Ransomware: Definition, Beispiele, Schutz

Ransomware: Was ist das?

Ransomware leitet sich vom englischen Wort “Ransom” ab und bedeutet Lösegeld. Bei Ransomware handelt es sich um Erpressersoftware, mit denen Cyberkriminelle Lösegeld von Privatleuten und Unternehmen erpressen. Prinzipiell werden drei Ransomware Arten unterschieden.

• Locker Ransomware

Ein Locker blockiert wichtige Funktionen des Computers – zum Beispiel den Zugriff auf den Desktop oder auf Maus und Tastatur. Die sensiblen Daten bleiben bei Locker-Software unangetastet. Sie können also im Bedarfsfall gerettet werden – auch ohne Entfernung der Locker Ransomware.

• Crypto Ransomware

Crypto Ransomware verschlüsselt auf dem PC befindliche Daten und macht sie so vollständig unbrauchbar. Der Computer selbst ist normal nutzbar, auf Daten können Betroffene aber nicht mehr zugreifen. Crypto Ransomware blendet dann eine Zahlungsaufforderung ein, oft verbunden mit der Drohung, dass die Daten nach Ablauf einer Frist automatisch gelöscht werden.

• Ransomware as a Service (RaaS)

Der Siegeszug der Cloud hat auch vor der Cyberkriminalität keinen Halt gemacht. Mit Ransomware a Service bieten professionelle Cyberkriminelle Abonnements für Ihre Schadsoftware an. Wie klassische SaaS-Lösungen bietet RaaS auch kleineren Cyberkriminellen die Möglichkeit, Angriffe durchzuführen. Das arbeitsteilige Vorgehen hat einen weiteren Vorteil: Sowohl die Malware-Entwickler als auch die operativen Angreifer konzentrieren sich auf ihre Stärken und können dadurch effizienter agieren als klassische Einzelkämpfer.

Ransomware Angriff: So funktionieren Verschlüsselungstrojaner

Cyberkriminalität hat sich im Laufe der letzten Jahrzehnte professionalisiert. Mit dem einsamen Computerfreak, der allein in unterschiedliche Systeme eindringt, haben heutige Ransomware Attacken wenig zu tun. Ein typischer Ransomware-Angriff sieht so aus:

1. Informationen sammeln

Damit Angreifer Ransomware auf einem System installieren können, benötigen sie einen Einstiegspunkt. Im ersten Schritt recherchieren die Angreifer daher Informationen zu ihrem Ziel und leiten aus den gesammelten Informationen potenzielle Angriffsvektoren ab.

1. Angriffsvektor nutzen

Jede Verbindung des Netzwerks der Organisation ist ein potenzieller Angriffsvektor. Bestimmte Systeme erweisen sich aber als besonders anfällig für Fehlkonfigurationen und sind bei den Cyberkriminellen daher besonders beliebt. Ein Beispiel ist Remote Desktop Protokoll, das seit Beginn der Corona-Pandemie vermehrt zum Einsatz kommt. Falsch konfigurierte RDP-Ports können für Angreifer ein einfacher Zugriffspunkt sein. Aber auch E-Mails, VPN-Verbindungen, Powershell oder VBA stellen potenzielle Angriffsvektoren da.

1. Infrastruktur aufbauen

Wenn die Angreifer über eine Sicherheitslücke Zugriff auf das System verschafft haben, können sie mithilfe von Tools wie Cobalt Strike eine verdeckte Verbindung zum Zielsystem aufbauen.

1. Daten stehlen und verschlüsseln

Mit der Einrichtung verdeckter Verbindungen kann der Angreifer nun die Ransomware einschleusen. Die Malware wird über eine TOR-Verbindung oder über Cobalt Strike eingeschleust und so getarnt, dass signaturbasierte Antivirenlösungen die Malware nicht erkennen. Erst jetzt bemerkt der betroffene Anwender die Infektion. Dann ist es für eine Rettung aber oft schon zu spät.

Ransomware Beispiele: Cryptolocker, WannaCry und Co.

Die wichtigsten Ransomware Beispiele der letzten Jahre zeigen: Cyberkriminalität ist ein dynamisches Feld. Seit der ersten Ransomware haben sich die Strategien der Angreifer daher immer weiterentwickelt.

Ransomware per Mail: CryptoLocker

CryptoLocker befiel zwischen 2013 und 2014 etwa 500.000 Computer auf der ganzen Welt und war einer der ersten Ransomware-Fälle, die in der breiten Öffentlichkeit diskutiert wurden.. Für die Betroffenen ging der Vorfall glimpflich aus. Den Behörden gelang es, sich in das Netzwerk einzuschleusen und die Daten abzufangen. Über ein Online-Portal konnten Betroffene später dann einen Schlüssel abrufen, mit dem Sie den Rechner entsperren konnten. Heute firmieren verschiedene andere Tools unter dem Namen “CryptoLocker”, stehen zur ursprünglichen Ransomware aber in keiner Verbindung.

Ransomware per Exploit: WannaCry

WannaCry erregte 2017 weltweit Aufmerksamkeit, als Windows-Computer ihre Besitzer aufforderten, ein Lösegeld zu bezahlen. Weltweit waren vom Angriff rund 230.000 Systeme betroffen. Die Täter konnten sich über den damals bereits bekannten Eternal-Blue-Exploit Zugriff auf die Computer verschaffen und eine Backdoor einschleusen, um anschließend WannaCry auf dem System zu installieren. Die Angreifer forderten zunächst 300 US-Dollar in Bitcoin. Später erhöhten Sie die Summe auf 600 US-Dollar.

Ransomware as a Service: Die REvil-Gruppe

REvil war eine Gruppe von Cyberkriminellen, die Anfang 2019 mit Ransomware as a Service in Erscheinung trat und anderen Cyberkriminellen den Verschlüsselungstrojaner Sodinokibi zur Verfügung stellte. Durch eine Entschlüsselungssoftware von Bitdefender konnten die Opfer damals ihre Rechner wieder freischalten. Die Gruppe wurde 2022 nach internationalen Ermittlungen zerschlagen. Dabei wurden insgesamt 6,1 Millionen US-Dollar an Lösegeld beschlagnahmt. Der reale Schaden dürfte weitaus höher liegen.

Ransomware Schutz: Angriffsvektoren schließen & Endpunkte sichern

Nach der Infektion mit Ransomware ist die Beseitigung schwierig oder sogar unmöglich. Auch die Zahlung der geforderten Summe garantiert nicht, dass die Betroffenen Zugriff auf Ihre Daten zurückerhalten.

Laut einer Sophos-Studie erhält nur ein Bruchteil der Betroffenen ihre Daten wirklich zurück, wenn sie das Lösegeld bezahlen. Zudem haben die Angreifer die Daten bereits abgesaugt, wenn die Infektion mit Ransomware in der Organisation bemerkt wird. Das Vertrauensverhältnis zu Kunden und Partnern hat zu diesem Zeitpunkt bereits Schaden genommen. Die IT-Sicherheit hat daher die Aufgabe, den Angriff mit Ransomware so früh wie möglich zu identifizieren und zu verhindern.

Netzwerkperimeter gegen Ransomware schützen

Moderne IT-Landschaften sind hoch vernetzt und durch die Cloudifizierung des Internets sind fast alle Systeme auf externe Ressourcen angewiesen. Jede Verbindung nach Außen ist ein potenzieller Zugriffspunkt für Angreifer. Sie sollten daher systematisch abgesichert werden.

• Firewall

Eine Firewall schützt die internen Systeme vor verdächtigen Verbindungen. Bei der Konfiguration der Firewall gegen Ransomware ist ein Least-Privilege-Modell empfehlenswert. Systeme, die keinen Zugriff auf externe Ressourcen brauchen, werden dabei prinzipiell an der Kommunikation nach außen gehindert werden. Dadurch sinkt die Wahrscheinlichkeit, dass ein einzelnes System sich als Angriffsvektor für einen Ransomware Angriff missbrauchen lässt.

• Proxy

Die meisten Systeme sind für ihre Funktion auf Kommunikation mit externen Systemen angewiesen und lassen sich daher nicht vollständig isolieren. Diese Systeme sollten über einen Proxy-Server laufen, der den gesamten Verkehr filtert. Optimal ist ein Filter mit Whitelist, bei dem Webseiten explizit freigegeben werden, die für den Service notwendig sind. Zumindest sollten über eine Blacklist allerdings bekannte bösartige Websites ausgeschlossen werden.

• Spamfilter

Ein Spamfilter auf Netzwerk-Ebene blockt einen Teil der schädlichen E-Mails, bevor Anhänge sich auf einem System verbreiten können. Zusätzlich sollten E-Mails mit ausführbaren Dateianhängen blockiert werden. Dadurch wird zumindest ein Teil der schädlichen E-Mails von vornherein herausgefiltert.

• VPN

Das Remote Desktop Protocol und andere VPN Services sind im Zeitalter von Home-Office und Pandemie zu wichtigen Werkzeugen in vielen Unternehmen geworden. Jede einzelne Verbindung ist ein potenzielles Einfallstor für Cyberkriminelle – der Zugang sollte daher so restriktiv wie möglich gewährt werden. Eine 2-Faktor-Authentifizierung schützt vor Brute-Force-Angriffen bei unsicheren Passwörtern.

Ransomware Angriffe am Endpoint verhindern

Im Idealfall werden Angriffe bereits am äußeren Rand gestoppt. Gelingt das Eindringen in das Netzwerk, bilden die Sicherheitsmaßnahmen am Endpunkt eine zweite Verteidigungslinie.

• Antivirus-Lösung: Antivirus-Tools scannen das System auf Malware und schlagen Alarm, wenn sie eine verdächtige Datei erkennen. Klassische AV-Lösungen setzen dabei häufig auf Signaturen oder Heuristik. Sie sind allerdings weitestgehend auf bekannte Schadsoftware beschränkt. Gegen Zero-Day-Attacken sind sie somit wirkungslos. Moderne Lösungen wie Deep Instinct setzen daher auf Deep Learning, um auch unbekannte Attacken schnell und effektiv zu verhindern
• Patch-Management: Softwareentwickler veröffentlichen regelmäßig Updates und Patches für bekannte Sicherheitslücken. Durch ein effektives Patch-Management stellen Sie sicher, dass diese von Angreifern nicht mehr genutzt werden können.
• Benutzerberechtigungen: Das sicherste System ist nur so sicher wie der unvorsichtigste Benutzer. Je weniger Berechtigungen ein Anwender besitzt, desto geringer der mögliche Schaden bei einer Übernahme des Endpunkts. Berechtigungen sollten daher nach dem Least-Privilege-Prinzip verteilt werden.
• Sandboxing:

Durch Sandboxing schränken sich den Zugriff einer Anwendung auf interne Ressourcen so weit wie möglich ein. Ein Webbrowser in der Sandbox ist zum Beispiel nicht in der Lage, auf kritische Teile des Systems zuzugreifen. Selbst wenn ein Anwender eine infizierte Datei herunterlädt, bleiben die Auswirkungen auf die Sandbox beschränkt.

Reaktion statt Prävention: Das Problem klassischer EDR-Lösungen

Aktuelle Ansätze gegen Ransomware Attacken konzentrieren sich vor allem auf den Schutz am Endpunkt. Endpoint Detection and Response (EDR) Tools ermöglichen eine kontinuierliche Überwachung, Aufzeichnung und Analyse der Endpunkt Aktivitäten. Sie haben allerdings einen zentralen Nachteil, denn sie funktionieren nur, wenn die Schadsoftware das System infiltriert hat und ausgeführt wurde. Die EDR-Lösung muss dann innerhalb von Millisekunden reagieren, um eine Beschädigung zu verhindern. Diese Zeitspanne zwischen Kompromittierung des Endpunkts und der Reaktion ist die größte Herausforderung bei der Bekämpfung von Ransomware.

Schutz vor Ransomware mit Deep Instinct

Einen ganzheitlichen Ansatz zur Abwehr von Ransomware, Zero Day-Exploits und dateilosen Attacken verfolgt Deep Instinct. Deep Instinct ist eine Deep Learning IT Security Lösung, die auf allen Ebenen ansetzt, um Ransomware Angriffe zu verhindern.

• Den Kern von Deep Instinct bildet Deep Static Analysis – das D-Brain. Das D-Brain ersetzt den signaturbasierten oder heuristischen Algorithmus mit einem Set aus Deep Learning Modellen für alle wichtigen Angriffsvektoren. Ein Office Model überwacht Office-Dateien, während das ein weiteres Modell speziell für die Powershell, VBA und andere Vektoren trainiert wurde. Dadurch arbeitet Deep Instinct hocheffizient, erkennt sowohl bekannte als auch unbekannte Angriffe zuverlässig und ist in der Lage, Ransomware Angriffen präventiv zu begegnen. Ein Scan dauert im Durchschnitt weniger als 20 Millisekunden.
• Deep Instinct Behavioral Analysis fungiert als zweite Verteidigungslinie gegen bekannte Exploits und Angriffsstrategien wie In-Memory-Schwachstellen, verdächtige Power-Shell-Aktivität, Payload-Executions und Remote Code Injektion.
• Deep Instinct D-Cloud unterstützt die Analyse eines abgewehrten Angriffs durch einen automatischen Abgleich der schädlichen Datei mit bekannten Angriffsmustern. Zusätzlich unterstützt ein Deep-Learning-Model bei der automatischen Klassifizierung des Angriffs und schafft die Basis für eine systematische Auswertung der Sicherheitslücken in einer Organisation.

Fazit: Ransomware Schutz präventiv statt reaktiv

Ransomware ist eine akute Gefahr für Unternehmen weltweit. Durch die zunehmende Professionalisierung sind die Angriffe komplexer, schneller und zielgerichteter geworden. Moderne Cyberkriminelle kennen die Schwachstellen und Lücken in den Systemen von Organisationen genau. Ihnen stehen so vielfältige Angriffsmöglichkeiten zur Verfügung, die für die Organisation kaum zu kontrollieren sind.

Mit Deep Instinct sichern Sie die Kontrolle über das gesamte Netzwerk und schaffen ein effektives Frühwarnsystem, das Ransomware und andere Angriffe innerhalb von Millisekunden identifiziert und verhindert – bevor sie ausgeführt werden.