Die Erpresser sind unermüdlich und allein in der ersten Hälfte des Jahres 2022 wurden weltweit 236,1 Millionen Ransomware-Angriffe gemeldet.
Erpresser-Software, englisch Ransomware, dient dazu, durch Verschlüsseln von Daten Lösegeldzahlungen zu erzwingen. Diese Art von Cyberbedrohung kann dazu führen, dass Einzelpersonen oder Unternehmen Geld, den Zugang zu persönlichen Daten und wichtige Sicherheitsinformationen verlieren.
Da die vergangenen Jahre gezeigt haben, dass vor allem Feiertage und Urlaubzeit eine beliebte Zeit für Angriffe sind, erläutert Andreas Riepen von Vectra AI die verschiedenen Arten von Ransomware-Angriffen und wie deren Wirkung abgeschwächt werden kann:
Was ist Ransomware?
Ransomware ist eine Art von Cyberangriff, bei dem ein Angreifer den Zugriff auf Dateien auf einem Computer oder Gerät einschränkt und ein Lösegeld als Gegenleistung für den erneuten Zugriff fordert. In der Regel schränken die Angreifer den Zugriff auf Dateien ein, indem sie sich Zugang verschaffen und sie verschlüsseln. Außerdem verlangen sie in der Regel eine Zahlung in Form von Kryptowährungen, da diese Werte schwerer zu verfolgen sind. Dabei können sie auch wertvolle Informationen stehlen und sogar den Zugang nicht mehr wiederherstellen, obwohl wie gefordert bezahlt wurde.
Wenn Benutzer von einem Ransomware-Angriff betroffen sind, sollten sie niemals der Forderung nach Lösegeld nachkommen, sondern den Computer oder das Gerät ausschalten, den Stecker ziehen und die zuständigen Behörden kontaktieren. Auf diese Weise wird verhindert, dass der Angreifer weiteren Zugriff auf ihr Gerät erhält, während Experten die Angelegenheit untersuchen. Am ehesten von einem Ransomware-Angriff betroffen sind Einrichtungen, die wertvolle Informationen speichern (z. B. Regierungsbehörden), bei denen viel auf dem Spiel steht, wenn der Zugriff auf Informationen unterbrochen wird (z. B. im Gesundheitswesen), oder die auf einen solchen Angriff nicht gut vorbereitet sind (z. B. Schulen).
Arten von Ransomware-Angriffen
Obwohl alle Ransomware-Angriffe eine ähnliche Grundstrategie verfolgen, sind nicht alle identisch. Es gibt viele verschiedene Arten von Angriffen, und sie entwickeln sich ständig weiter. Es ist wichtig, die gängigen Arten von Ransomware-Angriffen zu kennen und zu wissen, wie sie funktionieren.
Krypto-Ransomware/Encryptor-Malware
Krypto-Ransomware ist eine der häufigsten Arten von Ransomware. Bei dieser Art von Angriff wird der Zugriff auf Dateien durch Verschlüsselung eingeschränkt. Da diese Art von Ransomware weit verbreitet ist, ist sie bei Ransomware-Angriffen in allen Bereichen häufig anzutreffen.
Double Extortion (Doppelte Erpressung)
Double Extortion ist im Wesentlichen eine Unterkategorie von Krypto-Ransomware. Bei einem Angriff mit dieser Art werden die Daten nicht nur verschlüsselt, sondern auch zur weiteren Verwendung extrahiert. So kann der Angreifer die Informationen als Druckmittel für künftige Lösegeldforderungen verwenden oder sie anderweitig zu seinem Vorteil nutzen.
Locker
Locker-Ransomware-Angriffe nutzen Viren, um Computersysteme zu infiltrieren und verschiedene Funktionen und Zugangspunkte zu blockieren. Dadurch verlieren Benutzer möglicherweise nicht nur den Zugriff auf die angegriffenen Dateien selbst, sondern auch auf das Gerät oder seine Peripheriegeräte insgesamt. Der Virus kann das System auf verschiedene Weise infizieren, aber am häufigsten mittels Interaktion der Benutzer mit Spam und E-Mail-Anhängen.
Ransomware-as-a-Service (RaaS)
Einige Angreifer wie die Gruppe DarkSide gehen mit ihren bösartigen Aktivitäten noch einen Schritt weiter und verkaufen den Zugang zu vorentwickelten Ransomware-Tools. Auf diese Weise können potenzielle Käufer einen Ransomware-Angriff starten, ohne dass sie über ausgefeilte Kenntnisse oder Tools verfügen müssen. Dadurch kann sich Ransomware zwar weiterverbreiten, da sie leichter zugänglich ist, aber es bedeutet auch, dass viele Angreifer dieselbe Software und dieselben Techniken verwenden. Diese Angriffe können insgesamt weniger erfolgreich sein, wenn sich Informationen über ihre spezifischen Merkmale verbreiten.
Scareware
Scareware erweckt den Anschein, dass es bereits einen Angriff auf ein Gerät gegeben hat. In der Regel wird diese Strategie in Form eines Popup-Fensters angewendet, das Benutzer darüber informiert, dass eine Bedrohung der Cybersicherheit erkannt wurde und sofort Maßnahmen ergriffen werden müssen, um das Problem zu lösen. Benutzer werden dann aufgefordert, auf einen unsicheren Link zu klicken, zu einer unsicheren Website zu navigieren oder für den Download unnötiger Software zu bezahlen, um das Problem zu beheben. Das Ergebnis ist, dass sie entweder tatsächlich Malware herunterladen oder erpresst werden, unnötige Gebühren zu zahlen.
Erkennen von Ransomware-Angriffen
Um verschiedene Arten von Ransomware-Angriffen effektiv zu erkennen und zu bekämpfen, müssen Benutzer wissen, woran sie diese erkennen können. Im Folgenden finden sich einige der wichtigsten Strategien, die man anwenden sollte:
- Verwendung von Cybersicherheitssoftware
- Recherchieren bekannter Ransomware-Dateierweiterungen
- Auf einen ungewöhnlichen Anstieg bei der Umbenennung von Dateien achten
- Auf ungewöhnliche Änderungen am Speicherort von Dateien achten
- Auf eine Verlangsamung der Netzwerkaktivität achten
- Feststellung von unberechtigtem Zugriff oder Extraktion von Dateien
- Bemerken von ungewöhnlichen Verschlüsselungsaktivitäten
Hochgefährdete Ziele können vom Einsatz fortschrittlicherer Techniken und Tools profitieren, wie z. B. dem Einsatz von NDR (Network Detection and Response)- und KI-Technologie, um Bedrohungen frühzeitig zu erkennen. In der Zwischenzeit sollten Regierungsbehörden Signaldaten nutzen, um bösartige Verhaltensweisen zu erkennen, die auf aktive Angreifertaktiken hinweisen.
Ransomware-Angriffe verhindern
Es ist wichtig, dass Unternehmen nicht nur in der Lage sind, Ransomware-Angriffe frühzeitig zu erkennen, sondern auch Techniken und Tools strategisch einsetzen, um Angriffe zu verhindern und ihre Auswirkungen präventiv zu minimieren. Zu den wirksamen Möglichkeiten, dies zu erreichen, gehören die folgenden:
- Backups für alle wichtigen Daten erstellen
- Entwicklung detaillierter Cybersicherheitsrichtlinien und -verfahren
- Regelmäßige Aktualisierung der Cybersicherheitssoftware
- Verwendung ausschließlich sicherer Netzwerke für den Zugriff auf oder die gemeinsame Nutzung von Daten
- Aufbewahrung von Geräten an sicheren Orten und Beschränkung des Zugriffs
- Hinzuziehen eines IT-Experten, wenn ungewöhnliche Aktivitäten im Netzwerk auffallen
Zu guter Letzt ist auch wichtig, dass Unternehmen einen Reaktionsplan entwickeln, um auf Angriffe zu reagieren, bevor diese eintreten.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de