Cyberark Glossary >

Ransomware

Ransomware ist eine Art Malware, die darauf abzielt, das Opfer finanziell zu erpressen. Einmal aktiv, macht Ransomware die Interaktion mit den betroffenen Dateien, Anwendungen oder Systemen so lange unmöglich, bis ein Lösegeld gezahlt wird, üblicherweise in Form einer nicht rückverfolgbaren Währung wie Bitcoin. In einigen Fällen muss das Opfer den Täter bis zu einem bestimmten Zeitpunkt bezahlen; tut er das nicht, riskiert er, den Zugriff für immer zu verlieren. In anderen Fällen erhöht der Täter die Lösegeldforderung so lange, bis das Opfer zahlt.

Infektionen mit Ransomware kommen häufig vor und sind in aller Regel teuer. Laut dem Sicherheitsforschungsunternehmen CyberSecurity Ventures wird bis 2021 alle 11 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs sein und die weltweiten Schadenskosten werden sich jährlich auf bis zu 20 Milliarden US-Dollar belaufen. Obwohl Ransomware Unternehmen und Institutionen jeder Größe und Art treffen kann, zielen die Angreifer oft auf große Unternehmen und Regierungen mit umfangreichem Budget ab.

Da die Angriffe von Cyberkriminellen durchgeführt werden, raten die meisten Strafverfolgungsbehörden und Sicherheitsexperten von Lösegeldzahlungen ab. Laut FBI garantiert die Zahlung des geforderten Lösegelds nicht, dass der Zugriff auf die verschlüsselten Daten wiederhergestellt wird. Einige Opfer, die Lösegeld zahlen, erhalten von den Angreifern trotzdem keinen Schlüssel. Manche werden um zusätzliches Geld erpresst, nachdem das erste Lösegeld gezahlt wurde. Es kommt sogar vor, dass Opfer zu einem späteren Zeitpunkt erneut von demselben Verbrecher angegriffen werden.

Ransomware entwickelt sich kontinuierlich weiter

Ransomware hat sich im Laufe der Jahre enorm weiterentwickelt. Bei den frühen Blockierangriffen wurden Computer noch durch Deaktivierung der Tastatur- oder Mausfunktion gesperrt. In den meisten Fällen konnte man Lösegeldforderungen einfach ignorieren und den Computer mit handelsüblichen Malware-Entfernungsprogrammen in den vorherigen Betriebszustand zurückversetzen.

Die Ransomware von heute ist weitaus komplexer und invasiver. Sie kann sich schnell im gesamten Unternehmen ausbreiten, Benutzer handlungsunfähig machen und Geschäftsabläufe erheblich stören. Einige Ransomware-Programme gehen noch einen Schritt weiter und initiieren Distributed-Denial-of-Service-Angriffe. Betroffen sind alle Plattformen, inklusive Windows-Endpunkten, Windows-Servern und sogar Macs. Andere stehlen vertrauliche Daten oder kompromittierende Informationen und drohen damit, sie zu veröffentlichen.

Einige bemerkenswerte Ransomware-Angriffe aus den letzten Jahren:

  • Im Zuge des NotPetya-Angriffs von 2017 wurden die Master Boot Records von Computern mit dem Betriebssystem Windows irreversibel verschlüsselt. Er soll weltweit Schäden in Höhe von mehr als 10 Milliarden US-Dollar verursacht haben. Der Angriff lähmte globale Unternehmen wie Merck, Maersk und FedEx, die dem Vorfall einen Verlust von 300 Millionen US-Dollar zuschrieben.
  • Der Kryptowurm WannaCry von 2017 infizierte über 200.000 Computer in mehr als 150 Ländern und richtete verheerende Schäden bei Organisationen wie dem britischen National Health Service an, der gezwungen war, wichtige Gesundheitseinrichtungen zu schließen, Operationen abzusagen und tagelang Patienten abzuweisen. Nach einer Schätzung beliefen sich die wirtschaftlichen Kosten des WannaCry-Angriffs auf insgesamt 4 Milliarden US-Dollar.
  • Beim RobbinHood-Angriff von 2019 wurden die IT-Dienste der Stadt Baltimore fast einen Monat lang lahmgelegt. Betroffen waren unter anderem E-Mail-Systeme, Anrufbeantworter, eine Datenbank für Parkgebühren und ein System zur Zahlung von Wasserrechnungen, Grundsteuern und Fahrzeugabgaben.
RobbinHood Ransom Note

Lösegeldhinweis von RobbinHood

Vermeidung und Eindämmung von Ransomware-Angriffen

Sicherheitsexperten empfehlen folgende Schritte, um Ransomware-Angriffe abzuwehren und zu überwinden:

  • Erstellen Sie regelmäßig Sicherungskopien aller Server und Computer des Unternehmens. Datensicherungen können Ransomware zwar nicht verhindern, helfen aber bei der Wiederherstellung von Daten nach bestimmten Ransomware-Angriffen. Viele Experten empfehlen eine Datensicherung in der Cloud, um sich vor komplexen Ransomware-Angriffen zu schützen, bei denen lokale Sicherungsdateien erkannt und vernichtet oder ebenfalls verschlüsselt werden.
  • Verwenden Sie Virenschutzprogramme und Endpoint Detection and Response (EDR) Tools, um bekannte Ransomware-Varianten am Eintrittspunkt zu blockieren (Blacklisting).
  • Entziehen Sie lokale Administratorrechte von Standardbenutzerkonten, um die Angriffsflächen zu verringern und die Ausbreitung von Ransomware im Unternehmen zu verhindern. Bei einigen Ransomware-Angriffen wird nämlich versucht, an lokale Administratorrechte zu gelangen, um Schaden anzurichten.
  • Nutzen Sie Application Greylisting, um bislang unbekannte Ransomware-Varianten proaktiv abzuwehren. Mithilfe von Greylisting können Sie die Berechtigungen zum Lesen, Schreiben und Ändern für unbekannte Anwendungen einschränken, um Ransomware am Verschlüsseln von Daten zu hindern. Sie können Greylisting auch dazu verwenden, den Zugriff auf Netzlaufwerke zu blockieren, um die Verbreitung von Lösegeld-Angriffen im gesamten Unternehmen zu verhindern.

Erfahren Sie mehr über Ransomware

 

IN KONTAKT BLEIBEN

IN KONTAKT BLEIBEN!

Bleiben Sie immer auf dem Laufenden: aktuelle Security Best Practices, Events und Webinare.