Was ist Ransomware?

Bösartige Software, auch Malware genannt, sind Programme, die in Computer und andere Geräte eindringen und unbefugte Operationen durchführen, die Daten, Systeme oder Netzwerke beeinträchtigen. Bei Ransomware handelt es sich um Malware, die darauf abzielt, die Systeme der Benutzer oder deren Zugriff auf Dateien zu sperren, bis ein Lösegeld gezahlt wird. Heute sind sie der Renner in der Cyber-Unterwelt, und Tausende von Nutzern und Unternehmen wurden zu Opfern. In den meisten Fällen verlangen die Angreifer eine hohe Summe als Lösegeld. Laut eines Berichts, betrug der durchschnittliche Betrag der gemeldeten Ransomware-Transaktionen pro Monat im Jahr 2021 102,3 Millionen US-Dollar.

Arten von Ransomware

Ransomware entwickelt sich in Bezug auf Art (Angriffsmethode) und Raffinesse weiter. Da die Opfer bereit sind, freiwillig zu zahlen, haben die Bedrohungsakteure eine Vielzahl von Innovationen entwickelt, zu denen auch Ransomware mit doppelter oder dreifacher Erpressung und Ransomware-as-a-Service gehören.

Ransomware lässt sich grob in zwei Typen einteilen - eine, die den Zugriff der Benutzer auf die Systeme einschränkt (Locker-Ransomware), und eine, die die Daten und Dateien verschlüsselt, so dass die Benutzer nicht mehr darauf zugreifen können (Crypto-Ransomware:) Im Folgenden werden einige der traditionelleren und differenzierteren Varianten von Ransomware vorgestellt.

1. Locker Ransomware

Diese Arten von Ransomware sperren die Benutzer von ihren Systemen aus. Meistens können die Benutzer nur den Sperrbildschirm sehen oder mit einem Bildschirm interagieren, der die Lösegeldforderung enthält. Die Maus und die Tastatur sind teilweise aktiviert, um die Zahlung an den Angreifer zu veranlassen. Lockers zerstören die Daten in der Regel nicht, sondern verhindern nur, dass die Benutzer darauf zugreifen. Ein Timer mit einer Frist wird angezeigt, um das Opfer zur Zahlung zu bewegen.

2. Crypto-Ransomware

Als häufigster Typ von Ransomware verschlüsseln sie die Daten, Informationen oder Dateien auf dem Gerät der Opfer. Das Opfer kann in der Regel die Daten einsehen und das System sogar benutzen. Aufgrund der Verschlüsselung können sie jedoch nicht auf die Daten zugreifen. Die Crypto-Ransomware fordert die Opfer auch zur Zahlung auf. Wenn der Nutzer die Frist versäumt, werden alle verschlüsselten Daten endgültig gelöscht.

3. Scareware

Scareware versucht in der Regel, die Benutzer mit einer alarmierenden Meldung in Angst und Schrecken zu versetzen und sie so zum Herunterladen von Malware zu verleiten. Die Angreifer verwenden oft Aufforderungen, die offiziell und legitim aussehen und den Benutzer zu schnellem Handeln drängen, ohne ihm viel Zeit zum Nachdenken oder Analysieren zu geben. Bei den Aufforderungen kann es sich um ein Popup-Fenster, eine bedrohliche Nachricht oder eine falsche Schaltfläche handeln, die alarmierende Meldungen anzeigt, wie z. B.: "Ihr PC ist langsam. Beschleunigen Sie ihn Jetzt", oder "Angreifer können ihre IP sehen, Schützen Sie sich Jetzt." Benutzer, die den Köder schlucken, ermöglichen es der Ransomware, in ihre Systeme einzudringen und sie auszusperren oder ihre Daten zu verschlüsseln.

5. Ransomware As a Service (RaaS)

RaaS bedeutet, dass die Bedrohungsakteure ein SaaS-ähnliches Geschäftsmodell nutzen, um Ransomware-Angriffe auszuführen. RaaS funktioniert wie ein Affiliate-Netzwerk und ermöglicht es Cyberkriminellen mit geringen technischen Kenntnissen, sich bei RaaS anzumelden und Ransomware-Angriffe zu starten. Die Mitglieder der Partnerorganisation erhalten einen Prozentsatz der Lösegeldzahlung. Das RaaS-Modell ist einer der Hauptgründe für die dramatische Zunahme von Ransomware-Angriffen in der jüngsten Vergangenheit, da es die Barriere der erforderlichen Programmierkenntnisse für einen Angriff beseitigt.

Beachten Sie, dass Scareware, Leakware und RaaS im Wesentlichen Varianten von Krypto- oder Locker-Ransomware sind.

1. CryptoLocker

CryptoLocker, einer der ersten Ransomware-Stämme, verschlüsselt die Daten der Opfer und bietet einen privaten Schlüssel zur Entschlüsselung im Austausch gegen Bitcoins oder im Voraus bezahlte Gutscheine an. Die Angreifer drohen damit, den privaten Schlüssel zu löschen, wenn die Frist verpasst wird, und den Zugriff auf die Daten dauerhaft zu verweigern.

● Entstehungsjahr: 2013
● Ziel: Computer mit Microsoft Windows
● Verbreitungsart: Infektiöse E-Mail-Anhänge
● Betroffene Gebiete: Überall auf der Welt
● Geschätzte Erpressung: 3 Millionen Dollar

2. Bad Rabbit

Bad Rabbit verschlüsselt die Dateitabellen des Benutzers und verlangt Bitcoins, um sie zu entschlüsseln. Betroffen waren in erster Linie Regierungsbehörden wie das Ministerium für Infrastruktur der Ukraine. Einige der im Code verwendeten Zeichenfolgen enthielten Namen von Figuren aus der beliebten Serie Game of Thrones.

● Entstehungsjahr: 2017

● Zielgruppe: Organisationen und Verbraucher
●Verbreitung: über gefälschte Adobe Flash-Update-Anfragen
●Betroffene Gebiete: Russland, Ukraine und Osteuropa
● Geschätzte Erpressung: Unbekannt, mit einer öffentlich zugegebenen Lösegeldzahlung von 1 Million Dollar.

3. NotPetya (Petya)

Diese Malware infiziert direkt den Startdatensatz des Systems und verschlüsselt das NTFS-Dateisystem. Dadurch wird das System daran gehindert, das Betriebssystem zu starten, bis das Lösegeld bezahlt ist. Einige Forscher halten dies eher für eine "Kriegshandlung" eines Nationalstaates gegen die Ukraine als für die Absicht von Cyberkriminellen, Geld zu erbeuten.

● Entstehungsjahr: 2016
● Zielgruppe: Computer Microsoft Windows
● Verbreitung: über infektiöse E-Mail Anhänge
● Betroffene Gebiete: Hauptsächlich die Ukraine
● Geschätzte Erpressung: Unbekannt

4. Cerber

Cerber ist ein Crypto-Ransomware RaaS, das Systeme infiziert, wenn der Benutzer auf eine bösartige Anzeige oder eine vom Angreifer initiierte Spam-E-Mail klickt.

● Entstehungsjahr: 2016
● Zielgruppe: Cloud-basierte Microsoft 365-Nutzer
● Verbreitung: Phishing-Kampagnen und Malvertising
● Betroffene Gebiete: Rund um den Globus
● Geschätzte Erpressung: Rund 2 Millionen Dollar im ersten Jahr

5. WannaCry

WannaCry startet einen Wurmangriff auf das Zielsystem, sperrt die Daten und fordert ein Lösegeld in Kryptowährung. Er breitet sich sehr schnell innerhalb der Systeme aus. Sein Transportcode nutzt eine als EternalBlue bekannte Sicherheitslücke - eine von der US-amerikanischen National Security Agency (NSA) entwickelte Cyberangriffslücke - um sich Zugang zu verschaffen und Kopien von sich selbst zu erstellen.

● Entstehungsjahr: 2017
●Zielgruppe: Computer mit Microsoft Windows
●Verbreitung: über eine Microsoft-Sicherheitslücke, bekannt als EternalBlue
● Betroffene Gebiete: 150 Länder weltweit
●Geschätzte Erpressung: Insgesamt 327 Zahlungen in Höhe von 130.634,77 US$

6. Dharma (CrySiS)

Dharma ist ein RaaS-Betrieb, der sich an kleine und mittlere Unternehmen (SMB) richtet, die sich kein hochkarätiges Cybersicherheitsteam leisten können. Er ermöglicht es den Angreifern, die Verzeichnisdateien auf den Windows-basierten Systemen der Opfer zu verschlüsseln. Sobald er sich im System versteckt, infiziert er jede Datei, die dem Verzeichnis hinzugefügt wird. Bedrohungsakteure, die Dharma verwenden, fordern oft ein relativ geringes Lösegeld in Höhe von 8000 bis 10000 US-Dollar. Die Zahl der Angriffe war jedoch enorm und machte es zu einem der effektivsten RaaS, die je geschaffen wurden.

● Entstehungsjahr: 2016
●Zielgruppen: Verzeichnisse innerhalb des Benutzerverzeichnisses unter Windows
●Verbreitung: über Phishing-E-Mails oder Angriffe auf Remote Desktop Protocol (RDP)-Einstiegspunkte.
● Betroffene Gebiete: weltweit
● Geschätzte Erpressung: 24 Millionen Dollar

7. Maze

Maze arbeitet über ein angeschlossenes Netzwerk von Cyberkriminellen und hat es hauptsächlich auf SaaS-Unternehmen abgesehen. Sobald Maze das Netzwerk eines IT-Providers befallen hat, breitet es sich auch auf die Netzwerke der Kunden aus. Maze verschlüsselt in der Regel Daten auf dem System des Opfers und droht damit, sie online zu veröffentlichen, wenn das Lösegeld nicht in Kryptowährungen bezahlt wird.

● Entstehungsjahr: 2019
●Zielgruppe: Unternehmensnetzwerke mit Windows
● Verbreitung: RDP Brute Force Angriffe und Spam E-Mails
● Betroffene Gebiete: weltweit
● Geschätzte Erpressung: 24 Million Dollar

Was sollten Unternehmen dagegen unternehmen?

Die Zahl der Ransomware-Angriffe ist von Jahr zu Jahr gestiegen. Dies verursacht nicht nur finanzielle Schäden für die Unternehmen, sondern beeinträchtigt auch ihren Ruf und zerstört das Vertrauen der Kunden. Hier sind einige wichtige Maßnahmen, die MSPs und Unternehmen ergreifen können, um Ransomware-Angriffe zu vermeiden:

● Verwenden Sie aktuelle Versionen von Betriebssystemen, Browsern, Antiviren- und Softwareanwendungen.
● Sichern Sie wichtige Daten immer auf Cloud-Servern oder als Offline-Kopien. Dies hilft, Daten zu schützen und die Auswirkungen von Krypto-Ransomware-Angriffen zu verringern.
● Verwalten Sie Cookies sorgfältig und lassen Sie nur die wichtigsten von jeder Website zu.
● Laden Sie Softwareanwendungen und Antivirenprogramme nur aus seriösen Quellen herunter.
● MSPs können ihre Kunden und Unternehmen ihre Mitarbeiter über Malware-Angriffe und sicheres Surfen aufklären.
● Aufbau eines Cybersecurity-Teams, das proaktiv Cybersecurity-Angriffe abwehrt und im Falle eines Angriffs oder eines Cybersecurity-Ereignisses alle erforderlichen Unterstützungs- und Abhilfemaßnahmen bereitstellt.
● Stellen Sie ein Team von ethischen Hackern ein, um Schwachstellen in Netzwerken und Systemen zu entdecken und zu beheben.
● Verwenden Sie Network Detection and Response (NDR)-Produkte, die Technologien wie Deep Learning und statistische Analysen nutzen, um verdächtige Aktivitäten und Akteure in Netzwerken zu erkennen und darauf zu reagieren. Dies kann Unternehmen bei der Minimierung von Ransomware-Risiken und der Identifizierung von Schwachstellen in ihren Netzwerken sehr helfen.

Featured Resources

Prevention is no longer enough

Getting Ahead of Today’s Fast-Growing Ransomware Threats

Manufacturing network vulnerabilities

A blueprint for combatting ransomware in the manufacturing industry

Insider Threats – Who can you trust?

Insider threats are becoming center stage to some of the deadliest cyberattacks in recent news.

Network Threat Defense Software

NovaCommand kann bei der Erkennung von Bedrohungen helfen, indem es den Netzwerkverkehr untersucht und analysiert. Die Informationen über den Netzwerkverkehr (Metadaten) werden ebenfalls korreliert und analysiert.

Auf diese Weise können Bedrohungen in einem frühen Stadium anhand ihres Verhaltens, ihres Ziels oder einer Kombination aus beidem erkannt werden.

NovaCommand "verteidigt" Sie nicht gegen Bedrohungen, sondern alarmiert Sie bei einer Bedrohung und leitet bei Bedarf über eine 3rd Party Integration wie eine Firewall oder ein EPP eine Aktion ein.

Die Zahl der Ransomware zu zählen, übersteigt die Möglichkeiten aller Beteiligten. Im Großen und Ganzen gibt es zwei Arten von Ransomware: Krypto-Ransomware, die Ihre Daten verschlüsselt, und Locker-Ransomware, die Sie von Ihrem System aussperrt.

Die am häufigsten gemeldeten Varianten in H1 2021 waren REvil/Sodinokibi, Conti, DarkSide, Avaddon und Phobos.

Ransomware ist eine Art Malware. Malware Angriffe finden gewöhnlich in der Form eines Computer Virus oder Wurms statt.

NovaMDR

NovaMDR

Response Integrations

Managed Detection and Response with NovaMDR

Technologies

NovaCommand

NovaGuard

SIEM Light - Add-on

Detect and protect.

Blog

Solving The Workforce Gap in Cybersecurity a Top Priority

From Reactive to Proactive: Transitioning from EDR to MDR

Ransomware Trends and Solutions For 2024

Resources

Case studies

Data Sheets

Videos

Webinars

Reports

Cybersecurity Essentials