Ransomware ist eine Malware, die einem Benutzer oder einer Organisation den Zugriff auf Dateien auf ihrem Computer verweigern soll. Durch die Verschlüsselung dieser Dateien und die Forderung nach einem Lösegeld für den Entschlüsselungsschlüssel versetzen Cyberangreifer Unternehmen in die Lage, dass die Zahlung des Lösegelds der einfachste und kostengünstigste Weg ist, wieder Zugriff auf ihre Dateien zu erhalten. Einige Varianten verfügen über zusätzliche Funktionen – wie z. B. Datendiebstahl –, um Ransomware-Opfern einen weiteren Anreiz zur Zahlung des Lösegelds zu bieten.
Ransomware hat sich schnell zu einer der häufigsten Bedrohungen entwickelt prominent und sichtbare Art von Malware. Die jüngsten Ransomware-Angriffe haben die Fähigkeit von Krankenhäusern, wichtige Dienstleistungen bereitzustellen, beeinträchtigt, die öffentlichen Dienste in Städten lahmgelegt und verschiedenen Organisationen erheblichen Schaden zugefügt.
Ransomware Prevention CISO Guide Sprechen Sie mit einem Experten
Der moderne Ransomware-Trend begann mit dem WannaCry-Ausbruch im Jahr 2017. Dieser groß angelegte und vielbeachtete Angriff zeigte, dass Ransomware-Angriffe möglich und potenziell profitabel waren. Seitdem wurden Dutzende Ransomware-Varianten entwickelt und für verschiedene Angriffe eingesetzt.
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
Um erfolgreich zu sein, muss sich Ransomware Zugang zu einem Zielsystem verschaffen, die dortigen Dateien verschlüsseln und vom Opfer ein Lösegeld verlangen.
Während die Implementierungsdetails von Ransomware-Variante zu Ransomware-Variante unterschiedlich sind, teilen sich alle die gleichen drei Kernphasen
Ransomware kann wie jede Malware auf verschiedene Arten Zugriff auf die Systeme eines Unternehmens erhalten. Ransomware-Betreiber neigen jedoch dazu, einige bestimmte Infektionsvektoren zu bevorzugen.
Eine davon sind Phishing-E-Mails. Eine bösartige E-Mail kann einen Link zu einer Website enthalten, die einen bösartigen Download hostet, oder einen Anhang mit integrierter Downloader-Funktionalität. Wenn der E-Mail-Empfänger auf den Phish hereinfällt, wird die Ransomware heruntergeladen und auf seinem Computer ausgeführt.
Ein weiterer beliebter Ransomware-Infektionsvektor nutzt Dienste wie das Remote Desktop Protocol (RDP). Mit RDP kann ein Angreifer, der die Anmeldeinformationen eines Mitarbeiters gestohlen oder erraten hat, diese zur Authentifizierung an einem Computer im Unternehmensnetzwerk und zum Fernzugriff auf diesen verwenden. Mit diesem Zugriff kann der Angreifer die Malware direkt herunterladen und auf dem von ihm kontrollierten Computer ausführen.
Andere versuchen möglicherweise, Systeme direkt zu infizieren, wie WannaCry die EternalBlue-Schwachstelle ausnutzt. Die meisten Ransomware-Varianten haben mehrere Infektionsvektoren.
Nachdem Ransomware Zugriff auf ein System erhalten hat, kann sie mit der Verschlüsselung ihrer Dateien beginnen. Da die Verschlüsselungsfunktion in ein Betriebssystem integriert ist, umfasst dies lediglich den Zugriff auf Dateien, deren Verschlüsselung mit einem vom Angreifer kontrollierten Schlüssel und das Ersetzen der Originale durch die verschlüsselten Versionen. Die meisten Ransomware-Varianten sind bei der Auswahl der zu verschlüsselnden Dateien vorsichtig, um die Systemstabilität sicherzustellen. Einige Varianten ergreifen auch Maßnahmen zum Löschen von Sicherungskopien und Schattenkopien von Dateien, um die Wiederherstellung ohne den Entschlüsselungsschlüssel zu erschweren.
Sobald die Dateiverschlüsselung abgeschlossen ist, ist die Ransomware bereit, eine Lösegeldforderung zu stellen. Verschiedene Ransomware-Varianten implementieren dies auf vielfältige Weise, aber es ist nicht ungewöhnlich, dass der Anzeigehintergrund in eine Lösegeldforderung geändert wird oder dass in jedem verschlüsselten Verzeichnis, das die Lösegeldforderung enthält, Textdateien abgelegt werden. Typischerweise verlangen diese Notizen einen bestimmten Betrag an Kryptowährung als Gegenleistung für den Zugriff auf die Dateien des Opfers. Wenn das Lösegeld gezahlt wird, stellt der Ransomware-Betreiber entweder eine Kopie des privaten Schlüssels, der zum Schutz des symmetrischen Verschlüsselungsschlüssels verwendet wird, oder eine Kopie des symmetrischen Verschlüsselungsschlüssels selbst zur Verfügung. Diese Informationen können in ein Entschlüsselungsprogramm (ebenfalls vom Cyberkriminellen bereitgestellt) eingegeben werden, das damit die Verschlüsselung rückgängig machen und den Zugriff auf die Dateien des Benutzers wiederherstellen kann.
Während diese drei Kernschritte in allen Ransomware-Varianten vorhanden sind, kann unterschiedliche Ransomware unterschiedliche Implementierungen oder zusätzliche Schritte umfassen. Beispielsweise führen Ransomware-Varianten wie Maze Dateiscans, Registrierungsinformationen und Datendiebstahl vor der Datenverschlüsselung durch, und die WannaCry-Ransomware sucht nach anderen anfälligen Geräten, die infiziert und verschlüsselt werden können.
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
Es gibt Dutzende Ransomware-Varianten, jede mit ihren eigenen einzigartigen Eigenschaften. Allerdings waren einige Ransomware-Gruppen produktiver und erfolgreicher als andere, wodurch sie sich von der Masse abheben.
Ryuk ist ein Beispiel für eine sehr gezielte Ransomware-Variante. Die Verbreitung erfolgt häufig über Spear-Phishing-E-Mails oder durch die Verwendung kompromittierter Benutzeranmeldeinformationen zur Anmeldung bei Unternehmenssystemen über das Remote Desktop Protocol (RDP). Sobald ein System infiziert ist, verschlüsselt Ryuk bestimmte Dateitypen (und vermeidet diejenigen, die für den Betrieb eines Computers wichtig sind) und fordert dann ein Lösegeld.
Ryuk gilt als eine der teuersten Arten von Ransomware, die es gibt. Ryuk verlangt dafür Lösegeld durchschnittlich über 1 Million US-Dollar. Daher konzentrieren sich die Cyberkriminellen hinter Ryuk in erster Linie auf Unternehmen, die über die notwendigen Ressourcen verfügen, um ihre Anforderungen zu erfüllen.
Der Labyrinth Ransomware ist dafür bekannt, die erste Ransomware-Variante zu sein Kombinieren Sie Dateiverschlüsselung und Datendiebstahl. Als sich die Opfer weigerten, Lösegeld zu zahlen, begann Maze damit, sensible Daten von den Computern der Opfer zu sammeln und diese anschließend zu verschlüsseln. Sollten die Lösegeldforderungen nicht erfüllt werden, würden diese Daten öffentlich zugänglich gemacht oder an den Meistbietenden verkauft. Die Möglichkeit einer kostspieligen Datenschutzverletzung wurde als zusätzlicher Anreiz zur Zahlung genutzt.
Die Gruppe hinter der Maze-Ransomware hat hat seinen Betrieb offiziell eingestellt. Dies bedeutet jedoch nicht, dass die Bedrohung durch Ransomware verringert wurde. Einige Maze-Tochtergesellschaften sind auf die Verwendung der Egregor-Ransomware umgestiegen, und es wird angenommen, dass die Varianten Egregor, Maze und Sekhmet eine gemeinsame Quelle haben.
Die REvil-Gruppe (auch bekannt als Sodinokibi) ist eine weitere Ransomware-Variante, die es auf große Unternehmen abgesehen hat.
REvil ist eine der bekanntesten Ransomware-Familien im Internet. Die Ransomware-Gruppe, die seit 2019 von der russischsprachigen REvil-Gruppe betrieben wird, war für viele große Sicherheitsverletzungen wie „Kaseya “ und „JBS“ verantwortlich.
In den letzten Jahren konkurrierte es mit Ryuk um den Titel der teuersten Ransomware-Variante. Es ist bekannt, dass REvil dies getan hat forderte 800.000 US-Dollar Lösegeld.
Während REvil als traditionelle Ransomware-Variante begann, hat es sich im Laufe der Zeit weiterentwickelt.
Sie verwenden die Technik der doppelten Erpressung, um Daten von Unternehmen zu stehlen und gleichzeitig die Dateien zu verschlüsseln. Das bedeutet, dass Angreifer nicht nur ein Lösegeld für die Entschlüsselung der Daten fordern, sondern auch damit drohen könnten, die gestohlenen Daten herauszugeben, wenn eine zweite Zahlung nicht erfolgt.
LockBit ist eine seit September 2019 in Betrieb befindliche Datenverschlüsselungs-Malware und eine aktuelle Ransomware-as-a-Service (RaaS). Diese Ransomware wurde entwickelt, um große Organisationen schnell zu verschlüsseln und so eine schnelle Erkennung durch Sicherheitsgeräte und IT-/SOC-Teams zu verhindern.
Im März 2021 veröffentlichte Microsoft Patches für vier Schwachstellen innerhalb von Microsoft Exchange-Servern. DearCry ist eine neue Ransomware-Variante, die vier kürzlich bekannt gewordene Schwachstellen in Microsoft Exchange ausnutzen soll
Die DearCry-Ransomware verschlüsselt bestimmte Dateitypen. Sobald die Verschlüsselung abgeschlossen ist, zeigt DearCry eine Lösegeldforderung an, in der Benutzer aufgefordert werden, eine E-Mail an die Ransomware-Betreiber zu senden, um zu erfahren, wie sie ihre Dateien entschlüsseln können.
Lapsus$ ist eine südamerikanische Ransomware-Bande, die mit Cyberangriffen auf einige hochkarätige Ziele in Verbindung gebracht wird. Die Cyberbande ist für Erpressungen bekannt und droht mit der Herausgabe sensibler Informationen, wenn den Forderungen ihrer Opfer nicht nachgekommen wird. Die Gruppe prahlte damit, in Nvidia, Samsung, Ubisoft und andere einzudringen. Die Gruppe nutzt gestohlenen Quellcode, um Malware-Dateien als vertrauenswürdig zu tarnen .
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
Durch die richtige Vorbereitung können die Kosten und Auswirkungen eines Ransomware-Angriffs drastisch gesenkt werden. Die Anwendung der folgenden Best Practices kann die Gefährdung einer Organisation durch Ransomware verringern und deren Auswirkungen minimieren:
Angesichts der hohen potenziellen Kosten einer Ransomware-Infektion ist Prävention die beste Strategie zur Eindämmung von Ransomware. Dies kann erreicht werden, indem die Angriffsfläche reduziert wird, indem Folgendes angegangen wird:
Die Notwendigkeit, alle Dateien eines Benutzers zu verschlüsseln, bedeutet, dass Ransomware bei der Ausführung auf einem System einen eindeutigen Fingerabdruck hat. Anti-Ransomware-Lösungen sind darauf ausgelegt, diese Fingerabdrücke zu identifizieren. Zu den gemeinsamen Merkmalen einer guten Anti-Ransomware-Lösung gehören:
Niemand möchte eine Lösegeldforderung auf seinem Computer sehen, da sie verrät, dass eine Ransomware-Infektion erfolgreich war. An diesem Punkt können einige Schritte unternommen werden, um auf eine aktive Ransomware-Infektion zu reagieren, und eine Organisation muss entscheiden, ob sie das Lösegeld zahlt oder nicht.
Viele erfolgreiche Ransomware-Angriffe werden erst erkannt, wenn die Datenverschlüsselung abgeschlossen ist und eine Lösegeldforderung auf dem Bildschirm des infizierten Computers angezeigt wird. Zu diesem Zeitpunkt sind die verschlüsselten Dateien wahrscheinlich nicht wiederherstellbar, es sollten jedoch sofort einige Schritte unternommen werden:
Die Anti-Ransomware- Technologie von Check Point nutzt eine speziell entwickelte Engine, die sich gegen die ausgefeiltesten, flüchtigsten Zero-Day-Varianten von Ransomware wehrt und verschlüsselte Daten sicher wiederherstellt, um Geschäftskontinuität und Produktivität zu gewährleisten. Die Wirksamkeit dieser Technologie wird täglich von unserem Forschungsteam überprüft und zeigt stets hervorragende Ergebnisse bei der Erkennung und Abwehr von Angriffen.
Harmony Endgerät, Check Points führendes Endgeräte-Präventions- und Reaktionsprodukt, umfasst Anti-Ransomware-Technologie und bietet Schutz für Webbrowser und Endgeräte, indem es die branchenführenden Netzwerkschutzmaßnahmen von Check Point nutzt. Harmony Endgerät bietet vollständige Echtzeit-Bedrohungsprävention und -behebung für alle Malware-Bedrohungsvektoren und ermöglicht es Mitarbeitern, unabhängig von ihrem Aufenthaltsort sicher zu arbeiten, ohne die Produktivität zu beeinträchtigen.