Schwerpunkte

Ransomware

In die Mangel genommen

15. Juli 2021, 06:30 Uhr   |  Autor: Andrew Rose / Redaktion: Diana Künstler | Kommentar(e)

In die Mangel genommen
© Ton Snoei - 123RF

Ransomware ist eine besondere Form von Malware. Sie ist eine bewährte Geldquelle für Cyberkriminelle und kann verheerende Auswirkungen auf eine von ihr befallene Organisation haben. Zukunftsszenarien der gefürchtetsten Bedrohung eines jeden CISOs.

Was Ransomware als Malware-Art so gefährlich macht, sind ihre speziellen Fähigkeiten: Denn sie ist in der Lage, mittels Verschlüsselung unternehmenskritische Systeme zu zerstören, deren Wiederherstellungskosten in die Millionen gehen können. Die Folgen können von einem Einbruch des Aktienkurses bis hin zum Verlust von Arbeitsplätzen reichen oder im schlimmsten Falle sogar den Konkurs des Unternehmens bewirken. Ransomware-Attacken sind jedoch keine Seltenheit – ganz im Gegenteil: Laut des kürzlich veröffentlichten „State of the Phish Reports 2021“ von Proofpoint gaben zwei Drittel der befragten Sicherheitsverantwortlichen an, dass ihre Organisation im vergangenen Jahr Opfer einer Ransomware-Infektion geworden ist. Doch während sich die mit Cyber Security befassten Experten des Bedrohungspotenzials dieser Form von Malware wohl bewusst sind, ist diese Erkenntnis unter Arbeitnehmern noch nicht sonderlich verbreitet. Von den im Rahmen der Studie ebenfalls befragten Angestellten aus sieben verschiedenen Ländern – Deutschland, Frankreich, Spanien, UK, Japan, Australien und den USA – konnte lediglich ein Drittel im weltweiten Durchschnitt korrekt beantworten, um was es sich bei Ransomware handelt. In Deutschland gelang dies sogar nur 26 Prozent.

Ungeachtet des hohen Gefährdungspotenzials von Ransomware können Sicherheitsverantwortliche einiges dafür tun, um erfolgreiche Angriffe zu vermeiden und etwaige Schäden zu minimieren. Hierzu ist es jedoch erforderlich, die Vorgehensweise der Cyberkriminellen sowie sich abzeichnende Trends auf diesem Gebiet zu kennen.

Erpressungssoftware damals und heute

Die frühen Versionen von Ransomware – quasi Ransomware 1.0 – ließen sich erstmals im Zuge des Aufkommens von Kryptowährungen beobachten. Denn diese ermöglichten es Cyberkriminellen, ihre Angriffe anonym zumonetarisieren. In dieser ersten Verbreitungs-welle wurde die Malware in großem Umfang in Form von schädlichen E-Mail-Anhängen oder präparierten, eingebetteten Links an eine Vielzahl von Empfängern verschickt. Sobald ein Computersystem infiziert war, wurde dessen Nutzer zu einer Zahlung aufgefordert, um die betroffenen Daten wieder zu entschlüsseln. Die Welle erreichte ihren Höhepunkt im Mai 2017, als die Ransomware „WannaCry“ weltweit einen automatisierten Angriffsmechanismus nutzte, um Hunderttausende Rechner zu infizieren. Dies führte nicht nur zu einer generellen Verunsicherung der gesamten Cyber-Security-Branche, sondern hatte auch Beeinträchtigungen kritischer nationaler Infrastrukturen, beispielsweise bei Einrichtungen des Gesundheitswesens, zur Folge. In seinem Ausmaß beispiellos, war „WannaCry“ der Beleg dafür, dass Ransomware in der Lage ist, öffentliche Einrichtungen und private Organisationen gleichermaßen massiv durch Erpressung zu gefährden.

State of the Phish, Proofpoint
© 2021 State of the Phish, Proofpoint

Wie der Jahresvergleich zeigt, war die Zahlung des Lösegelds im Jahr 2020 eine weitaus wackeligere Wette: Opfer, die im Jahr 2020 zahlten, hatten nach der ersten Zahlung mit geringerer Wahrscheinlichkeit wieder Zugang als im Vorjahr. Das ist an sich schon alarmierend. Noch erstaunlicher ist der Anstieg der Lösegeldforderungen und der damit verbundenen Maßnahmen. Die Nachfrage nach zusätzlichen Lösegeldforderungen stieg im Jahr 2020 um mehr als 320 Prozent. 32 Prozent der Befragten im Jahr 2020 waren bereit, die zusätzlichen Lösegeldzahlungen zu leisten, verglichen mit nur 2 Prozent im Jahr 2019 – eine Steigerung von 1.500 Prozent gegenüber dem Vorjahr. Der einzige Lichtblick: Nur 8 Prozent der Zahler standen nach Verhandlungen mit Angreifern mit leeren Händen da, ein großer Rückgang gegenüber dem Vorjahreswert von 29 Prozent.

Die gegenwärtig durchgeführten Ransomware-Attacken, die oft als Großwildjagd, im englischsprachigen Raum auch „Big Game Hunting“ oder Ransomware 2.0 bezeichnet werden, sind gezieltere und methodischere Angriffe. Die Kriminellen kompromittieren dabei zunächst ein einzelnes Endgerät – entweder über eine E-Mail, ein Remote-Desktop-Protokoll oder einen anfälligen, aus dem Internet erreichbaren Dienst wie ein VPN. Sie dringen von dort in das Netzwerk der Organisation ein und unternehmen erst einmal gar nichts. Das erklärte Ziel in dieser Phase des Angriffs ist es, nicht aufzufallen und sich gut versteckt zu halten. Im Laufe der Zeit gehen die Cyberkriminellen jedoch dazu über, ihre Zugriffsrechte auszuweiten, wertvolle Daten zu identifizieren, Informationen zu stehlen und die Backups der Organisation unbrauchbar zu machen. Zu guter Letzt schleusen sie dann die Ransomware ein.

Sobald die Malware aktiviert wird, hat das Opfer kaum noch eine Chance. Für ein betroffenes Unternehmen ist es meist keine Option, das geforderte Lösegeld nicht zu zahlen, da im Rahmen des Angriffs auch die Backups kompromittiert wurden. Und selbst wenn die Organisation zu einer Wiederherstellung der Informationen mit eigenen Mitteln in der Lage ist, verfügen die Angreifer noch immer über sensible Daten, die sie veröffentlichen können. Das geschilderte Szenario ist für Betroffene zumeist eine ausweglose Situation – und auch der Grund dafür, warum CISOs auf der ganzen Welt genau diesen Fall fürchten. Diese Vorstellung ist für die Mehrzahl der Sicherheitsverantwortlichen schon schlimm genug. Doch was steht ihnen in Zukunft noch bevor?

Seite 1 von 3

1. In die Mangel genommen
2. Immer ausgefeiltere Modelle
3. Was tun gegen Ransomware?

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau