(Update) Ransomware ist seit Jahren eines der beängstigendsten Themen der Cybersicherheit – und das aus gutem Grund. Wir erklären Ihnen, wie Sie die Schadsoftware nach einem Angriff möglicherweise wieder los werden und sich in Zukunft besser davor schützen!

Ransomware, die ihrem Namen alle Ehre macht, denn Ransom heißt englisch Lösegeld, ist eine Art von Malware, bei der ein Cyberkrimineller den Zugang zu Daten oder Anwendungen blockiert, bis eine Lösegeld-Zahlung eingegangen ist. Mit anderen Worten – Hacker entführen Ihre Informationen, bis Sie zahlen. Das Schlimme: Ähnlich wie bei einer Entführung gibt es keine Garantie dafür, dass die Zahlung des Lösegeldes zu einem glücklichen Ende führt.

Ransomware: leider bitterer Ernst

Was ein bisschen nach Paranoia klingt, kostete in Wahrheit zahlreiche Organisationen auf der ganzen Welt Milliarden von Dollar. Die Cyber-Angriffe richten sich oft gegen Organisationen mit sensiblen Daten, wie zum Beispiel Regierungen, Krankenhäuser und Anwaltskanzleien. Deshalb sollten sich die IT-Sicherheitsverantwortlichen, insbesondere Organisationen mit einer Online-Präsenz, darüber im Klaren sein, wie Ransomware funktioniert.

Wie alles anfing

Das erste dokumentierte Beispiel für Ransomware war der Trojaner PC Cyborg im Jahr 1989. Es handelte sich um ein ausgeklügeltes System, das eine lächerliche Menge an Disketten, die Verweigerung des Zugriffs auf Maschinen und den Versand von Bargeld an ein Postfach in Panama beinhaltete. Es war vielleicht nicht der effizienteste Plan, aber er zeigt, dass Hacker sich schon seit Jahrzehnten mit Erpressung beschäftigen.

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten

Wie setzen Hacker heute Ransomware ein?

Moderne Ransomware verwendet die gleiche Art von Infektionsstrategien wie Standard-Malware, einschließlich Phishing, Social Engineering und Sicherheitslücken in Anwendungen. Eine weitverbreitete Installationstechnik ist die Verwendung von Malspam oder Malvertising. Bei Malspam wird die Schadsoftware als E-Mail getarnt. Bei Malvertising injiziert der Angreifer bösartigen Code in Werbung auf legitimen Websites.

Sobald die Ransomware installiert ist, kann der Cyber-Angreifer damit beginnen, die Früchte seiner Arbeit zu ernten. Die genaue Strategie von Ransomware variiert, fällt aber in der Regel in eine dieser Kategorien:

  • Krypto-Malware: Der Angreifer verschlüsselt Dateien, Ordner und Laufwerke. Das Opfer wird nicht in der Lage sein, auf seine Dateien zuzugreifen, bis es das Lösegeld bezahlt hat.
  • Locker: Hacker sperren den Zugang zu einem Gerät oder einer Anwendung für Lösegeld.
  • Doxware: In diesem Fall hat der Cyberkriminelle Dateien kopiert und droht damit, sie weiterzugeben. Das Opfer hat zwar immer noch Zugang zu seinen Dateien, möchte aber nicht, dass sensible Inhalte preisgegeben werden.

Ransomware als Dienstleistung (RaaS)

Ransomware-Angriffe können eine Zusammenarbeit zwischen einem Auftraggeber und einem Hacker sein, der für einen Teil des Kopfgeldes arbeitet. Wir nennen dies Ransomware as a Service (RaaS). In diesem Fall kann sich der Angreifer bereits Zugang zu einer Umgebung verschafft haben, benötigt aber weiteres Know-how, um die Malware-Kampagne durchzuführen. Möglicherweise weiß er nicht, wie er den Ransomware-Angriff allein umsetzen kann, oder er benötigt einen maßgeschneiderten Angriff. Unabhängig davon sind diese „Kollaborationen“ innerhalb von Cyber-Kriminellen-Gruppen oft üblich.

So beseitigen Sie Ransomware!

Erst einmal: Ein Angriff mit Ransomware ist heikel. Das Opfer steht in den meisten Fällen vor der schwierigen Entscheidung, den Hacker tatsächlich zu bezahlen, um seine Daten zurückzubekommen. Allerdings: Selbst dann gibt es keine Garantie dafür, dass der Hacker sein Versprechen einhält. Wie bei jedem Erpressungsversuch gibt es keine einfache Lösung. Der Sinn des Angriffs besteht darin, das Opfer in eine schwierige Lage zu bringen, die im Prinzip nur durch die Bezahlung des Lösegelds gelöst werden kann.

Wenn Ihre Website durch eine Ransomware-Kampagne verunstaltet wurde, sollten Sie als Erstes versuchen, Ihre Sicherheitskopien zu nutzen. Im besten Fall haben Sie externe Backups Ihrer Datenbank und Ihrer Website, die mindestens eine Woche zurückreichen. Wenn die Backups unbeschadet sind, stellen Sie sicher, dass Sie nach der Wiederherstellung alle Ihre Anmeldedaten ändern. Ziehen Sie dann in Erwägung, mit einem Unternehmen für Malware-Prävention zusammenzuarbeiten.

Wenn Backups keine Option sind, sind Sie leider in einer schlechten Position. Sie könnten zahlen, aber wie bereits erwähnt, gibt es keine Garantie, dass sich die Hacker an die Abmachung halten werden. Sie müssen in jedem Fall die Art der betroffenen Daten in Betracht ziehen. Je nachdem, wie kritisch die verschlüsselten Daten sind, sollten Sie sich an einen Fachmann oder eine Strafverfolgungsbehörde wenden.

So schützen Sie sich vor Ransomware!

Da Ransomware schwer zu entfernen sein kann, ist kontinuierliche Prävention der beste Schutz. Die Befolgung allgemeiner bewährter Sicherheitsverfahren kann dazu beitragen, eine Infektion mit Ransomware zu verhindern. U.a. die Cybersecurity and Infrastructure Security Agency des U.S. Department of Homeland Security empfiehlt diese Vorsichtsmaßnahmen:

  • Halten Sie alle Anwendungen und Betriebssysteme auf dem neuesten Stand.
  • Klicken Sie niemals auf Links oder öffnen Sie Anhänge in unerwünschten oder unbekannten E-Mails. Auch wenn Sie den Absender kennen, schauen Sie immer zweimal drauf, ob Sie diese Nachricht erwarten.
  • Erstellen Sie regelmäßig Off-Site-Sicherungen von Daten, am besten wöchentlich.
  • Befolgen Sie sichere Browsing-Praktiken (wie VPN) im Internet – einschließlich der Verwendung sicherer Passwörter.
  • Darüber hinaus ist es auch gut, sich über etwaige Administratorrechte zu informieren. Befolgen Sie die Praxis des „kleinsten Prinzips“. Entfernen Sie Admin-Rechte von allen Benutzern, die sie nicht benötigen. Dies kann dazu beitragen, Malware-Angriffe, einschließlich Ransomware, zu verhindern.
  • Verlassen Sie sich nicht allein auf den Schutz Ihrer Firewall.
  • Achten Sie darauf, ob das Verhalten Ihres Computers verdächtig ist. Dazu zählt zum Beispiel, wenn ein Dienst völlig unmotiviert zweimal nach dem Passwort fragt – vor allem, wenn man sicher ist, KatzeMaus123 richtig geschrieben zu haben.
  • Etablieren Sie zusätzliche Schutzmaßnahmen, um das Verschlüsseln von Backup-Daten zu verhindern.
  • Das Wichtigste: Gehen Sie nie auf Forderungen von Erpressern ein!

Fazit

Es wird zwar nicht empfohlen, Lösegeld zu zahlen, aber letztlich passiert genau das bei den meisten Großangriffen. Denn oftmals dauert die Entschlüsselung oder Lösungsfindung so lange, dass das Bezahlen von Lösegeld günstiger ist. Wie ProPublica 2019 berichtete, ziehen es die Versicherer oft vor, das Lösegeld zu zahlen. So ist Cyberversicherung allein in den USA ein geschätzter Markt von sieben bis acht Milliarden Dollar pro Jahr. Trotz Behauptungen, dass Auszahlungen Ransomware verlockender machen, boomt das Versicherungsgeschäft.

Solange sie profitabel sind, werden die Ransomware-Angriffe wahrscheinlich weitergehen. Im ersten Quartal 2019 kassierte allein die SamSam-Ransomware schätzungsweise eine Million Dollar.

Die Verstärkung der Sicherheit trägt dazu bei, den Erfolg von Ransomware-Angriffen zu verhindern. Je nach der Sensibilität der Daten auf Ihrer Website sollten Sie jedoch weitere Schutzmaßnahmen wie eine Web Application Firewall (WAF) in Betracht ziehen.

 

Quellen:

Jana Behr

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten