É«¿Ø´«Ã½

Da Cyberkriminelle heute immer raffinierter werden, verf¨¹gen sie ¨¹ber mehr Arten von Ransomware und mehr Vektoren, ¨¹ber die sie Angriffe auf Unternehmen durchf¨¹hren k?nnen, als je zuvor. Schon w?hrend Unternehmen wirksamere Gegenma?nahmen entwickeln, passen Kriminelle ihre Taktiken und Werkzeuge an, um diese Ma?nahmen zu umgehen.?

Auch wenn Ransomware-Angriffe etwas mysteri?s erscheinen k?nnen, folgen sie in der Regel der gleichen Grundstruktur. Sobald Sie verstehen, wie diese Angriffe funktionieren, k?nnen Sie eine umfassendere Strategie zur Schadensbegrenzung vorbereiten, die die Auswirkungen eines Angriffs verhindern oder abschw?chen kann.

Im Folgenden wird die Anatomie eines Ransomware-Angriffs n?her beleuchtet, einschlie?lich der Frage, wie der Angreifer Zugang zu einem System erh?lt und es infiziert.?

Infektions- und Verbreitungsvektoren

Ransomware ist eine Art von Malware, mit der wichtige Computerdateien oder sensible Daten verschl¨¹sselt werden. Danach fordern die Angreifer ein L?segeld f¨¹r die Daten. Infektionen treten auf, wenn Ransomware-Malware heruntergeladen und auf Ger?ten im Netzwerk eines Unternehmens installiert wird.?

Ransomware kann sich auf verschiedene Weise Zugang zum Zielsystem verschaffen. Der g?ngigste Weg sind Phishing-E-Mails, die einen Link zu einer kompromittierten Website oder einen Anhang mit eingebetteter Malware enthalten. Wenn der Benutzer auf den Link oder den Anhang klickt, wird die Malware heruntergeladen und auf dem Computersystem ausgef¨¹hrt.?

Das Remote-Desktop-Protokoll (RDP) ist ein weiterer g?ngiger Angriffsvektor f¨¹r Ransomware, da es einfach zu verwenden ist und einem Angreifer Zugang auf h?chster Ebene verschaffen kann. Tats?chlich war RDP im Jahr 2020 bei?der H?lfte aller gemeldeten Ransomware-F?lle?der urspr¨¹ngliche Angriffsvektor.?

Ein kompromittierter RDP-Zugang kann im Dark Web gekauft werden, und um eine ungesch¨¹tzte RDP-Verbindung zu finden, muss nur ein Skript erstellt werden, das nach dem Standard-Port sucht. Hacker haben oft Zugang zu denselben Tools wie Sicherheitsexperten und k?nnen das gesamte Internet in weniger als einer Minute nach einem offenen Port durchsuchen.?

Andere Verbreitungsvektoren, beispielsweise die Ransomware WannaCry, versuchen, Systeme direkt zu infizieren. WannaCry infiziert Computer, auf denen das Betriebssystem Microsoft Windows l?uft, und verschl¨¹sselt die Dateien auf der Festplatte des Computers. Dann fordert der Angreifer eine L?segeldzahlung in Bitcoin. WannaCry, das erstmals 2017 zum Einsatz kam, ist immer noch aktiv und hat mehr als 100.000 Organisationen auf der ganzen Welt infiziert.

.?

³Õ±ð°ù²õ³¦³ó±ô¨¹²õ²õ±ð±ô³Ü²Ô²µ

Sobald die Ransomware auf dem Zielsystem installiert ist, wartet sie, sammelt unbemerkt Daten und infiziert so viele Systeme wie m?glich. Anschlie?end stiehlt und/oder verschl¨¹sselt sie Systemdateien mit den wertvollsten und sensibelsten Daten des Unternehmens. Ransomware kann manchmal Backups zerst?ren oder als Teil des Angriffs Daten stehlen, aber ihr Hauptziel ist es in der Regel, so viele Dateien oder Systeme wie m?glich zu verschl¨¹sseln, um das Unternehmen handlungsunf?hig zu machen.

Es gibt verschiedene Arten und Varianten von Ransomware, darunter Krypto-, Locker-, Erpressungs-Ransomware und Ransomware-as-a-Service (RaaS).

Krypto-Ransomware verschl¨¹sselt Dateien, wobei der Inhalt unlesbar gemacht wird. Um die Dateien wieder in ein lesbares Format umzuwandeln, ist ein Entschl¨¹sselungsschl¨¹ssel erforderlich. Die Cyberkriminellen stellen dann L?segeldforderungen und versprechen, die Daten zu entschl¨¹sseln oder den Entschl¨¹sselungsschl¨¹ssel zu liefern, sobald die Forderungen erf¨¹llt sind.

Locker-Ransomware verschl¨¹sselt keine Dateien, sondern sperrt das Opfer vollst?ndig von seinem System oder Ger?t aus. Die Cyberkriminellen verlangen dann ein L?segeld f¨¹r das Entsperren des Ger?ts. Im Allgemeinen ist es m?glich, Daten nach einem versuchten Kryptoangriff wiederherzustellen oder ihn zu vereiteln, wenn ein gutes Backup vorhanden ist. Aber ein Locker-Ransomware-Angriff ist schwieriger und teurer zu beheben. Selbst, wenn die Daten gesichert sind, muss das Ger?t komplett ersetzt werden.

Das grundlegende Ziel eines Ransomware-Angriffs ist es, Geld zu erpressen. Unternehmen k?nnen sich jedoch weigern zu zahlen, insbesondere wenn sie ¨¹ber ein gutes Backup- und Wiederherstellungssystem verf¨¹gen. Aus diesem Grund haben Angreifer in den letzten Jahren damit begonnen, eine neue Technik anzuwenden, die sogenannte doppelte Erpressung (Double Extortion), bei der Daten sowohl verschl¨¹sselt als auch extrahiert werden. Weigert sich das Unternehmen zu zahlen, drohen die Hacker damit, die Informationen online zu ver?ffentlichen oder sie an den Meistbietenden zu verkaufen.

Und es kommt noch schlimmer. So verheerend Double-Extortion-Ransomware auch klingt,?: Ransomware mit dreifacher Erpressung (Triple Extortion). Die Angreifer extrahieren nicht nur Daten und fordern L?segeld vom urspr¨¹nglichen Opfer, sondern verlangen auch Geld von den betroffenen Dritten.?

Ransomware-as-a-Service (RaaS) schlie?lich nutzt das Standardmodell f¨¹r Software-as-a-Service (SaaS). Es handelt sich um einen abonnementbasierten Service, der Abonnenten Zugang zu vorab entwickelten Ransomware-Tools f¨¹r Ransomware-Angriffe bietet. Abonnenten werden als Partner bezeichnet und erhalten einen Prozentsatz jeder L?segeldzahlung.

L?segeldnachrichten und -forderungen

Nachdem die Ransomware erfolgreich im Zielnetzwerk installiert wurde, werden L?segeldforderungen gestellt. Die Hacker benachrichtigen das Opfer, dass ein Angriff stattgefunden hat, und nennen das L?segeld, das gezahlt werden muss, damit der Angriff r¨¹ckg?ngig gemacht wird. L?segeldforderungen werden auf Computerbildschirmen angezeigt oder in Form einer Notiz im Verzeichnis mit den verschl¨¹sselten Dateien hinterlassen.?

L?segeldforderungen enthalten in der Regel Angaben zur H?he des L?segelds, zur geforderten Zahlungsmethode und zur Frist f¨¹r die Zahlung sowie das Versprechen, dass der Zugriff auf die verschl¨¹sselten Dateien wiederhergestellt wird, sobald das L?segeld gezahlt wurde. Wenn es zu einer Datenexfiltration gekommen ist, kann der Hacker auch zusagen, dass er keine weiteren Daten preisgeben und den Nachweis erbringen wird, dass die Daten vernichtet worden sind. Die Bezahlung erfolgt in der Regel in einer Kryptow?hrung (z.?B. Bitcoin oder Monero).

Doch selbst wenn ein L?segeld gezahlt wird, gibt es keine Garantie daf¨¹r, dass der Angreifer die Daten tats?chlich wiederherstellen oder seine Versprechen einhalten wird. Der Angreifer kann eine Kopie der gestohlenen Daten zur¨¹ckbehalten, um sie zu einem sp?teren Zeitpunkt zu verwenden. Entschl¨¹sselungsschl¨¹ssel funktionieren m?glicherweise nicht vollst?ndig, sodass einige Daten verschl¨¹sselt bleiben, oder sie enthalten zus?tzliche, unentdeckte Malware, die der Angreifer in Zukunft nutzen kann.

Die Verhandlung: Zahlen oder nicht zahlen?

Die Entscheidung, ob ein L?segeld gezahlt oder nicht gezahlt werden soll, kann kompliziert sein und von mehreren Faktoren abh?ngen:

• Wie gravierend sind die Auswirkungen der Sicherheitsverletzung auf den Gesch?ftsbetrieb?
• Werden Mitarbeiter nicht mehr arbeiten k?nnen? Wie viele, und f¨¹r wie lange?
• Wie gro? ist das Risiko eines Datenlecks?

Eine genauere Betrachtung der Vor- und Nachteile der Zahlung gegen¨¹ber der Nichtzahlung finden Sie im Blogbeitrag?

Wenn Ihr Backup- und Wiederherstellungssystem nicht von der Ransomware betroffen ist, k?nnen Sie die Zahlung des L?segelds m?glicherweise ganz vermeiden (abh?ngig davon, von welcher Art Ransomware Sie betroffen sind). Wenn das Zahlen des L?segelds jedoch wirklich Ihre einzige Option ist, ist es ratsam, ein erfahrenes Incident-Response-Team zu beauftragen, das Sie bei den Verhandlungen unterst¨¹tzt und die Zahlung erleichtert.

Die Nachwirkungen: Wiederherstellung

Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff betr?gt?. Wenn Sie das L?segeld zahlen, kann es mehrere Tage dauern, bis Sie den Entschl¨¹sselungsschl¨¹ssel erhalten und die ³Õ±ð°ù²õ³¦³ó±ô¨¹²õ²õ±ð±ô³Ü²Ô²µ r¨¹ckg?ngig machen k?nnen.?

Beachten Sie, dass einige Ransomware-Varianten Backups im angegriffenen Netzwerk identifizieren und zerst?ren. Wenn Backups zerst?rt oder verschl¨¹sselt wurden, kann sich der Wiederherstellungsprozess komplizierter gestalten. Aber selbst wenn die Backups brauchbar sind, kann die Wiederherstellung ein langwieriger Prozess sein, je nachdem, welche Art von Backup- und Wiederherstellungssystem Sie nutzen.

Unabh?ngig davon, ob Sie das L?segeld bezahlen oder versuchen, die Daten selbst wiederherzustellen, sollten Sie damit rechnen, dass der gesamte Wiederherstellungsprozess mehrere Tage dauert. Planen Sie auch einen gewissen finanziellen Verlust ein, sei es in Form von L?segeldzahlungen, Kosten f¨¹r die Reaktion auf einen Vorfall oder Umsatzeinbu?en aufgrund von Ausfallzeiten.

Wie sich der Wiederherstellungsprozess zwischen zwei hypothetischen Organisationen mit unterschiedlichen Wiederherstellungsm?glichkeiten unterscheiden k?nnte, erfahren Sie im Artikel?

Seien Sie darauf vorbereitet, auf einen Angriff zu reagieren

Unternehmen k?nnen es sich nicht leisten, auf das Risiko eines Ransomware-Angriffs nicht vorbereitet zu sein. Sie denken vielleicht, dass Sie alles richtig machen, um sicher zu bleiben, aber wenn Sie sich auf veraltete Backup-Architekturen verlassen, sind Sie nicht vor modernen Angriffen gesch¨¹tzt.?

Wie reagiert man am besten auf einen Angriff? Nur moderne L?sungen wie É«¿Ø´«Ã½??FlashBlade? mit?SafeMode?-Snapshots?und?Rapid Restore?, das eine Datenwiederherstellungs-Performance von bis zu 270?TB pro Stunde liefert, k?nnen Ihre Sicherheitsstrategie auf die n?chste Stufe heben.