Unter Ransomware versteht man eine bösartige Payload, die am besten die böswilligen Absichten von möglichen Angreifern beschreibt, die von einem Opfer Zahlungen erpressen wollen, indem sie erfolgreich die Kontrolle über die Daten oder Systeme des Opfers übernehmen. Üblicherweise wird dabei verlangt, die Lösegeldzahlungen in Kryptowährungen zu leisten.
Angreifer nutzen möglicherweise mehrere Vektoren für ihre Attacke und die Verweigerung, Lösegeld zu zahlen, kann Konsequenzen nach sich ziehen. Diese schließen die folgenden Bedrohungen mit ein:
Im Allgemeinen versuchen böswillige Akteure Zahlungen zu erpressen, da sie durch ihre Angriffe IT-Systeme kompromittieren und die normalen betrieblichen Abläufe des Opfers beeinträchtigen können. Eine der häufigsten Angriffsmethoden ist Malware. Aber es gab auch schon mehrere Ransomware-Angriffe, ohne dass dabei Malware verwendet wurde – zum Beispiel Ransomware durch Cyber-Erpressung mit der Drohung eines Denial-of-Service (DoS) oder der Verunstaltung einer Webseite. Inzwischen gibt es auch Ransomware-as-a-Service (RWaaS). Hierbei betreiben die böswilligen Akteure ein Geschäftsmodell, bei dem sie gezielte Angriffe auf Einzelpersonen oder Unternehmen als Dienstleistung durchführen – natürlich gegen eine Gebühr.
Ransomware wird häufig über Phishing-E-Mails oder sogenannte „Drive-by-Downloads“ übertragen. Phishing-E-Mails erscheinen seriös und vertrauenswürdig und verleiten das Opfer dazu, auf einen bösartigen Link zu klicken oder einen Anhang zu öffnen. Bei einem Drive-by-Download handelt es sich um ein Programm, das automatisch und ohne Wissen und Zustimmung der Nutzer aus dem Internet heruntergeladen wird. Dabei kann der schädliche Code nach dem Download möglicherweise ohne jede Benutzerinteraktion ausgeführt werden. Nach der Ausführung des schädlichen Codes ist der Computer des Nutzers mit Ransomware infiziert.
Die Ransomware identifiziert die Laufwerke eines infizierten Systems und beginnt mit der Verschlüsselung der Dateien auf jedem Laufwerk. Die Verschlüsselung besitzt üblicherweise eine einzigartige Erweiterung wie .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault, oder .petya. Sobald die Verschlüsselung abgeschlossen ist, erstellt die Ransomware eine Datei oder eine Gruppe von Dateien und zeigt diese an. Diese enthalten Informationen und Anweisungen zu den Bedingen, die die Ransomware-Angreifer stellen. Beispiels weise könnte der Angreifer, sobald das Opfer die Bedingungen der Ransomware erfüllt, einen kryptografischen Schlüssel bereitstellen, mit dem das Opfer die verschlüsselten Dateien entsperren kann.
Eine grundlegende Sicherheitshygiene und gesunde operative Praktiken können dazu beitragen, zu vermeiden, dass ein Unternehmen Opfer einer Ransomware-Attacke wird und dadurch finanzielle Einbußen, Ausfallzeiten und Unterbrechungen erleidet.
Mehrere Schwachpunkte bestehen auch bei Nutzern, die zum Unternehmen gehören. Für Unternehmen wäre es von Vorteil, wenn sie ihre Mitarbeiter im Hinblick auf eine sichere Verwendung von E-Mail und auf ihr Surfverhalten im Internet schulen würden. Ebenso wichtig ist eine Schulung zur sicheren Verwendung von Social Media-Plattformen, damit die Nutzer sich bewusst sind, dass ein böswilliger Akteur öffentlich zugängliche Informationen über sie dazu benutzen könnte, sie oder andere Personen im Unternehmen ins Visier zu nehmen.
Um die Einhaltung sicherer Praktiken weiter zu gewährleisten, können Unternehmen verschiedene technische Kontrollen für die verschiedenen Systeme einführen, die Angreifer nutzen, um Malware zu aktivieren oder zu verbreiten. Zu den Beispielen für derartige technische Kontrollen gehören:
Zusätzlich zur Ausführung aktualisierter Produkte für den Endpunktschutz sollten Unternehmen über ein Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) verfügen, das einen Zero-Trust-Ansatz bei der Sicherheit verfolgt. Durch eine robuste Authentifizierung und die Durchsetzung eines Least-Privilege-Prinzips können Unternehmen eine strenge Kontrolle über kritische Systeme und sensible Datenspeicher aufrechterhalten.
Neben strengen Zugriffskontrollen sollten Unternehmen auch Beschränkungen bei Tools für die Zusammenarbeit, Filesharing-Ressourcen und anderen häufig genutzten Systemen durchsetzen. Unternehmen sollten auch zusätzliche Authentifizierungshürden festlegen, wann und wo immer es angebracht ist. Das Verhindern anonymer Anmeldungen, generischer Accounts und die Verwendung schwacher Zugangsdaten ist, zusammen mit strengen Kontrollen privilegierter Accounts wie Root- und Administratorkonten zur Betriebssystem- oder Datenbankverwaltung, der Schlüssel zur Aufrechterhaltung einer robusten Sicherheitslage.
Unternehmen sollten bekannte Richtwerte für die Sicherheitskonfiguration festlegen und aufrechterhalten und Systeme nur in Einklang mit den Richtlinien zur Sicherheitskonfiguration bereitstellen. Weil schädliche Payloads oft bekannte Sicherheitslücken bei Software angreifen, ist es wichtig, Sicherheitspatches umgehend anzuwenden.
Eine weitere Best Practice, die Unternehmen dabei hilft, gegen Ransomware-Angriffe widerstandsfähiger zu werden, ist schließlich die separate Speicherung von Backups auf einem anderen Betriebssystem, sodass auf diese nicht vom Netzwerk aus zugegriffen werden kann.
Sobald Unternehmen Ransomware entdecken, sollten sie versuchen, die Verbreitung der schädlichen Payload zu beschränken, indem sie:
Um die Auswirkungen einer Ransomware-Attacke zu begrenzen sollte der Remediation-Plan eines Unternehmens die Durchführung von häufigen und sicheren Backups mit effektiven und verifizierten Wiederherstellungsverfahren beinhalten. Vor der Wiederherstellung von Systemen sollten Unternehmen mit einem angemessenen Grad an Gewissheit feststellen, wann und wie die ursprüngliche Kompromittierung stattgefunden hat. Ohne Due Dillgence können angegriffene Unternehmen unabsichtlich die Kompromittierung wiederherstellen und durch die Wiederherstellung eine erneute Infektion verursachen. Vor diesem Hintergrund kann es notwendig sein, eine Kosten-Nutzen-Analyse durchzuführen, bevor man sich entscheidet, einen alten, aber als sicher bekannten, Status wiederherzustellen oder aber – um die betrieblichen Störungen zu minimieren – einen aktuelleren Status wiederherstellt, der aber möglicherweise infiziert ist. Weil bekannt ist, dass manche Malware Backup-Dateien und -Ressourcen angreift, müssen Unternehmen auch bei diesen eine effektive Kontrolle sicherstellen.