht ihn der Willkür des Angreifers hilflos ausgeliefert. Ohne den entsprechenden Entschlüsselungsschlüssel bleiben die Daten unlesbar und unbrauchbar. Oft fordern die Angreifer ein Lösegeld, um den Schlüssel herauszurücken, und drohen mit der dauerhaften Löschung der Daten oder mit der Veröffentlichung vertraulicher Informationen.
Auszahlung: In vielen Fällen verlange die Angreifer, das geforderte Lösegeld in Form von Bitcoin oder anderen Kryptowährungen zu zahlen. Für sie ist das von Vorteil, da so kein Mittelsmann und damit eine potenzielle Schwachstelle ihrer Strategie benötigt wird.
Wird der Forderung der Erpresser nachgegeben, bedeutet das jedoch noch lange nicht, dass sie die Systeme auch tatsächlich wieder freigeben und alle Daten wiederhergestellt werden können. Vielmehr kann es ein Anreiz sein, zu einem späteren Zeitpunkt noch einmal anzugreifen. Wird ein Ransomware-Angriff nicht durch IT-Profis nachbereitet, ist außerdem das Risiko groß, dass die Angreifer sich unbemerkt im IT-System versteckt halten, um zu einem späteren Zeitpunkt noch einmal zuschlagen zu können.
Grundsätzlich werden zwei Arten von Ransomware unterschieden: Locker Ransomware verhindert die Nutzung grundlegender PC-Funktionen. Durch den Angriff wird unter anderem der Zugriff auf den Desktop verhindert und nur noch der Sperrbildschirm angezeigt. Nur Tastatur und Maus sind teilweise noch nutzbar, um mit den Erpressern zu kommunizieren und das geforderte Lösegeld zu überweisen. Abgesehen davon ist das Gerät für die Dauer des Angriffs aber unbrauchbar. Locker Ransomware hat es meist nicht darauf abgesehen, Daten zu verschlüsseln oder zu zerstören, sondern möchte Sie lediglich aussperren. Mithilfe eines Timers soll der Druck auf die Opfer erhöht werden und sie zu einer schnellen Geldüberweisung gezwungen werden.
Crypto Ransomware, auch Kryptotrojaner genannt, zielt darauf ab, Dateien und Daten zu verschlüsseln, die PC-Funktionen werden dabei meistens aber nicht eingeschränkt. Die Opfer können ihre sensiblen Dateien so zwar noch sehen, aber nicht mehr darauf zugreifen. Wird das Lösegeld nicht innerhalb einer bestimmten Zeit überwiesen, drohen die Angreifer damit, die verschlüsselten Daten dauerhaft zu löschen. Angriffe wie diese zeigen, wie wichtig es ist, regelmäßige Backups und Datensicherungen durchzuführen.
Lange Zeit waren dies die beiden Hauptformen von Ransomware. Doch die Maschen der Betrüger entwickeln sich immer weiter und bringen so immer neue, perfidere Bedrohungen mit sich.
Scareware zielt darauf ab, Benutzer durch alarmierende Meldungen in Angst und Schreck zu versetzen, um sie so zur Installation von Malware zu bewegen. Diese Meldungen wirken oft offiziell und legitim, drängen aber bewusst zu überstürztem Handeln, um dem Opfer keine Zeit zum Überlegen oder Zweifeln zu geben. Das Gefährliche dabei ist, dass den Opfern glaubhaft gemacht wird, ihr Gerät sei bereits infiziert, sie aber erst durch das Klicken auf die z. B. vermeintliche Antivirus-Software, eigenhändig auf dem PC installiert wird. Typisch für Scareware sind aufdringliche Pop-up-Fenster oder gefälschte Schaltflächen.
Leakware droht damit, die gekaperten Daten zu veröffentlichen, zielt aber nicht auf ihre Zerstörung ab. Häufige Opfer sind Banken, staatliche Einrichtungen oder Unternehmen, die über vertrauliche Daten verfügen.
Spätestens mit Ransomware-as-a-Service (RaaS) wird Ransomware zum Geschäftsmodell. Anbieter verkaufen fertige Ransomware und ermöglichen es so auch Betrügern mit geringeren IT-Kenntnissen Angriffe durchzuführen. Ransomware wird so gewissermaßen der breiten Masse zugänglich gemacht, die Folge: ein massiver Anstieg von Ransomware-Angriffen.
Bei Ransomware-Angriffen zeigen sich immer wieder Versäumnisse in der IT-Sicherheit. Um Angriffen präventiv vorzubeugen, braucht es eine durchdachte, umfassende IT-Sicherheitsstrategie. Hier sind einige Schritte, die Sie unternehmen können, um Ihr Unternehmen zu schützen. Trufflepig Forensics steht Ihnen auf Ihrem Weg zu mehr IT-Sicherheit zur Seite. Gemeinsam können wir Ihre vorhandenen Stärken ausbauen und Schwachstellen minimieren.
Ein 100-prozentiger Schutz vor Ransomware-Angriffen ist oft nur schwer realisierbar oder wäre mit immensen Kosten verbunden. Stattdessen sollte der Fokus darauf liegen, die häufigsten Angriffsvektoren zu schließen und eine umfassende Sicherheitsstrategie zu entwickeln, um so die Risiken zu minimieren. Die Bedrohung durch Ransomware bleibt bestehen, und die Prävention sowie schnelle Reaktion sind entscheidend, um die Auswirkungen zu begrenzen und Schäden zu minimieren.