Was ist Ransomware? Definition, Risiken & Schutzmaßnahmen
Ransomware ist heutzutage eine der wohl schlimmsten Bedrohungen für Unternehmen im Rahmen von Cyberangriffen. Es bedeutet zumeist, dass ein Unternehmen, sofern es nicht entsprechend aufgestellt war, jegliche Systeme neu konfigurieren und zurücksetzen darf.
Ransomware Definition:
Ransomware setzt sich aus den Begriffen „ransom“ (engl. „Lösegeld“) und „ware“ (Kurz: Software) zusammen. Es handelt sich hierbei um eine besonders schwerwiegende Art von Schadsoftware (auch Malware genannt).
Der Lifecycle eines Ransomware-Angriffs
Ransomware-Angriffe sind heutzutage eine bedeutende Bedrohung für Unternehmen. Sie setzen sich aus mehreren Phasen zusammen, die unterschiedliche Strategien der Angreifer widerspiegeln. Unternehmen sollten sich mit diesen Phasen vertraut machen, um Schutzmaßnahmen besser implementieren zu können.
1. Initial Access
Die erste Phase eines Ransomware-Angriffs ist der Initial Access. Angreifer verschaffen sich Zugang zu einem System durch:
- Phishing-Mails mit schädlichen Anhängen
- Ausnutzung kritischer Systemschwächen
- Verwendung gestohlener Zugangsdaten für Netzwerke wie VPNs oder Cloud-Dienste
In dieser Phase beauftragen Angreifer oftmals sogenannte Access Broker, um Zugangsdaten zu beschaffen. Der erfolgreiche Zugriff leitet die nächste Phase ein.
2. Persistenz
Sobald die Systeme infiltriert sind, bemühen die Angreifer sich um Persistenz. Sie verbleiben unentdeckt, indem sie weitere Software nutzen oder Funktionen der initialen Schadsoftware aktivieren. Weitere Ziele in dieser Phase umfassen:
- Ausspähen der Netzwerkstruktur
- Identifizieren weiterer potenziell nutzbarer Zugangsdaten
- Festlegen der Ausbreitungsstrategien im Unternehmen
3. Privilege Escalation
In der Phase der Privilege Escalation zielen die Angreifer darauf ab, erweiterte Zugriffsrechte zu erhalten, um:
- Sich auf weitere Systeme auszubreiten
- Einen vollständigen Überblick über das Netzwerk zu gewinnen
- Vertrauliche Daten zu erreichen
Dieses sogenannte Lateral Movement hilft dabei, die Kontrolle über das Netzwerk zu erweitern und Angriffsmöglichkeiten zu maximieren.
4. Payload Deployment
Jetzt wird die Schadsoftware verteilt, um erheblichen Schaden anzurichten. Dies wird durch die Ausführung der Ransomware erreicht, die Systeme oder spezifische Datensätze verschlüsselt. Oft folgt ein vorher festgelegtes Schema, das kritische Daten von der Verschlüsselung ausnimmt, um eine spätere Exfiltration zu erleichtern.
5. Exfiltration und Erpressung
In dieser Phase geht es um das Entwenden und potenziell mehrfaches Erpressen (Double/Triple Extortion) des Unternehmens. Die Angreifer:
- Legen gestohlene Daten in speziellen Verzeichnissen ab
- Drohen mit Veröffentlichung der Daten, falls kein Lösegeld gezahlt wird
- Erhöhen den Druck durch Drohungen gegenüber Kunden des Opferunternehmens
6. Forderungen und Zahlung
Unternehmen erhalten meist durch eine „Ransomnote“ oder direkt über das Darknet Lösegeldforderungen. Während viele Unternehmen aus ethischen Gründen davor zurückschrecken, wird trotzdem oft gezahlt. Verhandlungen über die Höhe der Summen sind üblich.
7. Wiederherstellung und Anpassung
Nach einem Angriff stehen Unternehmen vor der Herausforderung, ihre Systeme wiederherzustellen und den normalen Betrieb fortzusetzen. Dies beinhaltet oft:
- Neuaufbau von Infrastrukturen
- Einführung von Sicherheitslösungen
- Erhöhte Investitionen in Cybersicherheitspraktiken
Viele Unternehmen entscheiden sich, ihre Cyberabwehr zu verstärken, indem sie Incident Response Retainers abschließen oder Security Operations Centers integrieren.
Die Gefahren von Ransomware
Ransomware bleibt eine der gravierendsten Bedrohungen in der digitalen Welt, die Unternehmen jeder Größe betrifft. Diese Art von Schadsoftware zielt darauf ab, sensible Daten zu verschlüsseln und Lösegeld für deren Freigabe zu fordern. Dabei sind die finanziellen und betrieblichen Risiken erheblich.
Unternehmen stehen vor mehreren Herausforderungen durch Ransomware:
- Datenverlust: Verschlüsselte Daten sind ohne Zahlung oft nicht wiederherstellbar, was zu permanentem Verlust von Geschäftsinformationen führen kann.
- Betriebsunterbrechung: Die temporäre Stilllegung betroffener Systeme kann den Geschäftsbetrieb stören und erhebliche finanzielle Verluste verursachen.
- Rufschädigung: Ein Ransomware-Angriff kann das Vertrauen von Kunden und Geschäftspartnern in die Sicherheitsmaßnahmen eines Unternehmens nachhaltig erschüttern.
- Kostspielige Wiederherstellung: Selbst wenn Lösegeld gezahlt wird, gibt es keine Garantie für die Datenwiederherstellung, sodass zusätzliche Kosten für Wiederherstellungsbemühungen entstehen können.
- Rechtliche Konsequenzen: Unternehmen können haftbar gemacht werden, wenn sie es versäumen, personenbezogene Daten angemessen zu schützen, was zu rechtlichen Strafen führen kann.
Um diesen Gefahren entgegenzuwirken, ist es entscheidend, proaktive Sicherheitsmaßnahmen zu implementieren, wie regelmäßige Datensicherungen, Mitarbeiterschulungen zu Sicherheitspraktiken und die Nutzung robuster Sicherheitssoftware. Durch die Ergreifung dieser Schritte können Unternehmen das Risiko eines Ransomware-Angriffs minimieren und die Auswirkungen potenzieller Angriffe abmildern.
Historie von Ransomware
1980 – 1990
Die erste Form von Ransomware war der sog. „AIDS Trojan“, auch „PC Cyborg Trojan“ im Jahr 1989. Damals wurde diese Schadsoftware über Disketten verteilt und somit wurden bei Aktivierung der Software vordefinierte Daten verschlüsselt und eine Lösegeldsumme in Höhe von 189 US-Dollar gefordert. Diese Summe sollte dann an ein Postfach in Panama gesendet werden.
Aufgrund leichter, so gesehen primitiver Verschlüsselungstechnik, war diese Methode der Verschlüsselung leicht zu knacken und damit die Schadsoftware verhältnismäßig ineffektiv. Sie legte jedoch den Grundstein für weitere Entwicklungen in den 2000er Jahren.
2000er
Die ersten Formen von Ransomware in den 2000er Jahren waren aufgrund der Verwendung einfacher Algorithmen leicht zu umgehen und zu beseitigen. Es wurden verschiedene Methoden erprobt, jedoch war Ransomware bis zu diesem Zeitpunkt noch relativ selten vertreten.
2005 folgte Gpcode, eine der ersten modernen Ransomware-Familien. Sie war eine der ersten Versionen von Ransomware, welche einen „fortschrittlicheren“ Algorithmus zur Verschlüsselung verwendete, auch wenn zuerst nur in schwacher Form.
2006 folgte Archiveus. Diese Art von Ransomware erstellte ein verschlüsseltes, mit einem Passwort geschützten, ZIP-Archiv mit den Daten eines Benutzers und einer Lösegeldforderung. Durch Bekanntmachung des Kennwortes wurde jedoch der Angriff weitestgehend nichtig.
In den Jahren 2007 und 2008 kamen weitere Varianten mit unterschiedlichen Verfahren hinzu, welche die Ransomware Landschaft erweiterten. Hier beispielsweise WinLock. Diese Art von Ransomware verschlüsselte nicht die Daten an sich, sondern hinderte den Benutzer, Zugang zu seinen Daten zu erhalten und forderte ebenfalls ein Lösegeld, um Zugang zum System zu erhalten.
2008 trat dann eine neuere Version von Gpcode auf „Gpcode.AK“, welche eine RSA-Verschlüsselung mit einem 1024-Bit-Schlüssel verwendete. Hierdurch wurde es bis zur Entwicklung von PhotoRec durch Christophe Grenier nahezu unmöglich, Daten wiederherzustellen. Durch das Programm PhotoRec konnten sowohl Daten, welche von Gpcode als auch Gpcode.AK verschlüsselt wurden, wiederhergestellt werden.
2010 – 2015
In den Jahren 2010-2015 entwickelte sich Ransomware zu einer der gefährlichsten Bedrohungen im digitalen Raum. Es folgten modernere Angriffe und zugeschnittene Angriffe auf unterschiedlichste Kreise. In diesem Zeitraum erhielt auch „Ransomware-as-a-Service“ eine zunehmende Bedeutung und damit der Aufbau größere Infrastrukturen der Angreifer.
2012 entstand Reveton, die auch als „Police Ransomware“ bekannt wurde und unter dem Vorwand auf dem betroffenen System illegale Aktivitäten festgestellt zu haben, vorgab eine Software der Polizei oder anderer Behörden zu sein und den Benutzer von der Nutzung des Gerätes aussperrte. Durch Zahlung einer Geldsumme via Paysafecard oder auch Ukash konnten sich die Benutzer wieder Zugriff zu ihren Geräten verschaffen. Nicht immer wurde das System nach Bezahlung freigegeben.
2013 folgte CryptLocker mit einer RSA-2048-Verschlüsselung, die es gegebenermaßen unmöglich machte diese zu umgehen. Die Zahlungsaufforderung erfolgte hierbei mit Bitcoin, was es für die Angreifer einfacher machte, unentdeckt zu bleiben. Da es sich um eine asymmetrische Verschlüsselung handelt, war es den Benutzern ohne den richtigen Schlüssel, welcher nur den Angreifern zur Verfügung stand, nicht möglich, ihre Systeme zu entsperren.
Die direkte Weiterentwicklung von CryptLocker, CryptoWall folgte ein Jahr später und wurde durch sog. Exploit-Kits sowie Phishing verbreitet und machte es den Angreifern leichter auch große Netzwerke zu infizieren.
Weitere Arten von Ransomware, welche besonders prägend für diese Zeit waren, sind Locker-Ransomware und TeslaCrypt. LockerRansomware verschlüsselte zwar ebenfalls Systeme wie auch CryptLocker/CryptoWall, war jedoch deutlich weniger effektiv in der Umsetzung.
TeslaCrypt war eine speziell auf den Gaming-Bereich abzielende Ransomware, welche bei Spielen, welche auf einem Rechner installiert waren, bestimmte Dateien verschlüsselte und dadurch das Spielen unmöglich machte.
Die neueren Arten von Ransomware und die raschere Ausbreitung durch Exploit-Kits und Phishing machte es den Angreifern in dieser Zeit einfacher, sich in Netzwerken und auf Rechnern auszubreiten.
2016 – 2022
In den Jahren 2016 bis 2022 gab es durch unvorhergesehene Ereignisse wie Pandemien sowie Neuerungen im Bereich von Ransomware wie der Technik „Double Extortion“ einige große neue Spieler in diesem Bereich, wie beispielsweise:
- Locky (2016): Infiziert über E-Mail-Anhänge und Word-Dokumente mit Makros
- Petya (2016): Verschlüsselte Master Boot Record
- Cerber (2016): Wurde als RaaS angeboten
- WannaCry (2017): Benutzte die Schwachstelle EternalBlue um sich im Netzwerk zu verbreiten
- NotPetya (2017): Verschlüsselte und manipulierte Daten, so dass eine Wiederherstellung noch weiter erschwert wurde
- SamSam (2018): Angriffe primär auf Gesundheits- und Bildungseinrichtungen
- GandCrab (2018): Wurde ebenfalls als RaaS angeboten
- Ryuk (2019): Gezielte Angriffe auf große Unternehmen und Behörden
- REvil (2019): Mit eine der größten RaaS-Plattformen unter anderem verantwortlich für Kaseya 2021
- Maze (2020): Erste Gruppe, die sich an „Double Extortion“ – Doppelerpressung versuchte. Daten werden veröffentlicht, sollte das Opfer nicht zahlen
- Egregor (2020): Ebenfalls durch „Double Extortion“ bekannt
- Kaseya (2021): Der IT-Dienstleister wurde durch die Gruppe REvil angegriffen, wodurch Kunden, die deren Dienste nutzten, ebenfalls ins Visier gerieten. Lösegeldforderung von 70 Millionen US-Dollar
Double Extortion Definition:
Double Extortion ist eine Ransomware-Taktik, bei der Angreifer nicht nur Daten verschlüsseln, sondern auch drohen, gestohlene Informationen zu veröffentlichen, falls das Lösegeld nicht gezahlt wird, um zusätzlichen Druck auf das Opfer auszuüben.
2022 – heute
In 2022 und den darauffolgenden Jahren folgten weitere Ausprägungen von Double und Triple Extortion. Bei Triple Extortion wird nicht nur der Druck auf das Opfer selbst ausgeübt, sondern auch noch Kunden und weitere Dritte ins Visier genommen, um den Druck auf das Unternehmen zu erhöhen. Dies kann auf unterschiedlichen Wegen wie Erpressung durch DDoS-Angriffe und direkte Forderungen an Dritte erfolgen.
Zu den größten und bekanntesten Ransomware-Gruppen in den vergangenen Jahren mit mehreren Versionen und Iterationen von Ransomware zählen unter anderem:
- LockBit
- BlackCat (ALPHV)
- Clop
- Play
Nächste Welle der Ransomware: Auf welche Gefahren müssen wir uns einstellen?
Es werden sich auch in den nächsten Jahren sicherlich weitere Entwicklungen und Trends im Bereich von Ransomware zeigen, welche sich dann entweder aus vorangegangen Gruppen, Techniken oder Arten von Angriffen ableiten lassen oder eine ganz neue Art der Angriffe präsentieren.
Unabhängig davon, lassen sich auch auf sehr technischer Ebene große Unterschiede zwischen den Ransomware-Gruppen sowie den von ihnen verwendeten Schadsoftware-Tools und Erweiterungen verzeichnen, welche in nachfolgenden Beiträgen näher aufzeigt werden. Von vollständiger Verschlüsselung bis hin zur einfachen Löschung oder Unkenntlichmachung von Daten.
FAQ – Wichtige Fragen zum Thema Ransomware
Was macht eine Ransomware?
Ransomware verschlüsselt Dateien auf dem Computer des Opfers und fordert ein Lösegeld, um den Zugriff wiederherzustellen. Dadurch werden wichtige Daten unzugänglich, bis die Zahlung erfolgt oder die Dateien anders entschlüsselt werden können.
Wie sollte man sich im Falle eines Ransomware-Angriffs verhalten?
Trennen Sie das betroffene Gerät sofort vom Netzwerk, um eine Ausbreitung zu verhindern. Suchen Sie professionelle Hilfe, um festzustellen, ob eine Entschlüsselung ohne Zahlung möglich ist, und informieren Sie gegebenenfalls die Behörden.
Welche Ransomware-Varianten gibt es?
Es gibt verschiedene Varianten wie Crypto-Ransomware, Locker-Ransomware und ganze Geschäftsmodelle wie Ransomware-as-a-Service (RaaS), wo man entscheiden kann, welche Variante man für seine Angriffe einkauft. Die Varianten unterscheiden sich hauptsächlich durch ihre Methoden der Infektion und Verschlüsselung.
Kann man Ransomware-Angreifer identifizieren?
Ransomware-Gruppierungen lassen sich leicht identifizieren. Die Identifizierung von Ransomware-Angreifern als Personen ist oft schwierig, da sie anonym agieren und Zahlungen in Kryptowährungen fordern. Dennoch können forensische Untersuchungen und Analysen von Malware Spuren liefern, die manchmal zu den Tätern führen.
Gibt es Maßnahmen, um die Verbreitung von Ransomware zu verhindern?
Regelmäßige Software-Updates, Netzwerksegmentierung und effektive Backup-Strategien sind entscheidend. Zudem sollten Unternehmen Sicherheitsmaßnahmen wie Firewalls und Antiviren-Software implementieren, um das Risiko zu minimieren.
Weitere spannende Beiträge
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de