Die 5 Stadien eines Ransomware-Angriffs

In der Welt der Cybersicherheit, Ransomware-Angriffe haben in den letzten Jahren die Schlagzeilen beherrscht. Denken Sie an den Anschlag auf Colonial Pipeline, einen der größten Pipelinebetreiber in den Vereinigten Staaten.

Im Mai 2021 gelang es einer mit Russland verbundenen Cybercrime-Gruppe, über ein VPN-Konto in das Netzwerk von Colonial Pipeline einzudringen. Anschließend infizierten sie das IT-Netzwerk des Unternehmens mit Ransomware, die viele digitale Systeme lahmlegte und den Pipelinebetrieb für mehrere Tage stoppte. Der Angriff und die anschließende Unterbrechung betrafen die Kraftstoffversorgung an der Ostküste. Außerdem gelang es den Angreifern, fast 100 GB an Daten zu stehlen. Sie sperrten auch die Computer des Unternehmens und forderten ein Lösegeld von fast $5 Mühleion im Austausch für die Freischaltung.

Der Vorfall verdeutlicht die möglichen Auswirkungen und Kosten von Ransomware-Angriffendie nach Angaben von einigen estSchätzungen im Jahr 2021 weltweit 20 Milliarden Dollar kosten und bis 2031 auf 265 Milliarden Dollar anwachsen werden. Und wie fast alle modernen, ausgeklügelten Ransomware-Angriffe verlief auch der Angriff auf Colonial Pipeline in mehreren Phasen.

Für Unternehmen beginnt der Schutz vor Ransomware mit dem Verständnis der Kill Chain von Ransomware-Angriffen. Die Kenntnis und das Verständnis der verschiedenen Stufen der Ransomware-Kill-Chain kann Unternehmen dabei helfen, sich auf Ransomware-Bedrohungen vorzubereiten und schnell zu handeln, um den Schaden zu minimieren, wenn ein Angriff stattfindet.

Die 5 Stufen der Kill Chain eines Ransomware-Angriffs

Angreifer durchlaufen in der Regel fünf Phasen, wenn sie einen Ransomware-Angriff verüben. Diese Phasen sind:

1. Identifizieren Sie das Ziel

Bevor ein Angreifer Ransomware in ein Unternehmen einschleusen kann, muss er zunächst das Ziel identifizieren. Dieser erste Schritt ist wichtig, denn Ransomware-Angriffe sind in der Regel an bestimmte Organisationen gerichtet. Ransomware stützt sich häufig auf E-Mail-Adressen, um eine infizierte Nutzlast, d.h. Malware, an das Zielunternehmen zu liefern. Das Ziel kann zufällig aus Massen-E-Mail-Listen ausgewählt werden, oder der Angreifer kann ein bestimmtes Unternehmen oder einen bestimmten Benutzer durch eine Spear-Phishing-Kampagne anvisieren.

Der Angreifer kann Ransomware auch über infizierte Websites einschleusen, indem er offene Sicherheitslücken in Webbrowsern ausnutzt. Bei der Malware kann es sich um eine Krypto-Ransomware die die Dateien und Daten innerhalb eines Systems verschlüsselt, eine Locker-Ransomware die Dateien und Anwendungen unzugänglich macht, eine Scareware die ein Opfer zur Zahlung eines Lösegelds zwingt, usw.

Wie Sie die Organisation in dieser Phase schützen können

Es kann möglich sein, den Ransomware-Angriff in dieser Phase zu stoppen und zu verhindern, dass er zur nächsten Phase übergeht. Eine Möglichkeit ist die Implementierung von E-Mail-Filtern, die Spam-Nachrichten aussperren und Benutzer daran hindern, auf bösartige Links zu klicken oder bösartige Anhänge herunterzuladen. Die Erkennung von Endgeräten, regelmäßiges Patchen (z.B. von Webbrowsern) und Schulungen zum Sicherheitsbewusstsein sind ebenfalls nützliche Schutzmaßnahmen in dieser Anfangsphase.

2. Verteilen Sie die Nutzlast

Hier verteilt der Angreifer die infizierte Nutzlast an das Zielunternehmen. In der Regel versuchen sie, Benutzer dazu zu bringen, auf einen infizierten Link zu klicken oder einen mit Malware infizierten Anhang herunterzuladen. Wenn der Benutzer mit dem Link oder Anhang interagiert, wird die Malware auf sein System übertragen.

Sobald dies geschieht, wird ihr System verschlüsselt. Um es zu entschlüsseln, benötigen sie einen Entschlüsselungsschlüssel, den der Angreifer verspricht, wenn das Opfer ein Lösegeld zahlt (daher der Name Ransomware).

Wie Sie die Organisation in dieser Phase schützen können

Die Überwachung von Dateien und Prozessen kann Sicherheitsteams dabei helfen, infiltrierte Nutzdaten zu identifizieren und zu entfernen. Unternehmen sollten auch das Prinzip der geringsten Privilegien (PoLP) anwenden, um den Zugriff zu kontrollieren und sicherzustellen, dass Benutzer nicht versehentlich Malware auf einem oder mehreren Systemen installieren.

3. Kommunizieren Sie mit einem C&C-Server

Sobald die Ransomware in das Zielsystem eingedrungen ist, stellt sie eine Verbindung mit dem Command-and-Control-Server (C&C) des Angreifers her. Dabei handelt es sich um eine externe Domain, über die die Ransomware Informationen über die infizierten Systeme weitergibt. Sie kann auch Verschlüsselungsschlüsseldaten und andere Anweisungen vom Server abrufen.

Der C&C-Server fungiert als „Hauptquartier“ der Ransomware, sendet Befehle an die infizierten Systeme und empfängt die gestohlenen Daten von ihnen. Durch den Aufbau einer C&C-Kommunikation können sich die Angreifer seitlich in einem Netzwerk bewegen. In den letzten Jahren sind viele Ransomware-Angreifer dazu übergegangen, Cloud-basierte Webmail- und File-Sharing-Dienste zu nutzen, so dass der C&C-Server nicht mehr von den Sicherheitstools des Unternehmens entdeckt werden kann.

Wie Sie die Organisation in dieser Phase schützen können

PoLP bleibt eine wirksame Kontrolle für diese Phase. Es stellt sicher, dass die Benutzer keine Administratorrechte auf ihren Rechnern haben, so dass die Malware keinen großen Schaden anrichten kann, selbst wenn der Benutzer mit einem schlechten Link oder Anhang interagiert.

4. Verbreiten Sie

Nachdem die Malware eine C&C-Verbindung hergestellt hat, versucht sie, Anmeldeinformationen zu stehlen, um sich seitlich im Netzwerk zu bewegen und auf weitere Konten zuzugreifen. Außerdem sucht er nach weiteren Dateien, die er verschlüsseln kann, sowohl auf dem lokalen System als auch auf anderen Systemen/Netzwerken, auf die er nun durch seitliche Bewegungen zugreifen kann.

Wenn dies geschieht, hat der Angreifer den Angriff erfolgreich ausgeweitet und kann daher ein höheres Lösegeld von der betroffenen Organisation im Austausch für die Bereitstellung des Verschlüsselungsschlüssels oder für die Entsperrung der Systeme verlangen.

Wie Sie die Organisation in dieser Phase schützen können

Die Überwachung des Netzwerks, der Prozesse und der Dateiaktivitäten kann in dieser Phase ebenfalls hilfreich sein. Wenn Sie diese Aktivitäten im Auge behalten, können gut geschulte Sicherheitsteams Malware-Aktivitäten erkennen und frühzeitig handeln, um eine Ausbreitung zu verhindern, z.B. indem sie die Infektion isolieren oder ein infiziertes System unter Quarantäne stellen.

5. Daten exfiltrieren

In dieser Phase des Ransomware-Lebenszyklus beginnt der Angreifer mit der Verschlüsselung von lokalen und Netzwerkdateien und/oder der Exfiltration von Daten aus diesen Dateien. Er kommuniziert mit dem Zielunternehmen, indem er in der Regel eine Drohbotschaft auf einem oder mehreren infizierten Computern veröffentlicht. Die Nachricht könnte etwa so lauten: „Der Inhalt dieses Rechners ist verschlüsselt. Senden Sie uns einen Betrag von X Bitcoin, um einen Entschlüsselungsschlüssel zu erhalten und Ihre Dateien wiederherzustellen“.

Krypto-Ransomware und Locker sind zwei der häufigsten Arten von Ransomware, die von Angreifern eingesetzt werden. Allerdings kann die Ransomware auch ein doxware oder leakware. This ransomware is used to threaten companies that the attacker will distribute or publish sensitive or business-critical information online (usually on the dark web).

Wie Sie die Organisation in dieser Phase schützen können

Bevor diese Phase in der Ransomware-Kill-Chain erreicht wird, könnten betroffene Unternehmen versuchen, die verschlüsselten Dateien mit Entschlüsselungs-Tools zu entschlüsseln, von denen viele kostenlos heruntergeladen und verwendet werden können. Viele Unternehmen bieten diese kostenlosen Entschlüsselungs-Tools an, darunter Avast (Babuk, Globe, Troldesh), AVG (BadBlock, SZFLocker) und Kaspersky (Wildfire Decryptor, Rannoh Decryptor).

Die beste Strategie ist, dieses Stadium zu vermeiden und nicht zu riskieren, den Zugriff auf wichtige Dateien oder Daten zu verlieren. Deshalb ist es wichtig, bereits in den vorherigen Stadien alle erforderlichen Kontrollen durchzuführen. Es ist auch eine gute Idee, regelmäßige Datensicherungen durchzuführen, um sicherzustellen, dass die Dateien vor der Infektion so gut wie möglich wiederhergestellt werden können.

Ransomware-Zahlungen: Vornehmen oder nicht vornehmen

Das FBI empfiehlt, dass Unternehmen als Reaktion auf einen Ransomware-Angriff kein Lösegeld zahlen sollten, weil sie der Meinung sind, dass „die Zahlung eines Lösegelds keine Garantie dafür ist, dass Sie oder Ihr Unternehmen irgendwelche Daten zurückbekommen“. Dennoch ignorieren viele Unternehmen diesen Rat und zahlen das Lösegeld.

Ein Beispiel ist Colonial Pipeline, das nur einen Tag nach Bekanntwerden des Angriffs das geforderte Lösegeld in Höhe von 5 Millionen Dollar gezahlt hat. Zwar konnte das Unternehmen 2,3 Millionen Dollar von der Hackergruppe zurückerhalten, aber der Vorfall zeigt nur, dass viele Unternehmen nur allzu verzweifelt versuchen, den Entschlüsselungsschlüssel von den Angreifern zu bekommen und ihre Dateien und Daten freizuschalten. Dies erklärt, warum im Jahr 2022 fast 63% der Opferorganisationen Lösegeld gezahlt haben. Allerdings konnten nur 72,2 % ihre Daten nach der Zahlung des Lösegelds wiederherstellen, was zeigt, dass skrupellose Angreifer den Verschlüsselungsschlüssel oft nicht herausgeben, selbst wenn ihre Lösegeldforderungen erfüllt wurden.

Jedes Unternehmen kann sich in einer solchen Situation befinden. Anstatt davon auszugehen, dass sie sich dem Willen des Angreifers beugen und ihn auszahlen müssen, sollten sie zumindest versuchen, ihre verschlüsselten Dateien mithilfe von Entschlüsselungsprogrammen selbst wiederherzustellen. Es ist außerdem wichtig, den Angriff den Strafverfolgungsbehörden zu melden, die bei der Identifizierung der Täter und der Wiederherstellung der verschlüsselten oder gesperrten Daten des Unternehmens helfen könnten.

Wie ForeNova Ihr Unternehmen vor Ransomware schützen und seine Widerstandsfähigkeit erhöhen kann

ForeNovas Lösegeldkriege Erkennung und Reaktion Lösung ist eine bewährte und zuverlässige Methode, um jeden Schritt in der Ransomware-Kill-Chain zu blockieren. Unsere umfassende, ganzheitliche Sicherheitslösung namens NovaCommand kann Sie schützen vor Ransomware-Angriffe. More importantly, it can verhindern und entschärfen solche Angriffe in Echtzeit.

Ein weiteres Angebot von ForeNova, NovaMDRist auch ein wirksamer Weg, um sich vor Ransomware zu schützen. NovaMDR überwacht Ihre Endpunkte, Ihr Netzwerk, Ihre Cloud und Ihre Identitäten rund um die Uhr, um selbst die raffiniertesten Ransomware-Programme zu erkennen und schnell darauf zu reagieren. Ransomware-Angriffe. Leverage its unique combination of human-machine intelligence to strengthen your organizational security – minus operational overheads and staffing complexities.

Klicken Sie hier um eine kostenlose und unverbindliche Demo von NovaCommand oder NovaMDR anzufordern. Oder contakt uns um mit einem autorisierten Vertriebsmitarbeiter zu sprechen.

Tags:

Cybersecurity Ransomware

Share This Article

Related Posts

Was ist Attack Surface Management?

29 Apr, 2025

Attack surface management

Was ist Attack Surface Management?

Digitale Transformationen, Unternehmensübernahmen und -verkleinerungen verändern kontinuierlich die Angriffsfläche (Attack Surface, AS) eines Unternehmens. Hacker, die künstliche Intelligenz (KI) und...

Fortgeschrittene, hartnäckige Bedrohungen: Schutz der deutschen Fertigungsindustrie durch Managed Detection and Response

09 Apr, 2025

Fortgeschrittene, hartnäckige Bedrohungen: Schutz der deutschen Fertigungsindustrie durch Managed Detection and Response

Advanced Persistent Threats (APTs) sind gezielte Angriffe, die darauf abzielen, Netzwerke zu infiltrieren und Zugang zu wertvollen Daten zu erlangen....

Cyberangriffe in der Fertigung wirksam reduzieren – mit Managed Detection and Response

09 Apr, 2025

Cyberangriffe in der Fertigung wirksam reduzieren – mit Managed Detection and Response

Die Fertigungsindustrie im Zeitalter von Industrie 4.0 und 5.0 entwickelt sich zunehmend in Richtung Vollautomatisierung – mit Robotern und fortschrittlichen...

Die Sicherheitsplattform von ForeNova wurde entwickelt, um mehr Cyber-Bedrohungen und -Angriffe als je zuvor zu erkennen – selbst bisher unbekannte und unentdeckte – über die gesamte IT-Landschaft hinweg.

ForeNova Technologies GmbH, Sulzbacher Str. 48, 90489 Nürnberg +49 8926 200 920 © 2025 ForeNova Technologies. All Rights Reserved.

When you visit our website, ForeNova and third parties can place cookies on your computer. These cookies are used to improve your website experience and provide more personalized services to you, both on this website and through other media. To find out more about the cookies we use, see our Privacy Policy.

If you reject all cookies, except one strictly necessary cookie, we won't track your information when you visit our site. In order to comply with your preferences, we'll have to use just one tiny cookie so that you're not asked to make this choice again.