RSS und Atom Feed Reader Online

Ransomware ist Schadsoftware , die darauf abzielt, vom Geschädigten Lösegeld zu erpressen. „Ransom“ ist das englische Wort für „Lösegeld“.
In diesem Artikel erfahren Sie, wie Ransomware funktioniert und wie Sie sich davor schützen können.

Wie Ransomware funktioniert

Ransomware-Angriffe erfolgen mit einem einzigen Ziel: Der Angreifer will von seinem Opfer Lösegeld erpressen.

Heute gibt es zwei verschiedene Ausprägungen von Ransomware-Attacken:

Verschlüsselung

Die Ransomware verschlüsselt sämtliche Daten des Opfers. Der Angreifer fordert ein Lösegeld und verspricht, nach erfolgter Zahlung den Entschlüsselungscode mitzuteilen.

Damit der Angriff gelingt, muss die Schadsoftware nicht nur die produktiven Dateien – beispielsweise auf der Festplatte des Computers – verschlüsseln, sondern auch sämtliche Backups . 

Dies gelingt, indem die Ransomware so lange im Verborgenen arbeitet, bis sie auch alle Datensicherungen erfasst hat. Erst dann erscheint auf dem Bildschirm des Opfers die Mitteilung, dass seine Daten unbrauchbar geworden und erst nach der Lösegeldzahlung wieder herstellbar sind. 

Double Extortion

Der Angreifer schleust nicht nur eine Schadsoftware ein, welche die Daten verschlüsselt, sondern stiehlt zusätzlich auch sensible Daten wie Kundendaten oder Lohnlisten. 

Er erpresst das Opfer nicht nur mit der Verschlüsselung, sondern droht zugleich, die gestohlenen Daten im Darknet zu veröffentlichen . Diese doppelte Erpressung (englisch „Double Extortion“) ist besonders wirksam, weil sie dem Angreifer auch dann ein Druckmittel in die Hand gibt, wenn ihm die vollständige Verschlüsselung nicht gelingt.

So dringt Ransomware in Ihr IT-System ein

Wie kann es überhaupt so weit kommen, dass Schadsoftware in ein gut gesichertes IT-System eindringen kann? Warum gelingt es nicht, die Ransomware mit den installierten Virenscannern und Firewalls aufzuhalten?

Die Antwort liegt im „Faktor Mensch“: Die Anwender laden die Schadsoftware unwissentlich selbst herunter.

Angreifer täuschen ihre Opfer auf vielfältige Art und Weise:

• E-Mails zählen zu den wichtigsten Quellen von Schadsoftware. Knapp 70 % aller Spam-Mails sind als Cyberangriffe einzustufen, wie das BSI feststellt . 
• Social Hacking : Cyberkriminelle verleiten Angestellte dazu, ihnen personenbezogene Informationen mitzuteilen. Diese verwenden sie anschließend für ihre Ransomware-Angriffe.
• Infizierte Websites: Auf Websites platzierte Links, Pop-up-Fenster und Dialogfelder können eine Falle sein. Beim Anklicken lädt Ihr Computer Schadsoftware herunter.
• Infizierte Programme : Gratis-Software („Freeware“), die auf fragwürdigen Websites zum Download angeboten wird, ist häufig mit Schadprogrammen infiziert.

Anzeichen für Ransomware-Angriffsversuche

Ransomware bleibt (wie oben beschrieben) lange Zeit unentdeckt. Trotzdem gibt es verschiedene Anzeichen, die auf einen Ransomware-Angriff hindeuten. Das BSI rät dazu , die folgenden Vorgänge mittels konsequentem Monitoring zu überwachen, um Angriffsversuche frühzeitig zu entdecken:

• Fernzugriffe (Remote Desktop Protocol, RDP)
• Die Nutzung von Kommandozeileninterpretern wie PowerShell
• Den Einsatz von Tools, die für das Auslesen von Anmeldedaten verwendet werden können
• Das Anlegen von geplanten Aufgaben (Scheduled Tasks)
• Den Einsatz von Tools, mit denen das Netzwerk ausgekundschaftet wird
• Die HTTPS-Kommunikation mit Command-and-Control-Servern
• Das Erstellen von Datei-Archiven mit ungewöhnlichen Dateipfaden
• Dateizugriffe auf Dateien, die gewöhnliche Anwender niemals verwenden
• Das Löschen von Backups oder das Deaktivieren von Backup-Funktionen
• Modifizierung von Endpoint Security Software

Während die oben aufgelisteten Überwachungsaufgaben von IT-Spezialisten durchgeführt werden müssen, können Endanwender auf die folgenden Anzeichen achten:

• Veränderte Dateiendungen und ungewöhnliche Dateiendungen
• Dateien, die sich plötzlich nicht mehr öffnen lassen
• Ungewöhnliche Systemmeldungen oder System-Mails
• Fehlermeldungen der Virenschutz-Software

Opfer von Ransomware geworden – was tun?

Als Erstes sollten Sie alle Rechner – PCs, Notebooks, Server – sofort vollständig ausschalten . Trennen Sie die Geräte vom Strom und führen Sie bei Notebooks eine harte Abschaltung durch, indem Sie den Einschaltknopf für mehrere Sekunden gedrückt halten.

Nehmen Sie Kontakt mit IT-Experten auf. Ransomware können Sie nicht selbst entfernen. Glücklicherweise ist es Sicherheitsexperten gelungen, einige der eingesetzten Verschlüsselungen zu knacken. Das BSI stellt auf ihrer Website alle bekannten Entschlüsselungsprogramme kostenlos zur Verfügung. 

Wichtig: Zahlen Sie kein Lösegeld! Es gibt keine Garantie, dass der Erpresser Ihnen den versprochenen Entschlüsselungscode mitteilt. Vielmehr müssen Sie damit rechnen, dass weitere Geldforderungen folgen.

Schutz vor Ransomware – aber wie?

Die eingangs beschriebenen Angriffspunkte von Angreifern betreffen alle die Anwender. Deshalb besteht die erste Maßnahme darin, die Anwender zu schulen! Lassen Sie Ihr IT-System von Experten fachkundig aufsetzen . Dazu gehören ein durchdachtes System von Benutzerrechten, Backups , Firewalls , E-Mail-Spamschutz , VPN und einiges mehr.

Prävention statt Risiko

Ransomware ist die wichtigste Bedrohung von Unternehmen in der heutigen, digitalisierten Wirtschaftswelt geworden. Deshalb müssen sich alle Unternehmen damit auseinandersetzen. Die wichtigsten Präventionsmaßnahmen sind die Schulung der Anwender und das fachkundige Aufsetzen der IT-Infrastruktur. Gerne beraten wir Sie detailliert dazu – nehmen Sie einfach mit uns Kontakt auf.