Was ist Ransomware? | Ransomware Bedeutung

Ransomware ist eine Art von Malware, die Computerdateien sperrt, bis das Opfer ein Lösegeld zahlt.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Ransomware definieren
  • Erklären, wie Ransomware funktioniert
  • Techniken zur Prävention von Ransomware beschreiben
  • Berühmte Ransomware-Angriffe aufzählen

Link zum Artikel kopieren

Was ist Ransomware?

Was ist Ransomware? - Ransomware infiziert einen Computer und verschlüsselt Dateien

Ransomware ist böswillige Software, die Dateien sperrt und Lösegeld verlangt. Ransomware kann sich schnell über ein ganzes Netzwerk verbreiten, und in einigen Fällen hat sich eine Infektion bereits über mehrere Netzwerke verschiedener Organisationen ausgebreitet. Die Person oder Gruppe, die die Ransomware kontrolliert, gibt die Dateien nur gegen die Zahlung von Lösegeld frei.

Stellen Sie sich vor, Chuck stiehlt den Laptop von Alice, schließt ihn in seinem Safe ein und sagt ihr, dass sie ihn nur zurückbekommt, wenn sie ihm 200 Dollar zahlt. Das ist im Wesentlichen die Vorgehensweise von Ransomware-Gruppen – nur dass sie Computer nicht physisch entwenden und einsperren, sondern digital.

Zu den Strategien zur Vorbeugung von Ransomware-Infektionen gehören das Scannen aller Dateien und des Netzwerk-Traffics auf Malware, das Filtern von DNS-Abfragen, die Browserisolierung zur Vorbeugung von Angriffen und die Schulung von Nutzern in Best Practices zur Informationssicherheit. Zwar ist keine Strategie zur Vorbeugung von Ransomware narrensicher, aber die Erstellung von Backups aller Daten kann Unternehmen helfen, sich schneller von einem Ransomware-Angriff zu erholen.

Wie funktioniert Ransomware?

Typische Ransomware-Angriffe folgen diesen grundlegenden Schritten:

  1. Die Ransomware setzt sich auf einem Gerät oder in einem Netzwerk fest.
  2. Sie verschlüsselt alle Dateien, die sie findet.
  3. Sie zeigt eine Nachricht an, in der eine Zahlung für die Entschlüsselung der Dateien gefordert wird.

Bei der Verschlüsselung werden Daten so verschlüsselt, dass sie nur von denjenigen gelesen werden können, die über den Verschlüsselungsschlüssel verfügen, der die Umkehrung der Verschlüsselung ermöglicht. Die Umkehrung der Verschlüsselung wird als Entschlüsselung bezeichnet.

Verschlüsselung wird ständig für legitime Zwecke verwendet und ist entscheidend für die Sicherheit und den Datenschutz im Internet. Aber Ransomware-Gruppen nutzen Verschlüsselung böswillig aus, um zu verhindern, dass jemand die verschlüsselten Dateien öffnen und verwenden kann, einschließlich der rechtmäßigen Besitzer der Dateien.

Stellen Sie sich vor, dass Chuck, anstatt den Laptop von Alice zu stehlen, alle ihre Dateien in eine Sprache übersetzt, die sie nicht lesen kann. Dies ist vergleichbar mit einer Verschlüsselung im Kontext von Ransomware – Alice hat immer noch Zugriff auf die Dateien, aber sie kann sie nicht lesen oder verwenden. Im Grunde sind die Dateien verloren, bis sie einen Weg findet, sie zu übersetzen.

Aber anders als bei der Übersetzung einer Sprache ist die Entschlüsselung von Daten ohne den Verschlüsselungsschlüssel fast unmöglich. Der Angreifer behält den Schlüssel für sich und hat damit das nötige Druckmittel, um eine Zahlung zu verlangen.

Häufige Merkmale von Lösegeldforderungen

Normalerweise ist die Lösegeldforderung mit einem Zeitlimit verbunden: Zahlen Sie vor einer bestimmten Frist oder die Dateien bleiben dauerhaft verschlüsselt. Der Preis erhöht sich womöglich mit der Zeit.

Ransomware-Gruppen wollen, dass die Zahlung des Opfers nur schwer zu ihnen zurückverfolgt werden kann. Aus diesem Grund verlangen diese Gruppen oft Zahlungen in Kryptowährungen oder andere Methoden, die für die Strafverfolgungsbehörden schwer zu verfolgen sind.

Sobald das Lösegeld gezahlt wurde, entschlüsselt der Angreifer die Dateien entweder aus der Ferne oder sendet dem Opfer den Entschlüsselungsschlüssel. Der Angreifer entschlüsselt fast immer die verschlüsselten Daten oder stellt den Schlüssel zur Verfügung, sobald das Lösegeld gezahlt wurde. Es liegt im Interesse des Angreifers, sein Versprechen, die Daten freizugeben, auch einzuhalten. Ohne diesen Schritt werden zukünftige Ransomware-Opfer kein Lösegeld mehr zahlen, weil sie wissen, dass sie damit nichts erreichen. Dann würde der Angreifer nichts verdienen.

Was sind die wichtigsten Arten von Ransomware?

  • „Crypto“ oder verschlüsselnde Ransomware: Dies ist der häufigste Typ. Sie funktioniert wie oben beschrieben.
  • Locker Ransomware: Anstatt Daten zu verschlüsseln, sperrt diese Art von Ransomware Nutzer einfach von ihren Geräten aus.
  • Doxware: Doxware kopiert sensible persönliche Daten und droht damit, sie preiszugeben, wenn das Opfer sich weigern, eine Gebühr zu zahlen. Doxware verschlüsselt normalerweise keine Daten.

Eine verwandte Form von Malware ist „Scareware“. Scareware zeigt dem Nutzer eine Nachricht an, in der behauptet wird, dass sein Gerät mit Malware infiziert ist, und verlangt eine Zahlung, um die Malware zu entfernen. Wenn sie auf einem Gerät installiert ist, kann Scareware hartnäckig und schwer zu entfernen sein. Obwohl sie den Computer des Opfers sperren kann, hält sie normalerweise keine Dateien und Daten als Erpressungsmittel fest, wie es bei Ransomware der Fall ist.

Wie gelangt Ransomware auf ein Gerät oder in ein Netzwerk?

Angreifer verwenden verschiedene Methoden, um Ransomware zu verbreiten, aber am häufigsten verwenden sie eine Art von Malware, die „Trojaner“ genannt wird. Ein Trojaner ist eine böswillige Datei, die als etwas anderes getarnt ist (so wie das Trojanische Pferd in der Sage die griechische Armee verbarg). Damit Trojaner funktionieren, müssen die Nutzer sie ausführen, und Ransomware-Gruppen können sie auf verschiedene Weise dazu verleiten:

  • Social Engineering. Oft sind böswillige Dateien als harmlose E-Mail-Anhänge getarnt. Ransomware-Banden versenden gezielte E-Mails, die den Empfängern vorgaukeln, sie müssten den böswilligen Anhang öffnen oder herunterladen.
  • Drive-by-Downloads. Ein Drive-by-Download liegt vor, wenn das Öffnen einer Webseite automatisch zum Herunterladen einer Datei führt. Drive-by-Downloads finden auf infizierten oder von einem Angreifer kontrollierten Websites statt.
  • Infizierung scheinbar legitimer Anwendungen, die Nutzer herunterladen und installieren. Ein Angreifer kann eine Anwendung kompromittieren, der der Nutzer vertraut, sodass beim Öffnen der Anwendung auch Malware installiert wird.
  • Erstellung gefälschter Anwendungen, die in Wirklichkeit böswillig sind. Manchmal tarnen die Angreifer ihre Malware sogar als Anti-Malware-Software.

Es ist auch bekannt, dass Angreifer Schwachstellen nutzen, um Würmer zu erzeugen, die sich über ein ganzes Netzwerk (und sogar über mehrere Netzwerke) verbreiten, ohne dass die Nutzer irgendetwas dafür tun müssen. Nachdem 2017 eine von der American National Security Agency entwickelte Sicherheitslücke an die Öffentlichkeit gelangt war, nutzte ein Ransomware-Wurm, WannaCry, diese Schwachstelle, um mehr als 200.000 Computer fast gleichzeitig zu infizieren.

Unabhängig von der verwendeten Methode besteht das Ziel darin, die böswillige Datei, die auch als böswillige Nutzlast bezeichnet wird, auf das Gerät oder Netzwerk zu schleusen. Sobald sie ausgeführt wird, verschlüsselt die böswillige Nutzlast die Dateien auf dem infizierten System.

Zuvor kommuniziert sie eventuell mit dem Command and Control (C&C) Server des Angreifers, um Anweisungen zu erhalten. Manchmal wartet ein Angreifer auf einen günstigen Moment, um einen Befehl zur Verschlüsselung von Dateien zu senden. Auf diese Weise kann Ransomware auf einem Gerät oder in einem Netzwerk für Tage, Wochen oder sogar Monate inaktiv und unentdeckt bleiben.

Die Kosten von Ransomware-Angriffen

In einem Bericht heißt es, dass die Opfer von Ransomware im Durchschnitt über 300.000 Dollar gezahlt haben. In einem anderen Bericht wurde festgestellt, dass die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs in Form von Geschäftseinbußen und anderen Faktoren zusätzlich zu den Kosten für das Lösegeld bei fast 2 Millionen Dollar lagen.

Im Jahr 2020 schätzte eine Quelle den finanziellen Schaden durch Ransomware in den letzten 12 Monaten auf über 1 Milliarde Dollar, obwohl die tatsächlichen Kosten wahrscheinlich viel höher waren, wenn man die ausgefallenen Dienste und die Opfer berücksichtigt, die möglicherweise ein Lösegeld gezahlt haben, ohne dies öffentlich bekannt zu geben.

Für Kriminelle besteht ein enormer finanzieller Anreiz, Ransomware-Angriffe durchzuführen, so dass Ransomware wahrscheinlich weiterhin ein wichtiges Sicherheitsproblem bleiben wird.

Schätzungsweise 95 % der Unternehmen, die das Lösegeld zahlen, erhalten ihre Daten tatsächlich zurück. Die Zahlung eines Lösegelds kann jedoch eine kontroverse Entscheidung sein. Damit geben Sie Kriminellen Geld und ermöglichen es ihnen, ihre kriminellen Machenschaften weiter zu finanzieren.

Ransomware entfernen

In einigen Fällen kann es möglich sein, Ransomware von einem Gerät zu entfernen, ohne das Lösegeld zu bezahlen. Die Opfer können es mit diesen Schritten versuchen:

  1. Isolieren Sie den infizierten Computer, indem Sie ihn von allen Netzwerken abtrennen.
  2. Suchen Sie mit Anti-Malware-Software nach böswilligen Dateien und entfernen Sie diese.
  3. Stellen Sie die Dateien von einer Sicherungskopie wieder her oder verwenden Sie ein Entschlüsselungstool, um die Dateien zu entschlüsseln.

Diese Schritte sind in der Praxis jedoch oft schwierig auszuführen, insbesondere wenn ein ganzes Netzwerk oder Rechenzentrum infiziert wurde und es zu spät ist, das infizierte Gerät zu isolieren. Viele Arten von Ransomware sind hartnäckig und können sich selbst duplizieren oder auf andere Weise der Entfernung widerstehen. Und viele Ransomware-Gruppen verwenden heute fortschrittliche Formen der Verschlüsselung, die eine Entschlüsselung ohne den Schlüssel nahezu unmöglich machen.

Ransomware verhindern

Da die Entfernung von Ransomware extrem schwierig ist, versuchen Sie am besten, Ransomware-Infektionen von vornherein zu verhindern. Diese Strategien können dabei helfen:

  • Anti-Malware kann alle Dateien überprüfen, um sicherzustellen, dass sie nicht böswillig sind und keine Ransomware enthalten (dabei werden nicht alle Ransomware-Stämme erkannt).
  • Die DNS-Filterung kann verhindern, dass Nutzer unsichere Websites laden und möglicherweise die böswillige Nutzlast daran hindern, mit dem C&C-Server des Angreifers zu kommunizieren.
  • Die Browserisolierung kann mehrere mögliche Angriffsvektoren schließen, einschließlich Drive-by-Downloads.
  • E-Mail-Sicherheitsfilter können verdächtige E-Mails und Anhänge kennzeichnen.
  • IT-Teams können die Arten von Anwendungen einschränken, die auf einem Gerät installiert werden können, um eine versehentliche Installation von Malware zu verhindern.
  • Sicherheitsteams können Nutzer schulen, verdächtige E-Mails zu erkennen, nicht auf nicht vertrauenswürdige Links zu klicken, keine unsicheren Websites zu laden und nur sichere und vertrauenswürdige Anwendungen zu installieren.

Selbst mit diesen Methoden ist eine 100%ige Prävention gegen Ransomware nicht möglich, genauso wie eine 100%ige Prävention gegen jede andere Bedrohung nicht möglich ist.

Der wichtigste Schritt, den eine Organisation unternehmen kann, ist die Sicherung seiner Daten, damit es im Falle einer Infektion auf das Backup zurückgreifen kann, anstatt das Lösegeld zu zahlen.

Was sind die bekanntesten Ransomware-Angriffe?

  • CryptoLocker (2013): Ransomware-Angriffe mit dem Trojaner CryptoLocker fanden von September 2013 bis Mai 2014 statt und infizierten Hunderttausende von Systemen. CryptoLocker verbreitete sich hauptsächlich über böswillige E-Mail-Anhänge. Man schätzt, dass die Angreifer etwa 3 Millionen Dollar einnahmen, bevor die Angriffe gestoppt wurden.
  • WannaCry (2017): WannaCry war ein Ransomware-Wurm, der eine Sicherheitslücke namens EternalBlue nutzte, um sich von Computer zu Computer zu verbreiten; ursprünglich war diese Sicherheitslücke von der NSA entwickelt worden. WannaCry infizierte am 12. Mai 2017 mehr als 200.000 Computer in 150 Ländern, bis ein Sicherheitsforscher herausfand, wie man die Malware ausschalten konnte. Die USA und Großbritannien nannten später Nordkorea als Usprunng des Angriffs.
  • NotPetya (2017): NotPetya war eine Variante eines früheren Malware-Stammes namens Petya. NotPetya infizierte Organisationen in ganz Europa und den USA, vor allem aber in Russland und der Ukraine.
  • Ryuk (2018): Die Ransomware Ryuk wurde hauptsächlich für große Unternehmen eingesetzt. Ihre Betreiber fordern von den Opfern hohe Lösegelder. Das FBI schätzt, dass die Angreifer hinter Ryuk in den Jahren 2018 und 2019 mehr als 61 Millionen Dollar an Lösegeldzahlungen verdient haben. Ryuk ist auch 2021 noch im Einsatz.
  • Angriff auf die Colonial Pipeline (2021): Die größte Treibstoffpipeline in den USA wurde im Mai 2021 durch einen Ransomware-Angriff lahmgelegt. Das FBI erklärte, dass eine Ransomware-Gruppe namens DarkSide hinter dem Angriff steckte.

Was ist ein DDoS-Angriff?

Ähnlich wie bei einem Ransomware-Angriff handelt es sich bei einem Ransomware-DDoS-Angriff im Wesentlichen um einen Erpressungsversuch. Ein Angreifer droht damit, einen DDoS-Angriff gegen eine Website oder ein Netzwerk durchzuführen, wenn keine Zahlung erfolgt. In manchen Fällen beginnt der Angreifer erst mit dem DDoS-Angriff und verlangt dann die Zahlung. Ransom-DDoS-Angriffe können von einem DDoS-Abwehr-Provider (wie Cloudflare) angehalten werden.

Erfahren Sie mehr über Ransomware DDoS.

Hilft Cloudflare, Ransomware-Angriffe zu verhindern?

Cloudflare-Produkte neutralisieren mehrere Angriffsvektoren, die eine Infizierung mit Ransomware zur Folge haben können. Die DNS-Filterung von Cloudflare blockiert dubiose Websites. Mit unserer Browser-Isolierung werden das unbewusste und unbeabsichtigte Herunterladen von Software und andere browserbasierte Angriffe unterbunden. Schließlich kann eine Zero Trust-Architektur dazu beitragen, die Verbreitung von Ransomware innerhalb eines Netzwerks zu verhindern.