Wie funktioniert Ransomware? | EasyDMARC

Wie funktioniert Ransomware?

11 Min Lesezeit
.

Das Konzept von Ransomware, einer Form von bösartiger Malware, ist einfach: Es handelt sich um eine sich schnell entwickelnde Malware, die es auf jeden abgesehen hat – von Privatanwendern bis hin zu Unternehmen.

Cyber-Angreifer verwenden diese Software, um Sie von Ihren Daten auszusperren und ein Lösegeld zu verlangen, bevor sie den Zugriff wiederherstellen. Seit dem Ausbruch von WannaCry im Jahr 2017 haben Ransomware-Angriffe zugenommen, und es ist offensichtlich, dass der Kampf zwischen Unternehmen und Cyber-Angreifern gerade erst begonnen hat.

Einem FBI-Bericht zufolge gibt es täglich über 4.000 Ransomware-Angriffe.

Angesichts der ausgefeilten Sicherheitsmaßnahmen stellt sich die Frage: Warum ist Ransomware immer noch erfolgreich?

Lesen Sie weiter, um zu erfahren, wie Ransomware funktioniert, welche aktuellen Beispiele es gibt und wie sich Ransomware verbreitet.

Warum ist Ransomware so erfolgreich?

Ransomware ist weiterhin erfolgreich, weil die Angreifer ihre Techniken perfektionieren. In der Zwischenzeit versäumen es die Unternehmen, die besten Sicherheitspraktiken wie Offline-Backups und Netzwerksegmentierung zu implementieren.

Die meisten Unternehmen, die Opfer von Ransomware werden, unterlassen es in der Regel, die neuesten Software-Sicherheitspatches zu installieren, was es den Angreifern leicht macht, ihr Netzwerk zu kompromittieren. Große Unternehmen konzentrieren sich eher auf schwerwiegende Angriffe wie ATP (Advanced Persistent Threat) und vergessen dabei, dass auch einfache Angriffe wie Ransomware zu schlimmen Folgen führen können.

Neben den technischen Aspekten hat Ransomware auch psychologische Auswirkungen auf Teams und Einzelpersonen. Verängstigte Menschen sind leichter zu manipulieren. Daher auch der Erfolg dieser Angriffsart.

Wer ist das Ziel von Ransomware?

Jeder, der über vertrauliche Daten verfügt, kann zum Ziel von Ransomware-Angriffen werden. Kleine Unternehmen, Großkonzerne und internationale Organisationen können alle Opfer werden. Allerdings haben sich diese Angriffe in den letzten Jahren stärker auf einige Branchen konzentriert als auf andere.

Einer der Gründe dafür ist die COVID-19-Pandemie, die viele Unternehmen dazu zwingt, auf Fernarbeit umzustellen. Zu den Branchen, die anfälliger für Ransomware-Hacks sind, gehören das Gesundheitswesen, Finanz- und akademische Einrichtungen, Technologieunternehmen und Regierungsbehörden.

In den Jahren 2019 und 2020 wurden mehrere kanadische Gesundheitseinrichtungen Opfer von Ransomware, darunter ein medizinisches Unternehmen und drei Krankenhäuser in Ontario. Anfang 2021 gab es einen Ransomware-Angriff auf die Colonial Pipeline, die größte Pipeline in den USA. Das gesamte Netzwerk wurde lahmgelegt, und das Unternehmen zahlte dem Angreifer schließlich 4,4 Millionen Dollar in Bitcoin.

Laut dem Data Breach Investigations Report 2021 von Verizon macht Ransomware 10 % der Datenschutzverletzungen aus – mehr als doppelt so häufig wie im Vorjahr.

CSE warnt außerdem davor, dass Ransomware-Angreifer im Jahr 2022 immer aggressiver werden, wenn es um ihre Ziele geht. Unternehmen müssen ihre Cybersicherheit verbessern und bewährte Verfahren anwenden, um die Risiken zu mindern.

Wie sich Ransomware verbreitet

Um Ransomware-Angriffe zu verhindern, müssen Sie wissen, wie sie sich überhaupt verbreitet. Ransomware kann sich über Phishing-E-Mails, bösartige Links, das Herunterladen von Laufwerken und bösartige Websites verbreiten. Im Folgenden erfahren Sie, wie sich Ransomware verbreitet.

E-Mail-Anhänge

Eine der häufigsten Methoden zur Verbreitung von Ransomware ist die Verbreitung per E-Mail. Die Angreifer verleiten die Benutzer dazu, auf bösartige Anhänge zu klicken und diese herunterzuladen.

Methode

Cyber-Angreifer senden ihren Opfern E-Mail-Anhänge in verschiedenen Formaten wie JPEG, PNG, PDF, Word-Dokument oder ZIP-Datei, in der Hoffnung, sie zum Klicken zu verleiten.

Sobald Sie erfolgreich auf die Ransomware klicken oder sie herunterladen, übernehmen die Cyberkriminellen Ihr System und sperren Ihre Daten. In den meisten Fällen ist die Wahrscheinlichkeit größer, dass Menschen legitime E-Mails öffnen. Deshalb recherchieren die Betrüger gründlich, um mehr über ihre Opfer zu erfahren und eine überzeugende Geschichte zu erfinden.

Vermeidung

Angreifer lassen sich in der Regel Zeit, um solche Angriffe zu planen. Die gute Nachricht ist jedoch, dass es Möglichkeiten gibt, sich vor Ransomware über E-Mail-Phishing zu schützen:

  • Öffnen Sie nur E-Mails oder klicken Sie auf Anhänge aus seriösen Quellen.
  • Überprüfen Sie die Adresse des Absenders und die Domain-URL, bevor Sie etwas unternehmen.
  • Machen Sie sich mit E-Mail-Phishing und Präventionstaktiken vertraut. 

Bösartige Links

Bösartige Links leiten Nutzer zu gefälschten Websites für Betrugszwecke. Die Angreifer fügen bösartige Links in Nachrichten ein und senden sie entweder per E-Mail oder über soziale Medien an die Opfer.

Methode

Cyber-Angreifer formulieren Nachrichten, um ihre Opfer zu ermutigen, auf die Links zu klicken – sie erwecken ein Gefühl der Dringlichkeit. Wenn Sie auf die bösartigen Links klicken, wird Ihr System veranlasst, Ransomware herunterzuladen, Ihre Daten zu verschlüsseln und Lösegeld zu verlangen.

Vermeidung

Die meisten Menschen klicken schnell auf einen Link, wenn sie glauben, dass er von einer zuverlässigen Quelle stammt. Cyber-Akteure können Links jedoch legitim erscheinen lassen, um Sie zu täuschen. Im Folgenden finden Sie einige Tipps, um eine Ransomware-Infektion über solche Links zu vermeiden:

  • Folgen Sie nicht blindlings den Links in Direktnachrichten oder E-Mails. Vergewissern Sie sich immer, dass der Link echt ist, bevor Sie etwas unternehmen.
  • Bewegen Sie den Mauszeiger über alle Links, die Sie erhalten haben, um die URL zu überprüfen.
  • Klicken Sie nicht auf verkürzte URLs, da einige Angreifer darin bösartige Links verstecken. Verwenden Sie CheckShortURL, um sie zu erweitern und zu überprüfen.

Remote Desktop Protocol (RDP)

Das Remote-Desktop-Protokoll (RDP) ist ein Kommunikationsstandard, mit dem Sie sich über Netzwerkverbindungen mit einem Computer verbinden und aus der Ferne darauf zugreifen können. Angreifer können diesen Standard nutzen, um Ransomware zu verbreiten. Zu den bekanntesten Ransomware-Hacks über RDP gehören GandCrab, Dharma und SamSam.

Methode

Da das Remote-Desktop-Protokoll eine Netzwerkverbindung über Port 3389 erhält, können Cyberkriminelle das Internet nach offenen und schwachen RDP-Ports scannen. Cortex Xpanse Research berichtet, dass Ransomware-Angreifer das gesamte Internet in weniger als 45 Minuten scannen können.

Wenn der RDP-Port offen ist, kann ein Angreifer auf verschiedene Arten auf Ihr Netzwerk zugreifen, z. B. mit Brute-Force-Methoden, gestohlenen Anmeldeinformationen und Man-in-the-Middle-Angriffen. Eine der am weitesten verbreiteten Schwachstellen in RDP ist BlueKeep, die in älteren Versionen dieses Protokolls verbreitet ist.

Vermeidung

Eine der besten Möglichkeiten, die Gefährdung durch RDP zu verhindern, besteht darin, alle Ports zu deaktivieren, die Sie nicht benötigen. Sie können auch vorbeugende Maßnahmen ergreifen, um Systeme zu sichern, für die RDP erforderlich ist. Hier sind einige Sicherheitsmaßnahmen, die Sie umsetzen können:

  • Verwenden Sie die Multi-Faktor-Authentifizierung.
  • Begrenzen Sie die Anmeldeversuche, um Brute-Force-Angriffe zu vermeiden.
  • Platzieren Sie Ihr RDP hinter einem starken VPN-Netzwerk.
  • Erstellen Sie eine Zugriffskontrollliste, die nur autorisierten IP-Adressen erlaubt, sich mit dem RDP-Port zu verbinden. 

Managed Service Providers (MSPs) und Remote Monitoring and Management (RMM) Software

MSPs haben eine große Verantwortung gegenüber ihren Kunden, deren Daten sicher zu halten. Ein RMM ist ein Softwareprogramm, mit dem MSPs die IT-Infrastruktur ihrer Kunden, einschließlich Servern, Workstations, Netzwerken, Hardware und anderen Endpunkten, überwachen und warten können. Wenn die Software durch Ransomware kompromittiert wird, kann sie alle Kundendaten und digitalen Assets sperren.

Methode

Ein Angreifer kann Schwachstellen in Remote Monitoring and Management Software ausnutzen, um Phishing-Angriffe auf MSPs zu starten. Wenn Angreifer erfolgreich einen MSP hacken, können sie den gesamten Kundenstamm als Geisel nehmen.

Im Jahr 2021 starteten Cyber-Akteure einen massiven Angriff auf Nutzer von Kaseya VSA, einem beliebten Überwachungs-, Focal- und Management-Tool, das von mehr als 40.000 Unternehmen eingesetzt wird.

Vermeidung

Während Ransomware-Hacker RMM-Software ausnutzen können, sollten MSPs folgende Sicherheitsmaßnahmen implementieren:

  • Aktivieren der Zwei-Faktor-Authentifizierung in der gesamten RMM-Software
  • Stärkung des Cyber-Bewusstseins der MSP-Mitarbeiter

Malvertizing

„Malvertizing“ ist eine Mischung aus den Wörtern „malicious“ (bösartig) und „advertising“ (Werbung). Dabei handelt es sich um eine scheinbar legitime Anzeige, die mit bösartigen Codes versehen ist, die ein Einfallstor für den Download von Malware, Identitätsdiebstahl oder Ransomware-Angriffe sein können.

Methode

Diese Methode ist einfach zu implementieren. Der Angreifer kauft eine Anzeige (Banner, Link oder anderes) und platziert die Ransomware in der Handlungsaufforderung. Die Anzeigen sehen authentisch aus und erscheinen in Form einer Benachrichtigung, eines Bildes oder eines kostenlosen Softwareangebots.

Wenn ein Benutzer auf die Anzeige klickt, leitet der Code das Opfer auf eine bösartige Website um, scannt den Computer auf Schwachstellen oder initiiert den Download der Ransomware.

Zu den weit verbreiteten Ransomware-Angriffen, die über Malvertizing ausgeführt werden, gehören Sodinokibi und CryptoWall.

Vermeidung

Malvertizing sieht wie eine legale Werbung aus, so dass es für die Benutzer schwierig ist, es zu erkennen. Im Folgenden finden Sie einige Präventivmaßnahmen, die Sie ergreifen können:

  • Stellen Sie sicher, dass Ihr Browser, Ihr Antivirusprogramm und Ihr Betriebssystem auf dem neuesten Stand sind.
  • Deaktivieren Sie ungenutzte Plugins.
  • Aktivieren Sie Werbeblocker.
  • Installieren Sie Click-to-Play-Plugins in Ihrem Browser, um die automatische Ausführung von Java oder Adobe Flash zu verhindern.

Drive-by Downloads

Drive-by-Downloads sind Programme, die sich automatisch und ohne Ihr Wissen installieren.

Methode

Ransomware-Angreifer führen diese Angriffe aus, indem sie legitime Websites infiltrieren oder sogar den bösartigen Code auf ihren Websites hosten.

Die Drive-by-Downloads können Ransomware im Hintergrund installieren, indem sie bekannte Schwachstellen im Webbrowser, Betriebssystem oder in der Anwendung ausnutzen.

Im Gegensatz zu anderen Cyberangriffen müssen die Benutzer keine Aktion ausführen – sie müssen weder auf „Download“ klicken noch einen Link anklicken oder einen bösartigen E-Mail-Anhang öffnen. 

Vermeidung

Drive-by-Downloads werden ohne Ihre Einwilligung oder Ihr Wissen aktiviert, was sie sehr riskant macht. Hier erfahren Sie, wie Sie solche Bedrohungen stoppen können:

  • Installieren Sie die neuesten Software-Sicherheitspatches.
  • Installieren Sie einen Werbeblocker.
  • Deaktivieren Sie Plugins, die Sie nicht benötigen.

Netzwerkausbreitung

Einige fortgeschrittene Malware verfügt über Mechanismen zur Selbstverbreitung, die es ihr ermöglichen, sich auf andere Geräte im Netzwerk zu verbreiten.

Methode

Angreifer können bösartige Links oder Anhänge versenden, um Malware zu verbreiten und Ihr System zu gefährden. Im Gegensatz zu älteren Malware-Varianten, die nur den lokalen Rechner verschlüsseln, den sie infizieren, können diese fortschrittlichen Varianten Ihr gesamtes Netzwerk sperren.

Einige bemerkenswerte Ransomware-Angriffe, die selbstverbreitende Mechanismen aufweisen, sind SamSam, Petya und WannaCry.

Vermeidung

Wenn dieser Malware-Typ Ihr Netzwerk infiziert, kann ein Angreifer Ihre Daten verschlüsseln und ein Vermögen für die Entschlüsselung verlangen. Um das zu vermeiden, befolgen Sie die folgenden Schritte:

  • Segmentierung Ihres Netzwerks
  • Anwendung des Prinzips der geringsten Privilegien
  • Durchsetzung einer guten Datensicherungsstrategie

Raubkopierte Software

Raubkopierte Software wird illegal und ohne Urheberrecht verbreitet. Raubkopien sind billiger und deshalb bei den Benutzern beliebter als das Original. Angreifer können dies ausnutzen, um Ransomware zu verbreiten.

Methode

Cyberkriminelle entwickeln gefälschte Websites für raubkopierte Software und verbreiten Ransomware. Wenn Sie etwas herunterladen, installiert sich die Malware automatisch auf Ihrem Gerät. Geräte, die raubkopierte Software verwenden, werden wahrscheinlich mit Ransomware infiziert.

Raubkopien erhalten keine Updates oder Patches von den Entwicklern, wodurch Schwachstellen entstehen, die von Betrügern ausgenutzt werden können. 

Vermeidung

  • Verwenden Sie keine raubkopierte oder geknackte Software.
  • Vermeiden Sie den Besuch von Websites, die Cracks, Keygens, raubkopierte Software und Aktivatoren hosten.
  • Lassen Sie sich nicht auf Softwareangebote ein, die zu gut sind, um wahr zu sein.

Tragbare Geräte

Tragbare Geräte wie  tragbare Laptops, mobile Geräte, USB-Laufwerke und Festplatten sind leicht zu transportieren, sodass Angreifer sie leicht in ein Unternehmen schmuggeln können, um Ransomware zu verbreiten.

Methode

Tragbare Geräte sind Standardwerkzeuge, die von Betrügern zur Verbreitung von Ransomware verwendet werden. Angreifer können ein infiziertes Flash-Laufwerk in ein Unternehmensnetzwerk einstecken, wodurch ihr System verschlüsselt wird und sich schließlich auf andere Geräte im Netzwerk ausbreitet.

Die Angreifer können sich als legitime Mitarbeiter tarnen, aber auch ein Insider kann den Angriff durchführen.

Vermeidung

  • Erlauben Sie keine unbekannten Geräte in Ihrem Netzwerk.
  • Schließen Sie Ihre tragbaren Geräte nicht an Computer in Internetcafés und Druckerkiosken an.
  • Aktualisieren Sie Ihre Antiviren-Sicherheitssoftware.
  • Führen Sie strenge BYOD-Richtlinien (Bring Your Own Devices) ein.

Fazit

Wir haben die verschiedenen Wege erörtert, über die ein Angreifer Ransomware verbreiten kann. Während Ransomware, die über E-Mail-Anhänge oder bösartige Links verbreitet wird, ein Eingreifen des Benutzers erfordert, ist bei der Verbreitung über das Netzwerk, Drive-by-Downloads und Malvertising kein Eingreifen des Benutzers erforderlich.

Unabhängig davon, wie sich Ransomware verbreitet, kann die Umsetzung der besprochenen Präventivmaßnahmen dazu beitragen, das Risiko dieser Angriffe zu mindern.

Unternehmen sollten in vertrauenswürdige und zuverlässige Antiviren-Sicherheitssoftware investieren, ihre Mitarbeiter über Phishing-Betrug aufklären und eine gute Backup-Strategie umsetzen. Dies trägt wesentlich zum Schutz der Daten bei.

Konvertierung eines Bildes in SVG für BIMI

So erkennen Sie Online-Betrügereien mit der Honigfalle

Salesforce SPF- und DKIM-Authentifizierung

Die Geschichte der E-Mail