Ransomware-Leitfaden

Erfahren Sie, welche Beweggründe hinter Ransomware stecken und wie Angriffe durchgeführt werden.

Ransomware-Playbook

Was ist Ransomware? 

Bei Ransomware handelt es sich um schändlichen Code oder Aktionen, die Angreifer einsetzen, um den Betrieb einer Organisation zu stören, typischerweise indem sie ihre Daten in Geiselhaft nehmen. Ziel ist es, ein Unternehmen zur Zahlung eines Lösegelds zu zwingen, damit es zu seinem normalen Betrieb zurückkehren kann.

Es ist fast unmöglich, eine Organisation so weit zu schützen, dass sie für Ransomware-Angriffe völlig unangreifbar ist. Es ist jedoch möglich, ihren Schutz wesentlich zu optimieren, um die schlimmsten Auswirkungen eines Angriffs abzumildern oder die Wahrscheinlichkeit, überhaupt angegriffen zu werden, zu verringern.

Arten von Ransomware

Der Versuch, alle Arten von Ransomware aufzuzählen, kann zu einer wahren Verfolgungsjagd werden. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) bezeichnet Ransomware als eine „sich ständig weiterentwickelnde Form von Malware“. Zu den häufigeren Ransomware-Varianten gehören die folgenden:

  • Doppelte Erpressung: Angreifer kassieren ein erstes Lösegeld und drohen dann damit, die gestohlenen Daten zu verkaufen, sofern keine zweite Zahlung geleistet wird. 
  • Ransomware-as-a-Service (RaaS): Etablierte Ransomware-Syndikate verkaufen einfach zu installierende „Ransomware-Sets“, mit denen auch technisch eher unversierte Personen ausgeklügelte Angriffe starten können. 
  • Verteilter Denial-of-Service-Angriff: Bei dieser Art von Angriffen zielt nicht ein System auf ein anderes System ab. Vielmehr sind hierbei viele Systeme (Hunderte oder Tausende) beteiligt, die einen koordinierten Angriff auf ein System starten.
  • Spear-Phishing: Angreifer verfassen detaillierte, gezielte E-Mail-Nachrichten an einen bestimmten Empfänger oder eine bestimmte Gruppe, in der Hoffnung, dass sie auf eine bösartige Payload-Anwendung klicken bzw. diese herunterladen oder eine unerwünschte Aktion wie eine Banküberweisung vornehmen. 
  • Gestohlene Zugangsdaten: Angreifer verwenden eine Reihe von gestohlenen Zugangsdaten, die sie von einem kompromittierten Endpunkt erhalten haben, um sich Zugriff auf weitere Zielsysteme im selben Netzwerk zu verschaffen und anschließend möglicherweise alle anderen Zugriffe auf diese Systeme zu sperren. 
  • Ausnutzung von Anwendungen: Angreifer nutzen Sicherheitslücken in einer Anwendung aus, um Zugriff zu erlangen und Daten zu stehlen und/oder Services zu blockieren.

Wie funktioniert Ransomware? 

Ransomware zielt darauf ab, ein Opfer dazu zu zwingen, Lösegeld zu bezahlen. Dabei folgt die Malware, die ein Angreifer bei einem Ransomware-Angriff einsetzt, einem bestimmten Muster: Sie dringt in das System ein, verschlüsselt böswillig die Daten und erzwingt dann von dem Unternehmen oder der Person das Lösegeld.

Wie bereits erwähnt, ist die doppelte Erpressung immer häufiger geworden. Für moderne Angreifer reicht es nicht aus, den Zugriff auf die Daten eines Unternehmens zu blockieren. Sie sehen auch einen Wert darin, die Daten zu stehlen und eine zusätzliche Zahlung zu verlangen, um sie zurückzugeben.

Die Auswirkungen von Ransomware auf Netzwerksysteme können je nach Art der Schutzmaßnahmen und Reaktionszeit variieren. Sobald der Zugriff erfolgt ist, können Angreifer mithilfe von Post-Exploitation-Frameworks die Umgebung durchsuchen und sich erweiterte Rechte verschaffen. Wenn ein Bedrohungsakteur vollständigen Zugriff erhält, könnte er das gesamte Netzwerk verschlüsseln, was wiederum zu einer vollständigen Unterbrechung des Geschäftsbetriebs führen würde.

Infizierte Endpunkte im größeren Netzwerk-Ökosystem könnten die Bedrohung für eine gewisse Zeit eindämmen, aber es ist ein Wettlauf mit der Zeit, bevor sich die Malware ausbreitet. Um den Umfang eines Angriffs zu begrenzen, ist die schnelle Entfernung dieser infizierten Assets von entscheidender Bedeutung.

Phasen eines Ransomware-Angriffs 

Werfen wir einen Blick auf einige Besonderheiten der verschiedenen Phasen eines Ransomware-Angriffs:

  • Erster Zugriff: Angreifer scannen die Server auf ausnutzbare Schwachstellen. 
  • Installation: Die Ransomware wird entweder in einen laufenden Prozess eingeschleust oder als Dynamic Link Library (DLL) ausgeführt. 
  • Nach dem Exploit: Nach erfolgreicher Injektion oder Ausführung baut die Ransomware ihre Importe auf und räumt Prozesse aus dem Weg, die sie aufhalten könnten. 
  • Laterale Ausbreitung: Angreifer erhalten Privilegien und können von System zu System springen, indem sie Zugangsdaten stehlen. Auf diese Weise können sie das Netzwerk problemlos durchsuchen und die Daten finden, die sie verschlüsseln wollen. 
  • Datenerfassung: Die von den Angreifern gewünschten Daten sind in der Regel von geschäftskritischer Art. Alles, was eine Organisation für ihr tägliches Funktionieren benötigt, wird, wenn Angreifer sich Zugang verschaffen können, gehackt, blockiert, erpresst und gestohlen.
  • Exfiltration: Angreifer verfügen über maßgeschneiderte Ransomware, um den Prozess der Datenexfiltration zu automatisieren. Sobald sie gefunden haben, wonach sie suchen, leiten sie es an einen sicheren, externen Ort weiter. 

Beispiele für Ransomware

Ransomware ist in der heutigen Welt allgegenwärtig. Sehen wir uns einige aktuelle bemerkenswerte Beispiele an. 

WannaCry-Ransomware

Der WannaCry Ransomware-Angriff von 2017 ist eines der bemerkenswertesten und berüchtigtsten Beispiele für Ransomware in jüngster Zeit. Die Ransomware unterschied sich von herkömmlicher Ransomware dadurch, dass sie eine Komponente enthielt, die anfällige Systeme finden und sich schnell verbreiten konnte. Aufgrund dieses Verhaltens ist diese Art von Ransomware als Wurm bekannt, der sich seinen Weg durch ein Netzwerk bahnt und maximalen Schaden anrichtet.

Da sowohl traditionelle Phishing-Taktiken als auch das Wurmformat der Malware zum Einsatz kamen, war sie besonders bösartig und sorgte weltweit für Aufsehen. Es wurde ein Bitcoin-Lösegeld von Anwendern und Organisation gefordert, die in der Regel nicht über aktuelle Software und/oder mangelnde Vorkehrungen in Bezug auf Berechtigungen, Passwörter und Zugangsdaten verfügten.

Petya-Ransomware

Ähnlich wie WannaCry wurde die Petya-Ransomware typischerweise eingesetzt, um sich leicht zu verbreiten und Schwachstellen schnell zu lokalisieren. Die Benutzer erhielten eine Aufforderung zum Neustart, woraufhin ihre Systeme nicht mehr verfügbar waren. Petya wurde zunächst als bösartiger E-Mail-Anhang verbreitet, der ein System infizierte, nachdem ein Nutzer auf den Anhang geklickt hatte und dieser lokal heruntergeladen wurde.

Der erste Petya-Angriff richtete in der gesamten Ukraine großen Schaden an und beeinträchtigte die Bankeninfrastruktur sowie andere kritische Sektoren des Landes schwer. Von dort aus konnte es sich wie ein Lauffeuer über ganz Europa verbreiten. Eine nachfolgende Variante, genannt NotPetya, verfügte über noch mehr bösartige Fähigkeiten als die Originalversion und verursachte Schäden in Milliardenhöhe.

CryptoLocker-Ransomware

Das vielleicht hartnäckigste dieser Beispiele, CryptoLocker, lockte seine Opfer in erster Linie mit Phishing-E-Mails mit bösartigen Anhängen. Dies könnte ein guter Zeitpunkt sein, innezuhalten und die Vorzüge von Schulung für Sicherheitsbewusstsein hervorzuheben. Nicht alle, aber viele dieser Angriffe erfordern eine Aktion seitens des Nutzers, um auf seine Systeme zugreifen zu können. Daher ist es wichtig, dass die Mitarbeiter wissen, welche Maßnahmen sie ergreifen sollten und welche nicht.

Bemerkenswert ist, dass CryptoLocker besonders effektiv war, weil die Cyberkriminellen die Aktionen bekannter Unternehmen wie FedEx und UPS nachahmten. Asymmetrische Verschlüsselung wird verwendet, um Nutzer von ihren Dateien auszuschließen. Das bedeutet, dass zwei Schlüssel verwendet werden: einer für die Verschlüsselung und einer für die Entschlüsselung.

So verhindern Sie Ransomware-Angriffe

Ransomware kann verhindert werden, indem wichtige Best-Practice-Verhaltensweisen befolgt werden, die sich durch das gesamte Sicherheitsprogramm ziehen sollten. Wenn man genauer hinschaut, gibt es zwei Schlüsselphasen eines Ransomware-Angriffs, in denen Maßnahmen von entscheidender Bedeutung sind, um das Risiko zu verringern und die schlimmsten Auswirkungen eines Angriffs zu verhindern. 

  • Vor dem Angriff: Minimieren Sie die Angriffsfläche, indem Sie die spezifischen Techniken identifizieren, die Angreifer zur Verbreitung von Ransomware verwenden. Von dort aus können die Sicherheitsteams eine Reihe von Präventivmaßnahmen ergreifen (dazu gehört auch die Mitarbeiterschulung) und das Risiko verringern. Mit zielgerichteter Netzwerksegmentierung kann sichergestellt werden, dass kritische Computer isoliert werden, um die Verbreitung von Malware zu verhindern.
  • Während des Angriffs: Bei laufenden Angriffen sollte der Zugriff auf geschäftskritische Daten extrem eingeschränkt werden. Die ständige Sicherung des Systems sollte hohe Priorität haben, damit im Falle einer Kompromittierung geschäftskritischer Daten eine Wiederherstellung der Daten unter Verwendung aktueller, unversehrter Sicherungskopien erfolgen kann.

Vermeiden Sie es, erneut Opfer eines Angriffs zu werden, indem Sie die ursprünglichen Zugriffs- und Ausführungsvektoren des ersten Angriffs identifizieren und beseitigen, um eine vollständige Ausschaltung des Angreifers zu gewährleisten. 

Wie kann Ransomware entfernt werden? 

Ransomware kann durch Scannen von Netzwerken mit einer effektiven Anti-Malware-Lösung entfernt werden. Teams sollten in der Lage sein, Ransomware/Malware automatisch zu untersuchen und einzudämmen, bevor sie echten Schaden anrichten kann.

Nach dem Scannen und Erkennen empfiehlt es sich, das Domänenkonto eines angegriffenen Nutzers schnell aus der lokalen Administratorgruppe zu entfernen. Nutzerkonten mit Administratorrechten ermöglichen automatisierte und gezielte Angriffe auf Systemebene sowie eine einfache Installation von Ransomware.

Darüber hinaus können Systemadministratoren Entscheidungspunkte für Sicherheitsanalysten generieren, um infizierte Benutzerkonten und Malware-Kommunikation zu blockieren oder Geräte vollständig aus dem Netzwerk zu isolieren. Indem Prozesse zur Verlangsamung der Infektion automatisiert werden, haben die Sicherheitskräfte mehr Zeit, um die Ransomware-Bedrohung vollständig zu beseitigen.

Lesen Sie mehr über Ransomware

2023 Ransomware Stats: A Look Back To Plan Ahead

Erfahren Sie mehr über den Rapid7-Schutz vor Ransomware

Ransomware-as-a-Service (RAS) – Spickzettel

Ransomware: Neueste Rapid7-Blogbeiträge

Bericht: Schwachstellen: Trends bei der Offenlegung von Ransomware-Daten