Das Szenario ist der Albtraum jedes Unternehmens: Eines Morgens schalten Ihre Mitarbeiter:innen ihre Dienstrechner an. Doch statt des Startbildschirms erscheint nur ein Textfeld in der Mitte des Displays – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle wichtigen Daten auf dem Computer seien durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds geben die Erpresser:innen nach eigener Aussage die Daten wieder frei. Ihr Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs.
Was Ransomware ist, wie sie funktioniert und wie Sie Ihr Unternehmen dagegen schützen, lesen Sie in diesem Beitrag.
Was ist Ransomware?
Das Wort Ransomware besteht aus den englischen Begriffen “Ransom” (übersetzt: „Lösegeld“) und “Ware” (für „Software“). Deutschsprachige IT-Expert:innen bezeichnen diese Form der Schadsoftware auch als Erpresser-Software. Ransomware verschlüsselt entweder Ihre Dateien und/oder das Betriebssystem, sodass sich der Rechner nicht mehr korrekt starten lässt.
Die kriminellen Verfasser:innen der Schadsoftware haben dann die Kontrolle über Ihr Endgerät und fordern ein Lösegeld. Solange Sie den Betrag nicht bezahlt haben, bleibt das Gerät verschlüsselt. Dass die Kriminellen Ihre Dateien im Fall einer Lösegeldzahlung wieder freischalten, ist jedoch fraglich. Das Bundeskriminalamt rät: „Gehen Sie nicht auf Lösegeldforderungen ein.“
So funktioniert ein Ransomware-Angriff
Ransomware-Angriffe beginnen häufig mit einer Phishing-Attacke. Über diese Methode schleusen Kriminelle Malware in Ihre Firmen-IT ein. Dies geschieht über verschiedene Wege:
- Klicken Sie zum Beispiel auf einen als seriös getarnten, aber mit Malware infizierten E‑Mail-Anhang, kann sich Schadsoftware auf Ihrem Gerät ausbreiten.
- Korrumpierte Add-Ons (kleine Zusatzprogramme für Ihren Webbrowser) können Ransomware auf Ihrem Computer freischalten. In der Regel merken Sie nicht, wie die Schadsoftware Ihr Endgerät „kapert“.
Kriminelle machen auch vor Smartphones nicht halt: Bei sogenannten Smishing-Angriffen verstecken sie Links zu manipulierten Webseiten in SMS. Darüber hinaus verbirgt sich Ransomware hinter Werbeanzeigen, die plötzlich auf Ihrem Browser aufflackern. Wenn Sie auf die Anzeige drücken, installiert sich die Ransomware auf Ihrem Gerät. Dies geschieht häufig, ohne dass Sie die Ransomware erkennen.
Nachdem die Ransomware Ihren Computer übernommen hat, erscheint meist ein Textfeld, dass Sie zur Zahlung eines bestimmten Geldbetrages auffordert. Häufig stellen die Kriminellen auch ein Ultimatum. Wenn Sie innerhalb eines bestimmten Zeitraums kein Geld überwiesen haben, löscht die Schadsoftware alle zuvor verschlüsselten Dateien unwiederbringlich.
Ransomware nutzt häufig Schwachstellen in Rechnern und IT-Netzwerken, um sich einnisten zu können. Stets aktuelle Software gehört daher zu den effektivsten Schutzmaßnahmen gegen diese cyberkriminellen Angriffe.
Diese Arten Ransomware gibt es
In den vergangenen Jahren nutzten Kriminelle hauptsächlich zwei Arten von Ransomware, um von ihren Opfern hohe Geldsummen zu erpressen:
- Locker-Ransomware: Dieser Erpresser-Trojaner blockiert wesentliche Funktionen Ihres Endgeräts und macht eine Bedienung unmöglich. Locker-Ransomware sperrt zum Beispiel den Zugriff auf den Desktop und lässt Sie lediglich mit der Maus zum Textfeld mit der Lösegeldforderung scrollen. Expert:innen bezeichnen diese Malware daher auch als „Screenlocker”. Meist beschädigen Locker-Angriffe keine Dateien und verschlüsseln sie auch nicht.
- Crypto-Ransomware: Momentan kommt es immer wieder zu Angriffen mit Crypto-Ransomware, besonders auf Unternehmen und Behörden. Ziel von Crypto-Angriffen sind häufig wichtige Unternehmensdaten – zum Beispiel Kundendaten, Produktionsdaten, Daten aus der Logistik oder der Personalabteilung. Crypto-Ransomware sperrt nicht den Zugang zu Ihren Computern, sondern lässt Ihre Mitarbeiter:innen durchaus grundsätzliche Funktionen der Endgeräte benutzen. Doch alle wichtigen Dateien sind gesperrt. Der Trojaner aktiviert nach der Verschlüsselung ein Textfeld, das Sie zur Lösegeldzahlung auffordert.
Was ist Ransomware-as-a-Service?
Manche Cyberkriminelle verfügen nicht über die technischen Kenntnisse, um einen bestimmten Angriff auf ihre Opfer durchzuführen. Sie können sich jedoch Dienste anderer Gruppen von Hacker:innen mieten. Dieses Geschäftsmodell bezeichnen IT-Sicherheitsexpert:innen als Ransomware-as-a-Service (RaaS). RaaS hat sowohl für Hersteller als auch die Nutzer:innen gemieteter Schadsoftware einige Vorteile.
Kriminelle Malware-Dienstleister können ihre Angebote schnell auf die Ansprüche der ebenfalls kriminellen Kund:innen hin skalieren. Sie tragen nur ein minimales Risiko, denn schließlich führen nicht sie selbst den Angriff aus. Die Abnehmer:innen der RaaS-Leistung wiederum greifen auf eine maßgeschneiderte Software zurück, in deren Entwicklung sie keine Zeit investieren müssen.
So funktioniert Ransomware-as-a-Service
RaaS ist Teil eines Software-as-a-Service-Modells. Kopf dieser Hierarchie ist der eigentliche Anbieter des RaaS. Meist handelt es sich dabei um eine professionell agierende Gruppe krimineller Softwareentwickler:innen. Diese Gruppe entwickelt die Ransomware, die später die Endgeräte der Opfer befällt.
Außer der Softwareentwicklung obliegt den RaaS-Betreibern die Kontrolle über eine komplexe Infrastruktur. Dazu gehört häufig ein eigenes Online-Portal, über das potenzielle Kund:innen die Schafsoftware beziehen. Sehr gut organisierte Gruppen bieten sogar einen eigenen Kundenservice. Zum Servicepaket der Kriminellen gehört außerdem ein eigener Zahlungsdienst. Hier bezahlen Kund:innen den Service rund um die gemietete Ransomware – meist mit Kryptowährung.
Bezahlen Opfer von Ransomware-Attacken das geforderte Lösegeld, wickeln nicht selten die RaaS-Anbieter die Zahlungsmodalitäten ab.
Anbieter von Ransomware-as-a-Service professionalisieren ihre Leistungen immer mehr. In einschlägigen Foren im Darknet werben sie aktiv für ihre Dienste. Die enorme Geschwindigkeit, mit der sie ihre Ransomware skalieren, stellt Entwickler von Antivirensoftware vor enorme Schwierigkeiten.
Wie Sie Ihr Unternehmen gegen Angriffe durch professionelle Cyberkriminelle am besten schützen, lesen Sie im folgenden Abschnitt.
Effektiver Ransomware-Schutz: Darauf sollte Ihr Unternehmen achten
Gänzliche Sicherheit gegen Ransomware-Angriffe gibt es leider nicht. Aber Ihr Unternehmen sollte es Kriminellen durch vorbeugende Maßnahmen so schwer wie möglich machen. Berücksichtigen Sie daher folgende Punkte:
- Ihr Unternehmen sollte alle Endgeräte mit einer aktuellen und leistungsfähigen Antivirensoftware schützen.
- Ihre IT-Mitarbeiter:innen sollten regelmäßig Sicherungskopien aller Unternehmensdaten anfertigen und diese offline speichern. Damit verhindern Sie eine Infektion der Sicherheitskopien mit Ransomware. Kommt es zu einem Angriff auf Ihr Firmen-IT-System, können Sie eine vorherige Dateienversion wiederherstellen.
- IoT-Plattform, Condition-Monitoring-Plattform, PC-Betriebssysteme und generell jegliche Software sollten immer auf dem neuesten Stand sein.
- Schulen Sie Ihre Mitarbeiter:innen umfangreich, damit sie cyberkriminelle Bedrohungen rechtzeitig erkennen und darauf richtig reagieren können. Ihr Team sollte verdächtige E-Mails, Messages oder SMS sofort Ihren IT-Fachleuten melden.
- Mit einem Least-Privilege-Prinzip erhalten Nutzer:innen nur sehr eingeschränkte Nutzungs- und Zugangsrechte bei Firmensoft- und Hardware. Auch Ihre Maschinen können untereinander nur bestimmte Daten austauschen. Sie verkleinern dadurch die Angriffsfläche für cyberkriminelle Attacken enorm.
Ransomware: Was tun, wenn es zu spät ist?
Hat Ransomware Ihr System befallen und Sie haben keinen Zugriff auf Ihre Dateien mehr, gilt: Keinesfalls sollten Sie auf die Forderungen der Cyberkriminellen eingehen. Es gibt keine Garantie dafür, dass die Erpresser:innen Ihnen nach Zahlung des Lösegeldes Ihre Dateien tatsächlich wieder zugänglich machen.
Nach einem Ransomware-Angriff ist das Entfernen des Trojaners und die Wiederherstellung der Dateien möglich, allerdings in einem eher kleinen Rahmen. Für private Nutzer:innen gibt es beispielsweise eine Reihe kostenloser Tool im Internet. Expert:innen raten Unternehmen jedoch davon ab, im Falle eines Schadens selbst Hand anzulegen und verweisen, um Ransomware zu entfernen, auf spezialisierte Dienstleister.
IT-Security-Spezialisten wie Accenture blicken auf eine jahrelange Erfahrung bei der Bekämpfung cyberkrimineller Bedrohungen zurück. Teil des Leistungspakets von Accenture Security ist unter anderem die Dienstleistung „Breach Response & Forensics“. Diese hilft Unternehmen, schnell und angemessen auf einen Cyberangriff reagieren zu können. Der Dienstleister hilft, den Schaden zu begrenzen und die Wiederherstellungszeit der Dateien und Systeme zu verkürzen.
WannaCry als Beispiel für eine der größten bekannten Attacken
Am 12. Mai 2017 bemerkten IT-Sicherheitsspezialisten in verschiedenen Behörden und Unternehmen in über 150 Ländern, dass sich eine neue Version der WannaCry-Erpressersoftware in zahlreichen IT-Systemen verbreitet hatte. Unter anderem befiel WannaCry Systeme eines spanischen Telekommunikationsunternehmens. In Großbritannien befiel die Malware die IT-Systeme zahlreicher Krankenhäuser und Praxen.
Die WannaCry-Ransomware nutzte eine Schwachstelle im Betriebssystem Windows aus. Unbestätigten Gerüchten zufolge habe die US-Sicherheitsbehörde NSA diese Sicherheitslücke geschaffen. Eine Hackergruppe namens Shadow Brokers hatte die EternalBlue genannte Schwachstelle bereits vor dem WannaCry-Angriff publik gemacht.
Microsoft reagierte auf den Leak von Shadow Brokers und veröffentlichte im April 2017 ein Update für Windows. Doch zu einer flächendeckenden Beseitigung der Sicherheitslücke kam es nicht. Auf zahlreichen Firmencomputern lief auch weiterhin eine unsichere Windows-Version. Die nicht selten unzureichenden Update-Routinen vieler Unternehmen öffneten dem WannaCry-Trojaner Tür und Tor.
Als die Ransomware schließlich zuschlug, verschlüsselte sie Unmengen Datensätze und legte zahlreiche Unternehmen und Einrichtungen für mehrere Tage lahm. Die Angreifer:innen forderten 600 Dollar in Bitcoins von ihren Opfern. In welchem Ausmaß diesem Erpressungsversuch tatsächlich nachgegeben wurde, ist nicht belegt. Weltweit betraf der WannaCry-Angriff etwa 230.000 Computer.
Weitere bekannte Ransomware-Attacken
Bad Rabbit: Dass nicht jede Art von Ransomware via Phishing-Mail auf die Zielcomputer gelangt, zeigt der Bad-Rabbit-Trojaner. Dieser verbreitete sich 2017 über einen sogenannten Drive-by-Angriff. Hier besucht ein Opfer eine von Kriminellen manipulierte Webseite. Der Besuch reicht aus, um unbemerkt im Hintergrund einen sogenannten Malware-Dropper zu aktivieren. Der Bad-Rabbit-Malware-Dropper fordert die Nutzer auf, das Adobe-Flash-Plugin auf dem Computer zu installieren. Nur so werde die besuchte Webseite vollumfänglich lesbar. Doch anstatt des Plugins installiert das Opfer die Malware auf dem Endgerät.
Ryuk: Im August 2018 verbreitete sich weltweit der Ryuk-Erpressertrojaner. Diese Ransomware deaktiviert auf den befallenen Rechnern die Wiederherstellungsfunktion von Windows. Die Nutzer:innen können die durch den Trojaner verschlüsselten Dateien nicht wiederherstellen. Dies gelingt nur durch Rückgriff auf eine externe Sicherheitskopie des Systems. Ryuk befiel auch Netzwerkfestplatten in Behörden, Unternehmen und Krankenhäusern.
CryptoLocker: Diese Ransomware tauchte 2007 zum ersten Mal auf. Cyberkriminelle verbreiteten die Malware mit infizierten E-Mail-Anhängen. Weltweit befiel CryptoLocker über 500.000 Endgeräte. Strafverfolgungsbehörden gelang es, einen Teil der für die Verbreitung der Ransomware gekaperten Rechner zu beschlagnahmen. Von den Kriminellen unbemerkt erhielten die Ermittler:innen Zugriff auf das Ransomware-Netzwerk. Sie analysierten die von dort aus gesendeten Schadprogramme und richteten ein Online-Portal ein. Hier fanden die Opfer die nötigen Codes zum Entschlüsseln ihrer Dateien. Viele Nutzer:innen erhielten dadurch wieder die Kontrolle über ihre Systeme, ohne alle Systeme zurücksetzen oder Lösegeld zahlen zu müssen.
Petya: 2016 legte Petya zahlreiche Personalabteilungen in Unternehmen lahm. Die Ransomware lauerte hinter einem Dropbox-Link in gefälschten Bewerbungsmails. Statt einzelner Dateien verschlüsselte Petya die komplette Festplatte der Opfer.
GoldenEye: Dieser nach einem James-Bond-Film benannte Trojaner gilt als der Nachfolger von Petya und schädigte 2017 einige große russische Ölfirmen und Banken.
Dharma Brrr Ransomware: Häufig bauen Ransom-Attacken auf zuvor erfolgtes Phishing auf. Nicht so Dharma Brrr – diesen Erpresser-Trojaner installierten Cyberkriminelle „in Handarbeit“ auf von ihnen gehackten Desktops. Als die Angreifer:innen die Malware dann aus der Ferne aktivierten, verschlüsselten sie sämtliche gefundene Dateien. Die Dateinamen endeten dann auf „.id-[ID].[E-Mail].brrr“.
Ransomware: Das Wichtigste in Kürze
- Ransomware kapert Ihre Endgeräte und IT-Systeme und verschlüsselt Dateien oder das Betriebssystem. Die kriminellen Urheber:innen fordern ein Lösegeld.
- Mithilfe von Phishing-Attacken schleusen Kriminelle Malware in Ihre Firmen-IT ein.
- Ransomware befällt mittlerweile auch Smartphones.
- Locker-Ransomware blockiert wichtige Funktionen Ihres Endgeräts.
- Crypto-Ransomware verschlüsselt alle wichtigen Dateien Ihres Unternehmens. Ein Textfeld fordert Sie auf, ein Lösegeld zu zahlen.
- Cyberkriminelle können gegen Bezahlung auf die technischen Kenntnisse anderer Hackergruppen zurückgreifen. Dieses Geschäftsmodell nennen IT-Sicherheitsexpert:innen Ransomware-as-a-Service.
- Ihr Unternehmen sollte sich mit einer leistungsfähigen Antivirensoftware vor Ransomware-Angriffen schützen.
- Sensibilisieren Sie Ihre Mitarbeiter:innen. Ihr Team sollte verdächtige E-Mails sofort Ihren IT-Fachleuten melden.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/ransomware-schutz-im-unternehmen-darauf-sollten-sie-achten/