Ransomware ist eine Art von Malware, die Computerdateien sperrt, bis das Opfer ein Lösegeld zahlt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist ein Social-Engineering-Angriff?
Böswillige Nutzlasten
On-Path-Angriff
Was ist ein Pufferüberlauf?
Was ist SQL-Injection?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ransomware ist böswillige Software, die Dateien sperrt und Lösegeld verlangt. Ransomware kann sich schnell über ein ganzes Netzwerk verbreiten, und in einigen Fällen hat sich eine Infektion bereits über mehrere Netzwerke verschiedener Organisationen ausgebreitet. Die Person oder Gruppe, die die Ransomware kontrolliert, gibt die Dateien nur gegen die Zahlung von Lösegeld frei.
Stellen Sie sich vor, Chuck stiehlt den Laptop von Alice, schließt ihn in seinem Safe ein und sagt ihr, dass sie ihn nur zurückbekommt, wenn sie ihm 200 Dollar zahlt. Das ist im Wesentlichen die Vorgehensweise von Ransomware-Gruppen – nur dass sie Computer nicht physisch entwenden und einsperren, sondern digital.
Zu den Strategien zur Vorbeugung von Ransomware-Infektionen gehören das Scannen aller Dateien und des Netzwerk-Traffics auf Malware, das Filtern von DNS-Abfragen, die Browserisolierung zur Vorbeugung von Angriffen und die Schulung von Nutzern in Best Practices zur Informationssicherheit. Zwar ist keine Strategie zur Vorbeugung von Ransomware narrensicher, aber die Erstellung von Backups aller Daten kann Unternehmen helfen, sich schneller von einem Ransomware-Angriff zu erholen.
Typische Ransomware-Angriffe folgen diesen grundlegenden Schritten:
Bei der Verschlüsselung werden Daten so verschlüsselt, dass sie nur von denjenigen gelesen werden können, die über den Verschlüsselungsschlüssel verfügen, der die Umkehrung der Verschlüsselung ermöglicht. Die Umkehrung der Verschlüsselung wird als Entschlüsselung bezeichnet.
Verschlüsselung wird ständig für legitime Zwecke verwendet und ist entscheidend für die Sicherheit und den Datenschutz im Internet. Aber Ransomware-Gruppen nutzen Verschlüsselung böswillig aus, um zu verhindern, dass jemand die verschlüsselten Dateien öffnen und verwenden kann, einschließlich der rechtmäßigen Besitzer der Dateien.
Stellen Sie sich vor, dass Chuck, anstatt den Laptop von Alice zu stehlen, alle ihre Dateien in eine Sprache übersetzt, die sie nicht lesen kann. Dies ist vergleichbar mit einer Verschlüsselung im Kontext von Ransomware – Alice hat immer noch Zugriff auf die Dateien, aber sie kann sie nicht lesen oder verwenden. Im Grunde sind die Dateien verloren, bis sie einen Weg findet, sie zu übersetzen.
Aber anders als bei der Übersetzung einer Sprache ist die Entschlüsselung von Daten ohne den Verschlüsselungsschlüssel fast unmöglich. Der Angreifer behält den Schlüssel für sich und hat damit das nötige Druckmittel, um eine Zahlung zu verlangen.
Normalerweise ist die Lösegeldforderung mit einem Zeitlimit verbunden: Zahlen Sie vor einer bestimmten Frist oder die Dateien bleiben dauerhaft verschlüsselt. Der Preis erhöht sich womöglich mit der Zeit.
Ransomware-Gruppen wollen, dass die Zahlung des Opfers nur schwer zu ihnen zurückverfolgt werden kann. Aus diesem Grund verlangen diese Gruppen oft Zahlungen in Kryptowährungen oder andere Methoden, die für die Strafverfolgungsbehörden schwer zu verfolgen sind.
Sobald das Lösegeld gezahlt wurde, entschlüsselt der Angreifer die Dateien entweder aus der Ferne oder sendet dem Opfer den Entschlüsselungsschlüssel. Der Angreifer entschlüsselt fast immer die verschlüsselten Daten oder stellt den Schlüssel zur Verfügung, sobald das Lösegeld gezahlt wurde. Es liegt im Interesse des Angreifers, sein Versprechen, die Daten freizugeben, auch einzuhalten. Ohne diesen Schritt werden zukünftige Ransomware-Opfer kein Lösegeld mehr zahlen, weil sie wissen, dass sie damit nichts erreichen. Dann würde der Angreifer nichts verdienen.
Eine verwandte Form von Malware ist „Scareware“. Scareware zeigt dem Nutzer eine Nachricht an, in der behauptet wird, dass sein Gerät mit Malware infiziert ist, und verlangt eine Zahlung, um die Malware zu entfernen. Wenn sie auf einem Gerät installiert ist, kann Scareware hartnäckig und schwer zu entfernen sein. Obwohl sie den Computer des Opfers sperren kann, hält sie normalerweise keine Dateien und Daten als Erpressungsmittel fest, wie es bei Ransomware der Fall ist.
Angreifer verwenden verschiedene Methoden, um Ransomware zu verbreiten, aber am häufigsten verwenden sie eine Art von Malware, die „Trojaner“ genannt wird. Ein Trojaner ist eine böswillige Datei, die als etwas anderes getarnt ist (so wie das Trojanische Pferd in der Sage die griechische Armee verbarg). Damit Trojaner funktionieren, müssen die Nutzer sie ausführen, und Ransomware-Gruppen können sie auf verschiedene Weise dazu verleiten:
Es ist auch bekannt, dass Angreifer Schwachstellen nutzen, um Würmer zu erzeugen, die sich über ein ganzes Netzwerk (und sogar über mehrere Netzwerke) verbreiten, ohne dass die Nutzer irgendetwas dafür tun müssen. Nachdem 2017 eine von der American National Security Agency entwickelte Sicherheitslücke an die Öffentlichkeit gelangt war, nutzte ein Ransomware-Wurm, WannaCry, diese Schwachstelle, um mehr als 200.000 Computer fast gleichzeitig zu infizieren.
Unabhängig von der verwendeten Methode besteht das Ziel darin, die böswillige Datei, die auch als böswillige Nutzlast bezeichnet wird, auf das Gerät oder Netzwerk zu schleusen. Sobald sie ausgeführt wird, verschlüsselt die böswillige Nutzlast die Dateien auf dem infizierten System.
Zuvor kommuniziert sie eventuell mit dem Command and Control (C&C) Server des Angreifers, um Anweisungen zu erhalten. Manchmal wartet ein Angreifer auf einen günstigen Moment, um einen Befehl zur Verschlüsselung von Dateien zu senden. Auf diese Weise kann Ransomware auf einem Gerät oder in einem Netzwerk für Tage, Wochen oder sogar Monate inaktiv und unentdeckt bleiben.
In einem Bericht heißt es, dass die Opfer von Ransomware im Durchschnitt über 300.000 Dollar gezahlt haben. In einem anderen Bericht wurde festgestellt, dass die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs in Form von Geschäftseinbußen und anderen Faktoren zusätzlich zu den Kosten für das Lösegeld bei fast 2 Millionen Dollar lagen.
Im Jahr 2020 schätzte eine Quelle den finanziellen Schaden durch Ransomware in den letzten 12 Monaten auf über 1 Milliarde Dollar, obwohl die tatsächlichen Kosten wahrscheinlich viel höher waren, wenn man die ausgefallenen Dienste und die Opfer berücksichtigt, die möglicherweise ein Lösegeld gezahlt haben, ohne dies öffentlich bekannt zu geben.
Für Kriminelle besteht ein enormer finanzieller Anreiz, Ransomware-Angriffe durchzuführen, so dass Ransomware wahrscheinlich weiterhin ein wichtiges Sicherheitsproblem bleiben wird.
Schätzungsweise 95 % der Unternehmen, die das Lösegeld zahlen, erhalten ihre Daten tatsächlich zurück. Die Zahlung eines Lösegelds kann jedoch eine kontroverse Entscheidung sein. Damit geben Sie Kriminellen Geld und ermöglichen es ihnen, ihre kriminellen Machenschaften weiter zu finanzieren.
In einigen Fällen kann es möglich sein, Ransomware von einem Gerät zu entfernen, ohne das Lösegeld zu bezahlen. Die Opfer können es mit diesen Schritten versuchen:
Diese Schritte sind in der Praxis jedoch oft schwierig auszuführen, insbesondere wenn ein ganzes Netzwerk oder Rechenzentrum infiziert wurde und es zu spät ist, das infizierte Gerät zu isolieren. Viele Arten von Ransomware sind hartnäckig und können sich selbst duplizieren oder auf andere Weise der Entfernung widerstehen. Und viele Ransomware-Gruppen verwenden heute fortschrittliche Formen der Verschlüsselung, die eine Entschlüsselung ohne den Schlüssel nahezu unmöglich machen.
Da die Entfernung von Ransomware extrem schwierig ist, versuchen Sie am besten, Ransomware-Infektionen von vornherein zu verhindern. Diese Strategien können dabei helfen:
Selbst mit diesen Methoden ist eine 100%ige Prävention gegen Ransomware nicht möglich, genauso wie eine 100%ige Prävention gegen jede andere Bedrohung nicht möglich ist.
Der wichtigste Schritt, den eine Organisation unternehmen kann, ist die Sicherung seiner Daten, damit es im Falle einer Infektion auf das Backup zurückgreifen kann, anstatt das Lösegeld zu zahlen.
Ähnlich wie bei einem Ransomware-Angriff handelt es sich bei einem Ransomware-DDoS-Angriff im Wesentlichen um einen Erpressungsversuch. Ein Angreifer droht damit, einen DDoS-Angriff gegen eine Website oder ein Netzwerk durchzuführen, wenn keine Zahlung erfolgt. In manchen Fällen beginnt der Angreifer erst mit dem DDoS-Angriff und verlangt dann die Zahlung. Ransom-DDoS-Angriffe können von einem DDoS-Abwehr-Provider (wie Cloudflare) angehalten werden.
Erfahren Sie mehr über Ransomware DDoS.
Cloudflare-Produkte neutralisieren mehrere Angriffsvektoren, die eine Infizierung mit Ransomware zur Folge haben können. Die DNS-Filterung von Cloudflare blockiert dubiose Websites. Mit unserer Browser-Isolierung werden das unbewusste und unbeabsichtigte Herunterladen von Software und andere browserbasierte Angriffe unterbunden. Schließlich kann eine Zero Trust-Architektur dazu beitragen, die Verbreitung von Ransomware innerhalb eines Netzwerks zu verhindern.