Was ist Ransomware?
Ransomware ist eine Art von Malware (Schadsoftware), durch die die Gefahr droht, dass der Zugang zu Daten auf einem Computer oder Computernetzwerk entweder veröffentlicht oder blockiert wird. Dazu werden die Daten auf einem Gerät oder im Netzwerk verschlüsselt oder das Opfer wird ganz von seinem Gerät ausgesperrt.
Ransomware-Angreifer bieten den Entschlüsselungsschlüssel oder den Zugang zum Gerät des Opfers gegen eine Gebühr oder ein Lösegeld an. In der Regel wird eine zeitliche Frist vorgegeben. Wenn die Opfer das Lösegeld nicht rechtzeitig zahlen, drohen die Angreifer damit, verschlüsselte Daten zu löschen oder die Daten des Opfers zu veröffentlichen.
Ransomware ist ein Problem, das alle Branchen betrifft, einschließlich Finanzunternehmen, Regierungsbehörden, Schulen, Krankenhäuser und Kanzleien auf der ganzen Welt. Ransomware kann lokale Laufwerke angreifen und sich auf angeschlossene Geräte ausbreiten oder ganze Netzwerke und Backup-Daten auf einmal ausschalten. Auch wenn eine Wiederherstellung ohne Zahlung des Lösegelds manchmal möglich ist, kann sie kostspielig und zeitaufwendig sein, wenn das Opfer nicht vorbereitet ist oder wenn es sich um einen gezielten Angriff handelt. Und wenn sich ein Angreifer entschließt, sensible Daten zu veröffentlichen, wird ein System-Backup ihn nicht davon abhalten können.
Ransomware: ein wachsendes Problem
Der erste Ransomware-Angriff erfolgte 1989. Ein Arzt verteilte Disketten, die angeblich einen Fragebogen zur Bewertung von Patienten während der AIDS-Krise enthielten. Stattdessen befand sich auf der Diskette das, was wir heute den „AIDS-Trojaner“ nennen. Der AIDS-Trojaner verschlüsselte sensible Daten auf den Computern von Ärzten, wodurch sie gezwungen waren, Lösegeldzahlungen an eine Adresse in Panama zu senden, um einen Entschlüsselungsschlüssel für das infizierte System zu erhalten.
Aktuelle Ransomware-Angriffe sind weitaus ausgefeilter und noch kostspieliger. Vor gar nicht langer Zeit, am 2. Juli 2021, infizierte REvil, eine russische Gruppe von Cyberkriminellen, mehr als 1500 Opfer mit Ransomware. Dazu nutzte REvil eine Schwachstelle in der Software für die Vektorsignalanalyse des Unternehmens Kaseya Ltd. mit Sitz in Miami aus. Die Hacker verlangten ein Lösegeld von 70 Millionen Dollar für die Entschlüsselung der gesperrten Daten.
Der Angriff führte dazu, dass mehrere Branchen mit der Wiederherstellung von Daten zu kämpfen hatten, darunter eine schwedische Supermarktkette, mehrere neuseeländische Schulen und eine Kleinstadt in Maryland.
Wenn Ihnen der Name „REvil“ bekannt vorkommt, dann liegt das daran, dass dies nicht der erste Angriff der Gruppe ist. Diese Hacker sind auch für das Erpressen von 11 Millionen Dollar von JBS, dem weltweit größten Fleischverarbeitungsunternehmen, Ende Mai 2021 verantwortlich.
Und REvil ist nicht allein. Ransomware-Angriffe sind ein wachsendes Problem. Im Jahr 2020 wurden dem FBI 2.500 Ransomware-Angriffe gemeldet, was einem Anstieg von 20 % gegenüber 2019 entspricht, wobei der Gesamtschaden im Jahr 2021 voraussichtlich 20 Milliarden US-Dollar erreichen wird (Cybersecurity Ventures).
Es kann Wochen oder Monate dauern, bis sich ein Unternehmen von einem solchen Angriff erholt, wenn überhaupt. 71 % der Opfer von Ransomware-Angriffen sind nicht in der Lage, ihre Daten wiederherzustellen. Und wenn Sie sich entscheiden, das Lösegeld zu zahlen, könnten Sie immer noch in Schwierigkeiten sein. 50 % der Ransomware-Opfer, die das Lösegeld bezahlten, verloren dennoch zumindest einige Dateien; 13 % verloren fast alle.
Arten von Ransomware
Der erste Schritt, um sich zu schützen, besteht darin, Ransomware zu verstehen. Im Allgemeinen gibt es zwei Arten von Ransomware: Krypto-Ransomware und Locker-Ransomware.
Krypto-Ransomware verschlüsselt wertvolle Dateien und macht sie unbrauchbar, bis das Opfer das Lösegeld bezahlt. In der Regel setzt der Angreifer eine Frist von 24 bis 48 Stunden.
Locker-Ransomware verwendet keine Verschlüsselung. Stattdessen wird das Opfer komplett daran gehindert, auf sein Gerät zuzugreifen. So kommen dessen Geschäfte zum Erliegen.
Es gibt mehrere Ransomware-Varianten, und jede davon verwendet eine andere Technik, um Ihre Dateien oder Ihr Gerät zu infizieren. Bad Rabbit zum Beispiel verbreitet sich über ein gefälschtes Adobe Flash-Update auf kompromittierten Websites. Locky verbreitet sich als bösartiger Anhang, wenn Opfer eine E-Mail öffnen, die vorgibt, eine Rechnung zu sein.
Wer steckt hinter Ransomware und was wollen diese Personen?
Ransomware-Angreifer haben in der Regel ein finanzielles Motiv. In einigen Fällen kann eine politische Komponente vorliegen, aber in erster Linie sind die für die Angriffe verantwortlichen Personen auf Profit aus.
Das bedeutet, dass sie auf der Suche nach potenziellen Opfern sind, die wertvolle Daten auf ihren Geräten oder in ihrem Netzwerk haben. Jedes Gerät, das Bankdaten, Sozialversicherungsnummern von Kunden oder Mitarbeitern oder andere sensible Daten enthält, ist ein Hauptziel für Cyberkriminelle, die Ransomware verwenden.
Und obwohl jede Branche ein potenzielles Opfer eines Ransomware-Virus ist, zielen Angreifer am ehesten auf Unternehmen der kritischen Infrastruktur, Organisationen im Gesundheitswesen, Strafverfolgungsbehörden und die Regierung ab.
Ransomware-Angriffe vermeiden
Ransomware ist für viele Unternehmen ein Schreckgespenst, aber es gibt einiges, was Sie tun können, um sich vor größeren Ransomware-Angriffen zu schützen.
- Halten Sie Ihre Betriebssysteme und Ihre Software auf dem neuesten Stand. Ein modernes Unternehmensnetz ist weniger anfällig für Angriffe.
- Installieren Sie Antivirus- und Whitelisting-Software. Whitelisting-Software verhindert, dass nicht autorisierte Anwendungen ausgeführt werden, und stoppt Ransomware, bevor sie Schaden anrichten kann.
- Schulen Sie Ihre Mitarbeiter darin, niemals unbekannte Software zu installieren und sicher im Internet zu surfen. Besuchen Sie keine unsicheren Websites, und geben Sie Ihren Mitarbeitern keinen administrativen Zugriff zum Installieren von Software.
- Schulen Sie Ihr Team im sicheren Surfen und weisen Sie es an, keine unbekannten Anhänge oder verdächtig aussehenden E-Mails zu öffnen. Erinnern Sie sie daran, dass Ransomware auch dann vorliegen kann, wenn sie den Absender der E-Mail kennen. Seien Sie vorsichtig bei komprimierten Dateien oder Nachrichten, die ungewöhnlich erscheinen.
- Halten Sie sich über die neuesten Ransomware-Bedrohungen auf dem Laufenden, damit Sie wissen, worauf Sie achten müssen, egal ob es sich um ein gefälschtes Adobe Flash-Update, eine Phishing-Kampagne oder eine andere Form von Betrug handelt.
- Sichern Sie Dateien und Datenbanken automatisch mit einem RPO von nahezu null. Backups können einen Angriff nicht verhindern, aber sie können Ihnen dabei helfen, sich schneller von einem Angriff zu erholen.
Datenkatastrophen passieren
In der modernen Welt ist das gängigste Mittel zur Speicherung und Übermittlung von Informationen der digitale Raum. Es ist nicht mehr notwendig, umfangreiche Ordner und Akten in großen Schränken im Büro aufzubewahren. Heute können wir mit einem Klick auf diese Dateien zugreifen. Doch mit dem Wegfall physischer Aufzeichnungen ist für die Geschäftswelt ein neues Problem entstanden.
Was passiert, wenn die Hardware, auf der Sie alle sensiblen, persönlichen Daten Ihrer Kunden speichern, beschädigt wird, verloren geht oder gestohlen wird? Was ist, wenn durch einen Softwarefehler erhebliche Teile der unverzichtbaren Unterlagen Ihres Unternehmens dauerhaft gelöscht werden?
Verhalten im Falle des Falles
Im Falle eines Ransomware-Angriffs können Sie bestimmte Maßnahmen ergreifen, um den Schaden zu begrenzen, aber Sie müssen schnell handeln. Beim ersten Anzeichen eines Angriffs müssen Sie das Gerät isolieren, um zu verhindern, dass der infizierte Computer weitere Malware verbreitet. Trennen Sie es vom Netz und entfernen Sie alle angeschlossenen Laufwerke. Suchen Sie dann im Netzwerk Ihres Unternehmens nach anderen Geräten, die sich verdächtig verhalten. Isolieren Sie diese ebenfalls, um Daten-Backups zu schützen.
Es ist ratsam, das WiFi an diesem Punkt auszuschalten. Außerdem sollten Sie alle drahtlosen Verbindungen bzw. die Bluetooth-Funktionalität im gesamten Netzwerk ausschalten. Wenn möglich, sperren Sie auch alle Ihre freigegebenen Dateien. Auf diese Weise wird der Verschlüsselungsprozess gestoppt.
Nachdem Sie die Ausbreitung der Ransomware verhindert haben, sollten Sie den Schaden abschätzen. Suchen Sie nach verschlüsselten Dateien, die sich nicht öffnen lassen oder seltsame Namen haben. Erstellen Sie dann eine Liste aller betroffenen Systeme, einschließlich Netzwerkspeichergeräten, externen Festplatten, Laptops, Smartphones und Cloud-Speicher.
Sobald dieser Vorgang abgeschlossen ist, können Sie nach der Infektionsquelle suchen. Dabei kann es sich um das Gerät handeln, dessen Verhalten Ihnen zuerst verdächtig vorkam, aber die Quelle kann auch anderswo liegen. Denken Sie daran, dass Ransomware schnell arbeitet und es daher schwierig sein kann, „Patient null“ zu finden.
Prüfen Sie zunächst, ob Ihr Antivirenprogramm Warnmeldungen ausgegeben hat. Befragen Sie dann Ihr Team zu seinen Internetaktivitäten. Hat jemand in letzter Zeit eine seltsame E-Mail geöffnet? Oder auf ein Pop-up geklickt, das keinen Sinn ergab? Sie können auch die betroffenen Geräte selbst untersuchen. Wenn auf einem davon mehr offene Dateien als üblich vorliegen, handelt es sich dabei wahrscheinlich um „Patient null“.
Sobald Sie die Quelle kennen, können Sie den Ransomware-Typ mithilfe einer Website wie No More Ransom identifizieren. Scannen Sie einfach eine der verschlüsselten Dateien, und die Website wird Ihnen helfen, die Variante zu identifizieren. In einigen Fällen kann sie sogar einen kostenlosen Entschlüsselungsschlüssel bereitstellen.
Sobald Sie die Variante kennen, wissen Sie genau, wie sich diese Art von Ransomware verhält. Sie können dann alle im Netzwerk verbliebenen Personen darüber informieren, worauf sie achten müssen, damit sie nicht infiziert werden.
Schließlich sollten Sie den Angriff den örtlichen Behörden melden. Das FBI ermutigt Opfer, das Lösegeld nicht zu zahlen. Informieren Sie stattdessen die örtlichen Strafverfolgungsbehörden und arbeiten Sie mit ihnen zusammen, um die Täter zur Rechenschaft zu ziehen. In einigen Fällen können Strafverfolgungs- und Regierungsbehörden Ihnen sogar helfen, Daten wiederherzustellen, indem sie den Entschlüsselungsschlüssel von den Angreifern erlangen. Raffinierte Angriffe auf Unternehmen sind auf dem Vormarsch. Daher ist es wichtig, die Strafverfolgungsbehörden auf dem Laufenden zu halten, um die Verbreitung von Ransomware zu stoppen.
Danach können Sie den Wiederherstellungsprozess starten, indem Sie das letzte unbeschädigte Backup oder, wenn Sie Glück haben, den Entschlüsselungsschlüssel zum Entschlüsseln der Dateien verwenden. Leider zielt manche Ransomware auf Backups ab und macht sie unbrauchbar, sodass die Daten nicht wiederhergestellt werden können. In diesem Fall müssen Sie sich überlegen, wie Sie Ihre Geschäfte fortführen. Die Daten sind leider verloren.
Wiederherstellung nach Ransomware-Angriffen
Zum Glück gibt es Programme, mit denen Sie Ihre Backups sicher aufbewahren und bei Angriffen sofort wiederherstellen können.
Die Rubrik-Lösungen zur sofortigen Wiederherstellung nach Ransomware-Angriffen sind eine Möglichkeit, um sicherzustellen, dass Ihr Unternehmen seine Daten schnell wiederherstellen kann. Sie bieten eine sofortige Wiederherstellung mit nur wenigen Klicks. Und dank unveränderlicher Backups stellt Rubrik sicher, dass Sie bei einem Angriff nicht ohne Ihre Daten dastehen, da Ihre Backups zu 100 % geschützt und widerstandsfähig sind.
Rubrik stellt auch Radar bereit – eine Lösung, mit der man von Ransomware betroffene Dateien schnell erkennen kann. Das beschleunigt die Wiederherstellung erheblich und hilft Ihnen, die gesamten Auswirkungen des Angriffs schnell zu analysieren. Rubrik bietet darüber hinaus auch Sonar an – eine Lösung, die Ihnen dabei hilft, personenbezogene Daten (PII) in Ihrem Netzwerk zu erkennen und zu verfolgen.
Rubrik kann sogar Daten in Multi-Cloud-Umgebungen schützen. Die Datenschutzservices von Rubrik bieten unveränderliche Snapshots sowie Verschlüsselung im Ruhezustand und während der Übertragung. Zusammen sorgen diese Services für eine schnellere Wiederherstellung, selbst nach einem Ransomware-Angriff.
Häufig gestellte Fragen
Abschließende Überlegungen
Ransomware ist ein weit verbreitetes und wachsendes Problem, das seine Opfer jedes Jahr Millionen kostet. Sie können einiges tun, um Ransomware vorzubeugen, aber das Problem an sich wird nicht so schnell verschwinden. Da Cyberkriminelle immer raffinierter werden, besteht kein Zweifel, dass auch die Angriffe immer raffinierter werden. Das bedeutet, dass Sie Ransomware-Schutz auf Datenebene benötigen.
Als führendes Unternehmen im Bereich Datenmanagement und -schutz kann Rubrik dazu beitragen, dass Ihre Daten geschützt bleiben. Und im Falle eines Angriffs können wir sicherstellen, dass die Wiederherstellung schnell erfolgt.
Was auch immer Sie tun, lassen Sie Ihr Unternehmen nicht ungeschützt. Ransomware verursacht hohe Kosten und kann Schaden anrichten. Nutzen Sie die oben genannten Tipps, um Ihre Daten zu schützen, und wenden Sie sich im Falle eines Angriffs sofort an die Strafverfolgungsbehörden.