Was ist Ransomware?

Ransomware ist eine Art von Malware, mit der Cyberkriminelle ein Gerät oder Netzwerk mit bösartiger Software infizieren, die dann Dateien verschlüsselt und wertvolle Daten in unlesbaren Code umwandelt. Diese Daten werden dann von den Cyberkriminellen festgehalten und erst nach Zahlung eines Lösegelds wieder entschlüsselt.

Viele Menschen fragen, ob Ransomware ein Virus ist? Die Antwort ist nein. Ransomware und Viren sind beides Formen von Malware, die unterschiedliche Angriffsmethoden verwenden – ein Virus infiziert Dateien, während Ransomware sie verschlüsselt.

Unternehmen können einem Ransomware-Angriff durch Phishing-E-Mails zum Opfer fallen, bei denen eine E-Mail mit einem „Köder“ verschickt wird, der die Opfer anlockt, oder durch Drive-by-Downloads, bei denen ein Benutzer eine infizierte Website besucht und die Malware versehentlich herunterlädt.

Was ist Corporate Ransomware?

Corporate Ransomware bezeichnet einen Ransomware-Angriff auf ein Unternehmen oder eine Organisation. Die meisten Ransomware-Angriffe richten sich gegen Unternehmen, da sie die größte Belohnung für Cyberkriminelle versprechen, aber die Einzelheiten variieren von Ziel zu Ziel.

Es gibt einen Grund, warum Cyberkriminelle dazu neigen, Unternehmen und nicht Einzelpersonen anzugreifen – das hat viel damit zu tun, wie sich Ransomware verbreitet und welchen potenziellen Wert das Verbrechen hat. Wie verbreitet sie sich also? Die Malware wird auf ein Gerät heruntergeladen, wenn jemand eine E-Mail öffnet und/oder auf eine fragwürdige URL klickt. In der Regel bietet ein größeres Unternehmen mit mehr Mitarbeitern (also mehr Personen, die klicken) mehr Möglichkeiten für Ransomware. Aufgrund dieses höheren Angriffsrisikos und weil sie oft auch über ein größeres Budget verfügen, haben größere Unternehmen allerdings möglicherweise stärkere Sicherheitsvorkehrungen getroffen.

Größere Unternehmen sind auch aufgrund des Wertes ihrer Daten stärker von einem Ransomware-Angriff bedroht. Sie verfügen wahrscheinlich über größere Mengen sensiblerer Daten, sodass jede Unterbrechung mit höheren Betriebskosten verbunden ist. Vor diesem Hintergrund könnten diese Unternehmen eher bereit sein, das Lösegeld zu zahlen und eine höhere Forderung zu akzeptieren. So würde ein Ransomware-Angriff auf ein Krankenhaus wahrscheinlich eine höhere Lösegeldzahlung nach sich ziehen als ein Angriff auf einen ortsansässigen Blumenladen.

Geschichte der Ransomware

Den meisten Berichten zufolge beginnt die Geschichte der Ransomware im Jahr 1989 mit einem Virus, der als „AIDS-Trojaner“ bekannt ist. Bei einem vom Biologen Joseph Popp inszenierten Angriff wurden auf einer AIDS-Konferenz der Weltgesundheitsorganisation 20.000 Disketten mit einem Trojanervirus verteilt. Sobald ein Rechner infiziert war, erschien auf dem Bildschirm eine Lösegeldforderung in Höhe von 189 Dollar, die an ein Postfach in Panama geschickt werden sollte.

Seit den 80er Jahren hat sich die Technologie weiterentwickelt und die Cyberkriminellen brauchen kein Postfach mehr zu benutzen, um ihr Geld zu erhalten. Lösegeld wird jetzt in Bitcoin gefordert, und die Malware wird angepasst, um gefährlicher und störender zu werden – unter anderem, indem sie wurmartige Eigenschaften annimmt und ihre Infektionstechniken erneuert werden. Der Schutz vor Ransomware wird ebenfalls angepasst, um Netzwerke besser gegen diese immer raffinierteren Angriffe zu schützen.

Arten von Ransomware

Es gibt verschiedene Arten von Ransomware – von Angriffen auf kleine und mittlere Unternehmen bis hin zu Großkonzernen und staatlichen Gesundheitsdienstleistern. Auch die Höhe des Lösegelds kann variieren, von Hunderten von Dollar bis zu Millionen.

Cryptolocker Ransomware

Cryptolocker gibt es seit 2013 und gilt als das erste Beispiel für Ransomware nach dem ursprünglichen Angriff von 1989. Mit der Einführung von Kryptowährungen in den 2010er Jahren waren Cyberkriminelle in der Lage, Lösegeld über eine nicht zurückverfolgbare Zahlungsmethode zu fordern. Cryptolocker war der erste Ransomware-Angriff, bei dem eine fortschrittliche Verschlüsselung verwendet wurde und eine Lösegeldforderung mit der Anweisung, in Bitcoin zu zahlen, enthalten war.

Die Malware hielt einen Angriff von September bis zum darauffolgenden Mai aufrecht, bei dem sie 250.000 Geräte infizierte und die Kriminellen mindestens 3 Millionen Dollar einnahmen. Cryptolocker ist an der auf dem Bildschirm erscheinenden Lösegeldforderung zu erkennen.

Ryuk Ransomware

Ryuk Ransomware entstand 2018 und basierte auf einem bereits existierenden Trojaner-Programm, Hermes, das erstmals 2017 wissentlich eingesetzt wurde. Während Hermes bei einem Angriff einer nordkoreanischen, staatlich unterstützten Cyberkriminalitätsgruppe verwendet wurde, wird inzwischen allgemein angenommen, dass die Malware in Russland entwickelt wurde.

Im Jahr 2021 wurde eine neue „wurmartige“ Variante von Ryuk entdeckt, die sich automatisch über mehrere Geräte ausbreiten kann, da das Programm Kopien von einzigartigen Versionen von sich selbst verbreitet.

WannaCry Ransomware

Es ist ganz einfach zu erkennen, ob Ihr Gerät mit der Ransomware WannaCry infiziert wurde – Sie sehen den Text „Oops, your important files are encrypted“ („Hoppla, Ihre wichtigen Dateien sind verschlüsselt“). Der Angriff wurde erstmals 2017 eingesetzt, als an einem Tag mehr als 230.000 Computer infiziert wurden.

Bei jedem Angriff verlangen die Cyberkriminellen 300 Dollar in Bitcoin für die Entschlüsselung ihrer Dateien, wobei sich das Lösegeld verdoppelt, wenn die Forderungen nicht rechtzeitig bezahlt werden. WannaCry ist auch eine wurmbasierte Malware, die sich automatisch über Netzwerke verbreiten kann.

Sodinokibi Ransomware

Sodinokibi ist eine Familie von Ransomware, die auf Windows-Geräte abzielt. Wenn Sie von Sodinokibi Ransomware, auch bekannt als REvil, infiziert sind, sehen Sie auf dem Bildschirm eine Lösegeldforderung, bei der Bitcoin für die Entschlüsselung aller Ihrer Dateien verlangt wird. Diese Malware zielt auf alles auf einem Gerät ab, außer auf das, was in ihrer Konfigurationsdatei aufgeführt ist. Die Malware wurde erstmals im Jahr 2019 eingesetzt.

Dharma und Phobos Ransomware

Die auch als CrySiS bekannte Ransomware Dharma ist dafür bekannt, dass kleine bis mittlere Unternehmen angegriffen werden und kleinere Lösegeldbeträge gefordert werden. So soll die Wahrscheinlichkeit erhöht werden, dass die Opfer zahlen.

Die Ransomware greift in der Regel über das Remote Desktop Protocol an und wurde erstmals im Jahr 2016 entdeckt. Die Malware war die Grundlage für die Entwicklung der Ransomware Phobos, die ähnlich funktioniert.

Petya Ransomware

Petya Ransomware muss Dateien verschlüsseln, damit sie funktioniert. Während andere Malware bestimmte kritische Daten verschlüsseln kann, kann Petya Ihre gesamte Festplatte angreifen und verhindern, dass sich Ihr Gerät einschaltet. Die Ransomware wurde erstmals im Jahr 2016 eingesetzt, machte sich aber 2017 mit einer neuen Variante namens GoldenEye einen Namen.

Cerber Ransomware

Cerber ist ein Beispiel für Ransomware-as-a-Service (RaaS), basierend auf dem Software-as-a-Service-Modell. Die Entwickler der Malware lizenzieren Cerber an andere Cyberkriminelle und erhalten im Gegenzug einen Teil des gezahlten Lösegelds. Sobald ein Gerät infiziert ist, wird die Lösegeldforderung von Cerber auf dem Bildschirm angezeigt. Die Malware kann auch Dateien verschlüsseln, die sich auf nicht zugeordneten Netzwerkfreigaben befinden.

Locky Ransomware

Die Ransomware Locky wurde erstmals 2016 entdeckt und verbreitet sich über E-Mails. Sie ist dafür bekannt, dass sie ein Krankenhaus in Los Angeles angriff und 17.000 Dollar forderte. Es folgten Angriffe auf zahlreiche andere Organisationen im Gesundheitswesen. Seit dieser ersten Welle gab es jedoch keine aufsehenerregenden Angriffe mit Locky mehr.

Ransomware-Fallstudien

Ransomware hat einen enormen Einfluss auf die digitale Welt und hat im Laufe der Jahre Milliarden von Dollar von den Opfern erbeutet. Werfen wir einen Blick auf einige der größten Beispiele für die schädlichsten und teuersten Ransomware-Angriffe:

• September 2013, Cryptolocker: Die Malware Cryptolocker wurde als erste Ransomware nach dem AIDS-Trojaner im Jahr 1989 als solche bezeichnet. Zur Bekämpfung dieser Ransomware schalteten sich das FBI und Interpol ein.
• Mai 2017, NHS: Während eines weltweiten WannaCry-Angriffs wurde der Nationale Gesundheitsdienst Großbritanniens Opfer eines der schädlichsten Ransomware-Beispiele des Landes. Da die Systeme ausgefallen waren, wurden Termine abgesagt und die Mitarbeiter griffen zu Stift und Papier. Insgesamt infizierte der WannaCry-Angriff 200.000 Computer in 150 Ländern und verursachte Kosten in Höhe von 4 Milliarden Dollar – 92 Millionen Pfund (120 Millionen Dollar) für den NHS.
• März 2018, die Stadt Atlanta: Die Regierung dieser Stadt im US-Bundesstaat Georgia wurde im Jahr 2018 von der Ransomware SamSam angegriffen. Die Regierung gab als Reaktion auf den Angriff mehr Geld aus (2,6 Millionen Dollar), als die tatsächlichen Kosten des Lösegelds (etwa 50.000 Dollar).
• Mai 2019, die Stadt Baltimore: Hacker griffen die Stadt Baltimore im Jahr 2019 mit einer Ransomware namens RobbinHood an, mit der die meisten Computer der Stadtverwaltung befallen wurden. Die Kriminellen verlangten 13 Bitcoin (76.280 Dollar) und sagten, der Preis würde sich erhöhen, wenn nicht innerhalb von vier Tagen gezahlt würde, oder alle Daten würden nach zehn Tagen endgültig gelöscht werden. Die Systeme wurden schließlich wiederhergestellt, ohne dass die Stadt das Lösegeld zahlte.
• Juni 2020, die University of California San Francisco: Nach einem monatelangen Kampf mit der Netwalker Ransomware zahlte die Universität 1,14 Millionen Dollar. Die Lösegeldforderung betrug ursprünglich 4 Millionen Dollar, aber die Universität handelte den Preis herunter.
• September 2020, UKD: Der Ryuk-Angriff auf den deutschen Gesundheitsdienstleister, das Universitätsklinikum Düsseldorf, führte zum Tod eines Patienten, da dieser nicht in der Lage war, die benötigte Behandlung zu erhalten.
• April 2021, Quanta: Bei dem jüngsten Ransomware-Angriff mit Sodinokobi wurde der Macbook-Hersteller Quanta mit einer Lösegeldforderung in Höhe von 50 Millionen Dollar konfrontiert. Das Unternehmen weigerte sich, die Forderung zu zahlen, und die Cyberkriminellen gaben Macbook-Informationen an die Öffentlichkeit weiter.

Die Kosten eines Ransomware-Angriffs

Wenn Sie Opfer eines Ransomware-Angriffs werden, sind das schlechte Nachrichten für die Finanzen Ihres Unternehmens – nicht nur wegen des Lösegelds selbst, sondern Sie könnten auch mit Geldstrafen von Datenschutzbehörden zu rechnen haben oder aufgrund der negativen Auswirkungen auf das Kundenvertrauen Geschäftseinbußen erleiden.

Nach Angaben von Cybersecurity Ventures werden allein die Kosten der weltweiten Ransomware-Angriffe im Jahr 2021 auf 20 Milliarden Dollar geschätzt, und es wird angenommen, dass alle 11 Sekunden ein Unternehmen von Malware angegriffen wird. Darüber hinaus drohen europäischen Unternehmen zusätzliche DSGVO-Strafen für mangelhafte Sicherheitsmaßnahmen. Im Jahr 2020 wurde British Airways von der Regulierungsbehörde mit einer Geldstrafe in Höhe von 20 Millionen Pfund (26 Millionen Dollar) belegt – die ursprüngliche Geldstrafe betrug jedoch 183 Millionen Pfund (239 Millionen Dollar).

Als ob der Geldverlust nicht schon genug wäre, haben viele Unternehmen mit der Wiederherstellung zu kämpfen – vor allem die kleineren. Rund 60 % der kleinen Unternehmen schließen, nachdem sie Opfer eines Datenlecks geworden sind. Im Jahr 2020 musste The Heritage Company, ein Telemarketing-Unternehmen aus Arkansas, nach einem Datenleck durch Ransomware im Jahr 2019 schließen. Ob es sich um die Kosten für die Verwaltung des Angriffs, die Wiederherstellungsmaßnahmen oder den Verlust von Kunden handelt, die Wiederherstellung von Ransomware kann für ein Unternehmen erhebliche Auswirkungen haben.

Wie kann sich ein Unternehmen Ransomware einfangen?

Wenn es einem Unternehmen an effektiven Sicherheitsmaßnahmen mangelt, wird es anfällig für Cyberangriffe.

Mangelnde Mitarbeiterschulung ist eine der größten Schwachstellen für Unternehmen. Wenn Mitarbeiter nicht wissen, wie sie eine verdächtige E-Mail erkennen, Ransomware aufspüren und ein Problem melden können, laufen sie Gefahr, Geräte und das gesamte Netzwerk zu infizieren. Die Mitarbeiter sind sich möglicherweise nicht bewusst, dass ihre Geräte anfällig für Angriffe sind oder dass Ransomware für Macs oder Linux Ransomware ein Risiko darstellt. Auch wenn diese beiden Betriebssysteme den Ruf haben, eine stärkere integrierte Sicherheit zu bieten als Windows, sind sie dennoch dem Risiko einer Cyberbedrohung ausgesetzt.

Anwendungen von Drittanbietern können auch ein Einfallstor sein, über den Cyberkriminelle in Ihr Netzwerk eindringen können. Sie finden es vielleicht einfacher, auf eine App zuzugreifen als auf Ihr System, und nutzen diese Möglichkeit, um Ihre Geräte mit Malware zu infizieren.

Auch wenn Mitarbeiter Schwachstellen schaffen können, verfügt ein sicheres Unternehmen über ein funktionierendes Antivirus-Tool, das vor potenzieller Schadsoftware schützt, wenn diese versehentlich heruntergeladen wird. Software muss regelmäßig aktualisiert (oder „gepatcht“) werden, um Fehler zu beheben und Schwachstellen zu beseitigen – ungepatchte Software könnte zu Lücken in Ihrer Verteidigung führen.

So vermeiden Sie Ransomware-Angriffe

Es gibt viele wirksame Möglichkeiten, Ihr Unternehmen vor einem Ransomware-Angriff zu schützen und zu vermeiden, dass Sie zum Angriffsziel werden. Wie bei vielen Cyberangriffen verschaffen sich Kriminelle aufgrund schlechter IT-Praktiken Zugang zu einem Netzwerk. Dazu gehören:

• Unzureichende Schulung von Mitarbeitern
• Schwache Anmeldedaten
• Gewährung von zu viel Zugriff auf Anwendungen von Drittanbietern
• Fehlen effektiver Firewalls
• Fehlender Antivirus
• Nicht aktualisierte oder nicht gepatchte Software

Daher ist die operative Sicherheit so wichtig. Die Schulung der Mitarbeiter und solide Anmeldedaten gehen Hand in Hand. Die Mitarbeiter müssen darin geschult werden, wie sie am besten auf das Netzwerk zugreifen können, insbesondere wenn sie aus der Ferne arbeiten, sowie wie sie Phishing-E-Mails erkennen, verdächtige Aktivitäten melden und starke Passwörter erstellen. All dies sollte in einem Geschäftskontinuitätsplan festgehalten werden – und obwohl Vorsicht besser ist als Nachsicht, ist es auch hilfreich, Pläne für die IT-Wiederherstellung und die Geschäftskontinuität zu haben. Weitere wichtige Maßnahmen zur Verhinderung eines Ransomware-Angriffs sind:

Anzeichen, dass Ihr Unternehmen von Ransomware betroffen ist

Es gibt viele verräterische Anzeichen dafür, dass ein Computer durch Ransomware kompromittiert wurde – das offensichtlichste davon ist die Lösegeldforderung. Hier sind einige weitere häufige Anzeichen:

• Der Erhalt von Spear-Phishing- und Spoofing-E-Mails ist ein Zeichen dafür, dass Sie ins Visier von Cyberkriminellen geraten sind.
  • Wenn Sie Opfer kleinerer Testangriffe werden, die nicht besorgniserregend erscheinen, könnte es sich um Cyberkriminelle handeln, die Schwachstellen in Ihrem System suchen, bevor ein groß angelegter Angriff durchgeführt wird.
• Ihr Antivirus warnt Sie vor verdächtigen Aktivitäten
• Sie werden über verdächtige Anmeldeversuche benachrichtigt, die Ihnen nicht bekannt sind
• Sie bemerken eine neue Software in Ihrem Netzwerk
  • Softwareentfernungsprogramme wie GMER, PC Hunter und Process Hacker werden häufig von Cyberkriminellen eingesetzt, um beispielsweise Ihren Ransomware-Schutz von Windows 10 zu entfernen.
  • Anwendungen wie Microsoft Process Explorer und MimiKatz können verwendet werden, um Anmeldedaten zu stehlen.

Was tun, wenn Sie angegriffen werden?

Wenn Sie Opfer eines Ransomware-Angriffs geworden sind, sind hier die wichtigsten Schritte, die Sie unternehmen sollten:

1. Melden Sie den Angriff. Sorgen Sie dafür, dass Ihre Mitarbeiter wissen, wie sie einen Cyberangriff erkennen und das Team alarmieren können
2. Verstehen Sie die vorliegende Situation und spüren Sie die Malware auf. Versuchen Sie, die Malware aufzuspüren, die Ihr System infiziert hat, damit Sie am besten wissen, wie Sie sich schützen können und/oder wie Sie sie entfernen können
3. Schalten Sie die Quelle der Infektion ab. Finden Sie das Gerät, das der Ausgangspunkt des Angriffs war, und trennen Sie es vom Netzwerk, um das Risiko einer Verbreitung der Malware zu verringern
4. Begrenzen Sie den Angriff. Trennen Sie alle anderen Geräte im Netzwerk, die für den Angriff anfällig sein könnten, um eine weitere Ausbreitung der Ransomware zu verhindern
5. Versuchen Sie, die Daten zu entschlüsseln und die Ransomware zu entfernen. Dieser Versuch sollte nur von einem vertrauenswürdigen Sicherheitsteam unternommen werden, da Sie sonst Gefahr laufen, die Situation zu verschlimmern
6. Beauftragen Sie einen Dritten. Ein Drittanbieter kann Ihnen möglicherweise helfen, Ihre Dateien wiederherzustellen, sodass Sie das Lösegeld nicht zahlen müssen