Wie läuft ein Ransomware-Angriff ab?

Keine Zeit zu lesen? Einfach anhören:

Es klingt wie das Drehbuch eines Thrillers: Ein unschuldiger Protagonist, ein recht simpler Handlungsstrang, ein Bösewicht, der Geld im Tausch für etwas Wertvolles verlangt.

Doch leider geht es hier nicht um einen Film, sondern um die Realität. Denn genau so läuft ein Ransomware-Angriff ab.

Und während ein Film wahrscheinlich trotz allem gut ausgeht, enden Ransomware-Angriffe leider nicht immer mit einem Happy End.

Was ist ein Ransomware-Angriff?

Ransomware ist eine Form von Malware, die sich in Systeme einschleicht und den Zugriff auf Daten verhindert. Der Angriff breitet sich über das Netzwerk aus und verschlüsselt alle Daten auf den verschiedenen Servern, sodass sie nicht mehr abrufbar sind.  

Meist erreicht die Lösegeldforderung das System bereits, während die Daten verschlüsselt werden – sie beinhaltet die Höhe des geforderten Betrags, Transaktionsinformationen und Details zum weiteren Vorgehen. Um ihre Opfer zu einer schnelleren Zahlung zu drängen, nutzen Hacker dabei verschiedene Druckmittel: Sie drohen damit, Daten zu veröffentlichen oder versehen die Lösegeldforderung mit einem Countdown-Timer, nach dessen Ablauf der geforderte Betrag ansteigt. 

Cyberkriminelle planen Ransomware-Angriffe sorgfältig unter verdeckten Identitäten. Dabei überlassen sie nichts dem Zufall, wissen meist bestens über die Reaktionsfähigkeit des Security Operations Center (SOC) des Opfers Bescheid und gehen nach immer neuen Mustern vor. Dabei werden auch die finanziellen Mittel des Unternehmens sorgfältig überprüft – je erfolgreicher das Unternehmen, desto attraktiver ist es als Ziel der Attacke. 

Da das Risiko für die Angreifenden vergleichsweise gering ist, die Ausbeute aber extrem hoch ausfallen kann, hat sich die Anzahl der Ransomware-Angriffe 2021 mehr als verdoppelt.  

Die Anzahl an Ransomware-Angriffen ist 2021 im Vergleich zu 2020 um 105% gestiegen. 

Weltweit wurden 2021 über 600 Millionen Ransomware-Angriffe verzeichnet. 

Quelle: SonicWall CyberThreat Report 2022

Arten von Ransomware

Es gibt zwei Hauptkategorien, in die sich Ransomware unterteilen lässt: automatisierte und menschengesteuerte Ransomware. Die Vielfältigkeit und Treffsicherheit beider ist rasant angestiegen. 

Automatisierte Ransomware-Angriffe folgen einem bekannten Muster. Dabei klicken die Opfer auf einen Link oder öffnen den Anhang einer E-Mail, wodurch die Installation der Ransomware ausgelöst wird. Bekannte Beispiele für solche Ransomware-Angriffe sind WannaCry und NotPetya. Erst kürzlich – am 14. Juni 2022 – führte die Hackergruppe ALPHV/Black Cat einen Angriff auf ein Luxus-Spa in den Vereinigten Staaten durch, bei dem persönliche Daten von mehr als 4.000 Menschen in durchsuchbarem Format auf einer Webseite veröffentlicht wurden. Diese Art des Victim Shaming (die Bloßstellung der Opfer) ist derzeit als Druckmittel besonders beliebt. 

Eine weitere wachsende Bedrohung ist die menschengesteuerte Ransomware – deutlich komplexer, aber auch hocheffektiv. Dabei kennen sich die Cyberkriminellen genau mit der Systemadministration und Netzwerksicherheitskonfigurationen aus – und können so ausgeklügelte Spear-Phishing-Angriffe durchführen. Gegebenenfalls greifen sie die Systeme auch über bekannte Schwachstellen direkt an, um die Ransomware zu installieren. Einige der bekanntesten dieser Attacken wurden von den Hackergruppen REvil, Samas und Bitpayer durchgeführt. 

Zu den gängigsten Arten von Ransomware gehören unter anderem: 

1. Locker-Ransomware: Blockiert das System und den Zugang zu sämtlichen Daten und Dateien, bis das Lösegeld gezahlt wird.
2. Crypto-Ransomware: Noch verbreiteter als Locker. Verschlüsselt alle Daten auf dem System und verlangt Lösegeld im Tausch für den Entschlüsselungscode.
3. Scareware: Gefälschte Software, die vorgibt, einen Virus entdeckt zu haben, der nur gegen Bezahlung entfernt werden kann.
4. Leakware oder Multiple-Extortion-Ransomware („Mehrfacherpressung“): Es wird gedroht, vertrauliche oder verschlüsselte Daten zu verbreiten oder im Darknet zu verkaufen. Um die Kontrolle über Daten zurückzugewinnen, soll Lösegeld gezahlt werden. 

Angreifende können auch eine Kombination all der oben genannten Methoden nutzen, was den Angriff umso gefährlicher macht.

Der Betrag, der als Lösegeld gefordert wird, kann sich von Angriff zu Angriff unterscheiden. Die Zahlung des Lösegelds garantiert dabei nicht unbedingt, dass die Daten tatsächlich wiederhergestellt werden – entgegen den Behauptungen der Angreifenden. Doch es geht Hackern nicht allein um Geld: Auch der Zugriff auf sensible Daten, politischer Einfluss, Rufschädigung und Spionage gehören zu ihren Beweggründen. Dennoch ist und bleibt Geld bei der Vielzahl der Ransomware-Angriffe bei weitem der größte Motivator. 

Die Lösegeldforderungen bei Ransomware schießen in die Höhe: 2021 lagen die geforderten Beträge oftmals im hohen zweistelligen Millionen-Bereich. Die Wiederherstellung der Daten ist dabei nicht garantiert.

Für die Beseitigung der Schäden durch Ransomware zahlten Unternehmen 2021 im Durchschnitt 1,85 Millionen US-Dollar.

Quelle: ENISA Threat Landscape 2021

Die gefährlichste Art von Ransomware nimmt ihre Opfer mehrfach ins Visier: Ein Blick auf die Daten zeigt, dass Wiederholungstäter in der Regel innerhalb von 12 Monaten erneut zuschlagen. Das verdeutlicht, wie wichtig eine starke Sicherheitskultur ist. 

80 % der Organisationen, die Lösegeld zahlten, wurden Opfer eines zweiten Angriffs. 

Quelle: Cybereason 2022 Ransomware Report

Ransomware als Geschäftsmodell

Heute werden ausgeklügelte Angriffe von Teams aus Tech-Expertinnen und -Experten durchgeführt, die Ransomware as a Service (RaaS) anbieten und hohe Erfolgschancen nachweisen können. 

Dabei steht RaaS legitimen Geschäftsmodellen in nichts nach: Die Organisationen verfügen über eigene Mitarbeitende, einen Kundenservice und breite Partnernetzwerke und bieten Zusatzoptionen wie Entschlüsselungsverhandlungen und Transaktionen mit Kryptowährungen an. Die Verantwortlichen hinter den Angriffen sind bekanntermaßen sogar in sozialen Medien aktiv und nutzen Chatbots, um die Lösegeldzahlungen zu beschleunigen. 

Wie wird Ransomware verbreitet und was steht auf dem Spiel?

Es gibt verschiedene Eintrittstore für Ransomware: Sie kann unbeabsichtigt heruntergeladen werden, in einer Software vorinstalliert sein oder Teil von Malvertisements (mit Malware infizierte Werbung) sein. Am beliebtesten und effektivsten sind aber Spear-Phishing-Mails. In diesen geben sich Cyberkriminelle als bekannte Organisationen, Vorgesetzte, Mitarbeitende oder andere vertraute Personen ihres Opfers aus. Sie setzen auf Typo- und Domain-Squatting, stark personalisierten Inhalt, der Dringlichkeit vorgaukelt, und die Geheimzutat: einen schädlichen Link. Ein Klick auf den Link in der Phishing-Mail öffnet schließlich die Tore für die Malware. Diese Form des Social-Engineering-Angriffs ist fast unmöglich zu erkennen. 

Jede Ransomware-Attacke bringt sowohl Langzeit- als auch Kurzzeitschäden mit sich. Die Unfähigkeit, wichtige Geschäftsinformationen abzurufen, ist nur der erste ersichtliche Effekt. Auch Produktivitätseinbußen und hohe Kosten können weitere spürbare Folgen sein. Neben beträchtlichen, unerwarteten Ausfallzeiten, ist zudem die Geschäftskontinuität stark betroffen. Langzeitfolgen wie Vertrauensverlust beim Kundenstamm, negative Auswirkungen auf den Erfolg und die Rentabilität des Unternehmens sowie sinkende Umsätze und Rufschädigung lassen sich nur schwer ausgleichen. 

Geben Sie Phishing keine Chance

Demo starten

Erfahren Sie, wie unsere Phishing-Simulation Ihren Mitarbeitenden hilft, Online-Bedrohungen aktiv abzuwehren.

Wie erkenne ich einen Ransomware-Angriff?

Da sich Ransomware leise und unbemerkt einschleicht, ist es oft bereits zu spät, um Sicherheitsmaßnahmen zu ergreifen. Es gibt jedoch einige Anzeichen, durch die Ransomware frühzeitig erkennbar ist: 

Wie kann ich Ransomware-Angriffe vermeiden?

Die große Preisfrage in der Welt der Online-Sicherheit ist auch die zermürbendste: Sind wir vorbereitet? Der massive Anstieg von Ransomware-Angriffen und die Weiterentwicklung ausgeklügelter Angriffstaktiken lässt anderes vermuten. Um die Zahlen nicht noch weiter anzufeuern, können Unternehmen proaktiv Maßnahmen ergreifen: 

1. Bieten Sie Ihren Mitarbeitenden zum Thema Cyber Security E-Learning und weitere Awareness-Trainingsoptionen wie Phishing-Simulationen an, um ihnen zu vermitteln, wie sie Cyber-Bedrohungen abwehren können.
2. Sorgen Sie für regelmäßige Back-ups mit verschiedenen Lösungen und Speicherorten wie Offline-Seiten und Cloud-Speichern.
3. Führen Sie Updates für Ihre Software und Betriebssysteme durch und installieren Sie Patches, um Rechner vor potenziellen Bedrohungen zu schützen.
4. Teilen Sie Ihr Netzwerk in separat gesicherte Subnetze auf – implementieren Sie Identity and Access Management (IAM) mit einer Zero-Trust-Architektur, die die Systemrechte reguliert.
5. Verwalten Sie die Einstellungen für Ports, auf die Ransomware-Angriffe abzielen, zum Beispiel den Port für das Remote Desktop Protocol (RDP), der den Fernzugriff ermöglicht.
6. Scannen Sie alle gesendeten und empfangenen E-Mails, um potenzielle Bedrohungen in Inhalt, Links und Anhängen zu identifizieren.
7. Führen Sie regelmäßig firmeninterne Sicherheitsprüfungen durch, um Schwachstellen wie unberechtigte Datenzugriffe oder falsch konfigurierte Datenbanken zu beheben.
8. Entwickeln Sie einen auf Ihre Organisation zugeschnittenen Recovery Plan mit detaillierten Anweisungen, um die Folgen eines Angriffs zu minimieren und die Systeme schnell wieder in Betrieb nehmen zu können. 

Was tun bei einem Ransomware-Angriff?

Wenn Sie angegriffen werden, ist schnelles Handeln nötig. Folgende Schritte sollten Sie im Falle eines Angriffs sofort umsetzen: 

1. Trennen Sie infizierte Geräte 
   Trennen Sie infizierte Geräte sofort von allen Netzwerkverbindungen: Ziehen Sie das Kabel ab, deaktivieren Sie die WLAN- und Ethernet-Verbindung. 
2. Informieren Sie Ihr IT-Sicherheitsteam
   Benachrichtigen Sie sofort das IT-Sicherheitsteam Ihres Unternehmens, damit die Kolleginnen und Kollegen nötige Maßnahmen einleiten können. 
3. Setzen Sie Anmeldedaten zurück 
   Ändern Sie alle Login-Daten, vor allem für Administratoren und andere privilegierte Zugangskonten. Dies hindert Angreifende daran, sich in Ihrem Netzwerk zu bewegen.
4. Benachrichtigen Sie die Behörden 
   Melden Sie den Vorfall, damit die Behörden eine offizielle Untersuchung einleiten können. Laut Datenschutz-Grundverordnung (DSGVO) sind Organisationen in der EU verpflichtet, Vorfälle mit personenbezogenen Daten innerhalb von 72 Stunden zu melden. 
5. Installieren Sie Updates
   Auf allen Systemen sollten die neuesten Updates installiert sein, damit Angreifende keine bekannten und gepatchten Sicherheitslücken ausnutzen.  
6. Überprüfen Sie Back-ups vor der Wiederherstellung
   Stellen Sie sicher, dass Ihr Back-up nicht infiziert ist und das Gerät, das sie wiederherstellen wollen, frei von Malware ist. 

Vorausschauen und geschützt bleiben

Ihre vielschichtige Natur erfordert einen ebenso vielschichtigen Ansatz beim Schutz vor Ransomware-Angriffen. Cyber Security Awareness Training sollte ein Grundpfeiler für Organisationen sein, damit sicheres digitales Verhalten in Fleisch und Blut übergeht. 

Machen Sie einen wichtigen Schritt hin zur Stärkung Ihrer Sicherheitskultur. Vereinbaren Sie jetzt einen Termin für unsere Demo und finden Sie heraus, wie Ihre Mitarbeitenden zur aktiven Abwehrlinie Ihrer Organisation werden und sie vor Cyberangriffen schützen!