Der jüngste Bericht von Rubrik Zero Labs zeigt, dass 40 % aller befragten Unternehmen einen erfolgreichen Ransomware-Angriff erlebt haben.
Stellen Sie sich vor, Sie arbeiten an vertraulichen Geschäftsdateien und plötzlich frieren diese ein und verschwinden dann. Es erscheint eine Meldung:
„Ups, Ihre Dateien sind verschlüsselt worden! Wenn Sie diesen Text sehen, sind Ihre Dateien nicht mehr zugänglich, da sie verschlüsselt sind. Vielleicht sind Sie mit der Suche nach einer Möglichkeit zur Wiederherstellung Ihrer Dateien beschäftigt, aber verschwenden Sie nicht Ihre Zeit. Ohne unseren Entschlüsselungsdienst kann niemand Ihre Dateien wiederherstellen.“
Die Nachricht gibt dann Anweisungen, wie – und wie viel – zu zahlen ist. Es mag wie etwas aus einem Film klingen, aber diese Botschaft stammt aus dem echten Ransomware-Angriff „WannaCry“, der im Jahr 2017 stattfand. Klingt furchtbar, oder? Das ist es.
Damit Ransomware funktionieren kann, benötigen Cyber-Kriminelle Zugang zu den Systemen eines Unternehmens. Eine Möglichkeit, sich diesen Zugang zu verschaffen, ist Menschen dazu zu bringen, ihnen die Tür zu öffnen. Hier kommt Phishing ins Spiel.
Phishing ist der erste Schritt bei vielen Ransomware-Vorfällen und eine der häufigsten Methoden, mit denen Cyber-Kriminelle Personen dazu bringen, vertrauliche Informationen wie Passwörter oder Systemanmeldedaten preiszugeben.
Laut dem Verizon Data Breach Investigations Report ist Phishing einer der vier Haupteinstiegspunkte in ein Unternehmen. Und wenn sie erst einmal eingedrungen sind, können Cyber-Kriminelle Ihre Systeme mit Malware, einschließlich Ransomware, infizieren.
Lassen Sie uns untersuchen, was Phishing und Ransomware genau sind und wie sie zusammenhängen.
Was ist Phishing?
Cyber-Kriminelle müssen sich Zugang zu vertraulichen Daten und Systemen verschaffen, um Malware einzusetzen. Es mag schwer vorstellbar sein, dass jemand sein Passwort an einen Fremden weitergibt, aber Menschen tun es ständig. Vor allem, wenn der „Fremde“ zufällig (oder scheinbar) für Ihr Unternehmen oder einen vertrauenswürdigen Partner arbeitet.
Wenn Cyber-Kriminelle gefälschte Dokumente (z. B. E-Mails, Websites und Tabellenkalkulationen) nutzen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, spricht man von Phishing.
„Phisher“ geben sich häufig als seriöse Institutionen aus, um Sie mit einem scheinbar triftigen Grund zum Klicken zu bewegen. Sie könnten Ihnen sagen, dass sie Ihre Identität überprüfen oder Ihre Daten aktualisieren möchten. Oft versuchen sie, Sie zu einer schnellen Reaktion zu drängen, indem sie beispielsweise mit dem Verlust des Zugangs zu Ihrem Konto drohen.
Da Benutzer regelmäßig mit Nachrichten überschwemmt werden, ist es für sie schwierig, die nötige Aufmerksamkeit aufzubringen, um jede einzelne Nachricht zu prüfen und festzustellen, ob sie wirklich seriös ist. Cyber-Kriminelle machen sich dies zunutze und nutzen Social Engineering – die Manipulation von Emotionen und Verhaltensweisen –, um Menschen dazu zu bringen, vertrauliche Informationen wie Passwörter, Kreditkartennummern oder Bankkontodaten preiszugeben.
Beim Phishing muss jedoch nicht immer ein Benutzer aktiv seine Daten preisgeben. Cyber-Kriminelle können Phishing-Nachrichten verwenden, um das Gerät eines Benutzers mit Malware zu infizieren, indem sie ihn dazu bringen, auf einen Link zu klicken, eine bestimmte Website zu besuchen oder einen Anhang zu öffnen. Von dort aus kann die Malware den Cyber-Kriminellen helfen, Informationen zu stehlen – und das alles, ohne das Wissen des Opfers.
Unabhängig davon, ob das Opfer aktiv persönliche Daten preisgibt oder diese mithilfe von Malware gestohlen werden, ist Phishing die Kommunikationslinie, die der Cyber-Kriminelle auswirft, um die Benutzer dazu zu bringen, den Köder zu schlucken.
Was ist Ransomware?
Nachdem wir nun wissen, wie Ransomware verbreitet wird, wollen wir uns genauer ansehen, was sie ist.
Ransomware ist eine Malware, die Dateien oder Daten verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt. In einigen Fällen, insbesondere wenn es sich bei den verschlüsselten Informationen um sensible Daten handelt (z. B. medizinische Daten, persönliche Adressen oder Sozialversicherungsnummern), droht der Cyber-Angreifer auch damit, die sensiblen Daten freizugeben, wenn das Lösegeld nicht gezahlt wird, und erhöht damit den Einsatz. Die Zahlungen werden in der Regel in Kryptowährungen verlangt, was es den Behörden erschwert, die Zahlung und die Angreifer zurückzuverfolgen.
Ein Ransomware-Angriff hat mehrere Phasen. Der erste Schritt besteht darin, sich auf irgendeine Weise Zugang zum Netzwerk eines Unternehmens zu verschaffen. Dieser Schritt besteht in der Regel aus einer Form von Phishing, obwohl dieser Zugang auch auf andere Weise erlangt werden kann. Nach einem erfolgreichen Zugriff wird Malware im gesamten System eines Unternehmens verteilt.
Zu diesem Zeitpunkt bemerken die Endbenutzer möglicherweise nicht, dass etwas nicht in Ordnung ist. Systeme können oft normal weiterlaufen, während sich die Malware ausbreitet. In dieser Zeit ermitteln die Angreifer, auf welche Systeme und Domänen sie Zugriff haben, und versuchen, sich Zugang zu weiteren Teilen der Umgebung zu verschaffen.
Als nächstes können Angreifer versuchen, wertvolle Daten zu identifizieren und zu exfiltrieren. Ressourcen wie Anmeldedaten, persönliche Kunden- oder Patientendaten und geistiges Eigentum sind beliebte Ziele. Je sensibler die Daten sind, desto wertvoller sind sie für das Unternehmen – und für Angreifer.
Wenn die Angreifer genügend vertrauliche Informationen gefunden haben – oder das Gefühl haben, dass sie kurz davor sind, erwischt zu werden –, beginnen sie, die Daten zu verschlüsseln, damit das Unternehmen keinen Zugriff darauf hat.
Sobald die Dateien verschlüsselt sind, informieren sie das Opfer und verlangen eine hohe Geldsumme. Die Lösegeldforderung enthält in der Regel Anweisungen, wie Sie im Austausch für einen Entschlüsselungsschlüssel, mit dem Sie Ihre Daten entschlüsseln können, zahlen sollen.
Unternehmen, die Lösegeldforderungen zahlen, haben jedoch noch immer keine Garantie, dass sie ihre Daten zurückerhalten. Rubrik Zero Labs ermittelte, dass 46 % der Unternehmen die Hälfte oder weniger ihrer Daten wiederherstellen konnten, nachdem sie von Angreifern bereitgestellte Entschlüsselungslösungen verwendet hatten, und nur 16 % konnten alle ihre Daten wiederherstellen.
Ransomware und Phishing im Vergleich
In der folgenden Tabelle sind die Unterschiede zwischen Ransomware und Phishing aufgeführt.
| RANSOMWARE | PHISHING | |
Warum? | Geld vom Opfer erpressen | Beschaffung sensibler Informationen, wie Passwörter oder Kreditkartennummern |
Wie? | Malware, die Dateien oder Systeme verschlüsselt | Social Engineering, das die Opfer dazu bringt, sensible Informationen preiszugeben oder Zugang zu privaten Systemen zu gewähren |
Auswirkungen | Kann erhebliche Schäden an den Dateien oder Systemen des Opfers verursachen Kann zu Ausfallzeiten und Produktivitäts- oder Reputationsverlusten führen Kann beträchtliche Summen kosten | Kann zum Diebstahl von Anmeldedaten verwendet werden Kann zur Verbreitung von Malware, einschließlich Ransomware, verwendet werden |
Wie oft? | 40 % der von Rubrik Zero Labs befragten Unternehmen berichteten von einem erfolgreichen Ransomware-Vorfall. | In 36 % aller Datenschutzverletzungen kam Phishing zum Einsatz. |
Wie Sie sich gegen Phishing und Ransomware wappnen
Wenn man weiß, wie man Phishing erkennt, kann man Angriffe, einschließlich Ransomware-Angriffe, weitestgehend verhindern. Phishing-E-Mails enthalten oft einige Anzeichen dafür, dass sie nicht das sind, was sie vorgeben zu sein, zum Beispiel:
Eine dringende Aufforderung, etwas anzuklicken oder zu öffnen
Schlechte Rechtschreibung und Grammatik
Der Link in der E-Mail stimmt nicht mit der Adresse überein, die Sie sehen, wenn Sie den Mauszeiger darüber bewegen
Oft scheint eine Phishing-Nachricht von jemandem zu kommen, den Sie kennen. Wenn Sie den Verdacht haben, dass eine Nachricht, die Sie lesen, tatsächlich ein Phishing-Versuch ist, können Sie die Person oder das Unternehmen separat kontaktieren, um sicherzugehen. Außerdem sollten Sie den Phishing-Versuch an die IT- und Sicherheitsabteilung Ihres Unternehmens melden.
Mehrschichtige Sicherheit ist eine weitere Möglichkeit, sich und Ihr Unternehmen vor Angriffen zu schützen. Verwenden Sie sichere Passwörter, ändern Sie sie, wenn Sie dazu aufgefordert werden, und verwenden Sie Multi-Faktor-Authentifizierung. Aber selbst die besten Tools, Prozesse und Praktiken können nicht zu 100 % verhindern, dass Malware eindringt. Das bedeutet, dass Unternehmen auch mit dem besten Schutz immer noch anfällig für Malware sind, einschließlich Ransomware.
Wenn Ransomware zuschlägt, ist es wichtig, eine Datensicherheitslösung zu haben, die für die Cyber-Wiederherstellung konzipiert ist, damit Ihr Unternehmen so schnell wie möglich wieder zur Tagesordnung übergehen kann.
Eine solche Lösung sollte unveränderliche Backups bieten, die von keinem Benutzer geändert, verschlüsselt oder gelöscht werden können, auch nicht von einem Ransomware-Angreifer. Auf diese Weise können Sie sicher sein, dass Sie Zugang zu einer sauberen Kopie Ihrer Daten haben.
Sie sollten sich auch um eine Automatisierung der Datensicherung bemühen, damit Ihre Sicherungsdaten regelmäßig und mit geringem manuellen Aufwand aktualisiert werden.
Sie müssen auch ermitteln und einschränken können, wer Zugang zu sensiblen Daten hat, damit Sie das Risiko eines Datenlecks proaktiv verringern können.
Die schnelle Untersuchung und Wiederherstellung ist eine weitere wichtige Funktion, mit der Sie schnell kritische Informationen über den Angriff finden und Ihre Daten wiederherstellen können.
Rubrik bietet diese Funktionen und mehr. Klicken Sie hier, um zu erfahren, wie Rubrik Sie unterstützen kann.