Was passiert bei einem Ransomware-Angriff?

tball

Während eines Angriffs scannt Ransomware nach wichtigen Dateien und verschlüsselt diese mit einer starken Verschlüsselung, die nicht rückgängig gemacht werden kann. Dadurch kann ein Unternehmen schneller lahmgelegt werden als durch andere bösartige Anwendungen.

Wie beginnt ein Ransomware-Angriff?

Ein Ransomware-Angriff beginnt meist mit einer manipulierten E-Mail, die entweder einen schädlichen Link oder einen infizierten Anhang enthält. Sobald der Benutzer auf den Link klickt oder die Datei öffnet, wird die Malware unbemerkt heruntergeladen und ausgeführt.

Angreifer verwenden in der Regel Microsoft-Office-Dokumente als Anhänge. Office verfügt über eine Schnittstelle in Visual Basic for Applications (VBA), die Angreifer zum Programmieren von Skripten nutzen. Neuere Office-Versionen deaktivieren die Funktion zur automatischen Ausführung von Makro-Skripten, wenn eine Datei geöffnet wird. Die Malware fordert den Benutzer auf, die Skripte auszuführen, und viele Benutzer tun dies. Aus diesem Grund sind bösartige Makros immer noch gefährlich.

Das Office-Makro lädt die Ransomware von einem Server des Angreifers herunter, und die Malware wird auf dem lokalen Gerät ausgeführt. Die Ransomware scannt das Netzwerk und den lokalen Speicher nach kritischen Dateien und verschlüsselt, was sie findet. Die Verschlüsselung ist typischerweise eine symmetrische Advanced-Encryption Standard(AES)-Kryptografie mit 128 oder 256 Bit. Sie macht den Prozess resistent gegen Brute-Force-Angriffe. Einige Ransomware verwendet auch Public/Private-Key-Kryptografie wie Rivest-Shamir-Adleman (RSA).

Kann man Ransomware entfernen und Daten wiederherstellen?

Ransomware kann zwar entfernt werden, aber die Wiederherstellung der verschlüsselten Daten ist oft nicht möglich, da die Verschlüsselung auch nach der Entfernung bestehen bleibt. Ohne den passenden Schlüssel – der meist nur gegen Lösegeld angeboten wird – bleiben die Dateien unzugänglich.

Das FBI rät betroffenen Unternehmen dringend davon ab, das Lösegeld zu zahlen. Andere Experten berichten hingegen, dass die Zahlung des Lösegelds zur Entschlüsselung der Dateien geführt hat. Doch manchmal liefern die Angreifer den Entschlüsselungsschlüssel selbst nach der Zahlung des Lösegelds nicht. Das betroffene Unternehmen hat dann keine Dateien mehr und zusätzlich einen finanziellen Schaden. Sie können zwar die Ransomware entfernen, aber es ist unwahrscheinlich, dass Sie die Dateien ohne Zahlung des Lösegelds wiederherstellen können. Es sei denn, Sie verfügen über ein Backup.

Die meisten Anti-Malware-Anbieter haben Patches oder herunterladbare Lösungen, die Ransomware entfernen. Nachdem Sie die Malware entfernt haben, können Sie die Dateien aus einem Backup wiederherstellen. Sie können den Computer auch auf die Werkseinstellungen zurücksetzen. Mit der letztgenannten Lösung wird der Computer in den Zustand zurückgesetzt, in dem er sich befand, als Sie ihn gekauft haben. Sie müssten dann sämtliche Software von Drittanbietern neu installieren.

Wie kann man sich vor Ransomware schützen?

Der Schutz vor Ransomware beginnt mit einer zuverlässigen Anti-Malware-Lösung, die E-Mails und Anhänge auf Bedrohungen prüft. Ergänzt durch Inhaltsfilterung im Netzwerk und Sicherheitssoftware auf allen Geräten lässt sich das Risiko deutlich reduzieren.

Auch Content Filtering im Netzwerk ist eine wirksame Maßnahme. Es hindert Benutzer daran, auf Websites zuzugreifen, die von Angreifern kontrolliert werden. In Kombination mit E-Mail-Filtern ist Content Filtering ein effektiver Weg, um Ransomware und die meisten Schadprogramme daran zu hindern, auf Ihr internes Netzwerk zuzugreifen.

Anti-Malware-Software sollte auf allen Netzwerkgeräten laufen, auch auf Smartphones. Anti-Malware hält Ransomware davon ab, Dateien zu verschlüsseln, und entfernt sie vom System, bevor es die Payload versendet. Wenn es im Unternehmen eine Bring-your-own-device(BYOD)-Richtlinie gibt, ist es wichtig, eine zugelassene Anti-Malware-Anwendung auf den Benutzergeräten einzusetzen.

Benutzerschulungen sind ein proaktiver Weg, um sich vor Ransomware zu schützen. Da Ransomware oft mit Phishing und Social Engineering beginnt, ist eine Schulung der Benutzer zur Erkennung von Angriffen eine gute Ergänzung zu anderen Anti-Malware-Maßnahmen. Die Kombination aus Schulungen und Anti-Malware-Systemen reduziert das Cybersicherheitsrisiko erheblich. Selbst wenn Anti-Malware-Systeme versagen, kommen Benutzer, die in der Erkennung eines Angriffs geschult sind, nicht in Versuchung, bösartige ausführbare Dateien auszuführen.

Welche bekannten Ransomware-Beispiele gibt es?

Zu den bekanntesten Ransomware-Varianten gehören CryptoLocker, Locky und Bad Rabbit. Sie nutzen unterschiedliche Methoden wie infizierte E-Mail-Anhänge, Social Engineering oder gefälschte Software-Updates, um Systeme zu infizieren und Lösegeld zu fordern.

Eine der ersten bekannten Ransomware-Anwendungen, die globale Auswirkungen hatte, war CryptoLocker. CryptoLocker zielte auf Windows-Rechner ab und war im Jahr 2014 weit verbreitet. Die Infektion begann in der Regel mit einer E-Mail und einem bösartigen Anhang. Die Software verschlüsselte dann wichtige Dateien mit asymmetrischer (RSA) Public/Private-Key-Verschlüsselung.

Ein Beispiel für Ransomware, die Social Engineering nutzt, ist Locky. Locky trat erstmals 2016 auf und begann mit einem bösartigen Word-Dokument, das an eine E-Mail angehängt war. Wenn Benutzer die Datei öffneten, sah der Inhalt verschlüsselt aus, mit Ausnahme einer Aufforderungsnachricht, Makros zu aktivieren. Nachdem die Benutzer die Makros aktiviert und die Datei erneut geöffnet hatten, wurde Locky ausgeführt.

Bad Rabbit ist ein Beispiel für Malware, die Benutzer freiwillig heruntergeladen haben. Sie wurde normalerweise verbreitet, indem sie vorgab, ein Update für Adobe Flash zu sein. Nachdem die Malware ausgeführt wurde, verschlüsselte sie die Dateien, und das System wurde neu gebootet. Bad Rabbit schränkte das Booten des Computers ein und zeigte stattdessen die Meldung an, dass zur Entschlüsselung der Dateien ein Lösegeld gezahlt werden müsse.

Screenshot einer Ransomware-Nachricht

Wie lassen sich Ransomware-Angriffe verhindern?

Ransomware-Angriffe lassen sich durch eine Kombination aus technischer Absicherung und Benutzeraufklärung verhindern. Wer versteht, wie Ransomware funktioniert, kann gezielt Maßnahmen wie Anti-Malware-Software, E-Mail-Filter und Schulungen einsetzen, um Angriffe frühzeitig zu erkennen und abzuwehren.

Wie schützt Trend Micro vor Ransomware?

Trend Micro senkt das Cyberrisiko durch Echtzeit-Erkennung, automatisierte Behebung und umfassende Plattformlösungen. Die Trend Vision One™ Plattform hilft Unternehmen, Sicherheitsverletzungen zu vermeiden und Kosten zu reduzieren. Cyber Risk Exposure Management ist ein zentraler Bestandteil dieser Strategie.   

  • Zentralisierte Bedrohungserkennung: Ermöglicht eine schnelle und gezielte Reaktion auf sicherheitsrelevante Vorfälle.

  • KI-gestützte Analyse und Automatisierung: Optimiert Sicherheitsprozesse und reduziert manuelle Eingriffe.

  • Regulatorische Unterstützung: Hilft bei der Einhaltung gesetzlicher Vorgaben und branchenspezifischer Standards.

  • Proaktive Risikobewertung: Identifiziert Schwachstellen frühzeitig und verhindert potenzielle Angriffe.