Was ist Ransomware?

Ransomware ist eine Schadsoftware, die darauf abzielt, Nutzern den Zugriff auf Dateien in ihren Systemen zu verwehren, bis sie ein Lösegeld zahlen. Cyberkriminelle beschränken den Zugriff auf Daten, indem sie diese verschlüsseln und einen Entschlüsselungsschlüssel erst nach Zahlungseingang bereitstellen. Ransomware ist darauf ausgelegt, sich über Zielsysteme zu verbreiten und kann den regulären Unternehmensbetrieb schnell zum Stillstand bringen.

So funktioniert Ransomware

Obwohl jede Ransomware anders ist, funktionieren sie alle in drei Hauptschritten.

Zunächst verschafft sich der Ransomware-Betreiber Zugriff auf das Zielsystem. Dies kann auf verschiedene Weise geschehen, am häufigsten jedoch durch Phishing-E-Mails. Phishing-E-Mails nutzen Social-Engineering-Taktiken, um Opfer dazu zu bringen, E-Mails zu öffnen, auf schädliche Links zu klicken oder dem Angreifer persönliche Informationen preiszugeben.

 Beispielsweise kann ein Angreifer einen E-Mail-Anhang senden, der, sobald er geöffnet wird, Ransomware auf dem Computer installiert. Der Angreifer könnte auch persönliche Informationen, die durch Phishing gesammelt wurden, verwenden, um die Login-Daten des Opfers zu erraten und so aus der Ferne auf ein Computernetzwerk zuzugreifen. Anschließend können Sie die Malware selbst installieren. Abgesehen vom Phishing können Angreifer bekannte Schwachstellen instrumentalisieren, um Systeme direkt anzugreifen.

Nachdem die Ransomware Zugriff auf das Zielsystem erhält, beginnt sie mit der Verschlüsselung der Dateien. Die Ransomware verschlüsselt keine Dateien, die für den Betrieb des Systems erforderlich sind, da sie stabil genug sein muss, um zu starten.

Dann, wenn die Verschlüsselung abgeschlossen ist, fordert die Ransomware ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Dies ist in der Regel eine Textdatei, die den Betrag an Währung oder Kryptowährung enthält, den das Opfer zahlen soll.

Was ist Ransomware as a Service (RaaS)?

In den frühen Tagen der Ransomware schrieben Cyberkriminelle ihren eigenen Ransomware-Code. Es gibt jetzt eine Verschiebung hin zur Nutzung von Ransomware als Service (RaaS). In diesem Geschäftsmodell vermieten Betreiber bereits programmierte Ransomware an Partner, die sie dann im Austausch für einen Anteil an den Lösegeldzahlungen einsetzen. Auf diese Weise können sogar Partner ohne überlegene Hackerfähigkeiten einen Ransomware-Angriff starten.

Dieses Modell funktioniert auf die gleiche Weise wie Software as a Service (SaaS). Nachdem RaaS-Provider die Malware entwickelt haben, führen sie Marketingkampagnen und Werbung im Darknet durch, um Cyberkriminelle anzulocken. Sie verfügen sogar über einen Kundenservice, der ihren Kunden dabei hilft, die Malware erfolgreich zu starten. Durch die Beseitigung der technischen Barriere ist RaaS zu einem der Hauptfaktoren für die steigende Zahl von Ransomware-Angriffen geworden.

Die Auswirkungen von Ransomware

Ransomware kann sich auf vielfältige Weise auf Unternehmen auswirken. Betrachten wir einige der wichtigsten und bedeutendsten Auswirkungen. 

Verlust sensibler oder proprietärer Daten

Laut Kroll (der über 40 Websites von Bedrohungsakteuren trackt), beinhalten fast 80 % der Ransomware-Angriffe Datenexfiltration. Der Anstieg dieser Zahlen kann darauf zurückgeführt werden, dass Cyber-Angreifer die exfiltrierten Daten nutzen, um Unternehmen zu drohen, das Lösegeld zu zahlen, andernfalls werden sie die Daten öffentlich machen. 

Verlängerte Ausfallzeiten bis zum regulären Betrieb

Ausfallzeiten beziehen sich auf die Zeit, in der der reguläre Betrieb eines Unternehmens unterbrochen wird und die Produktivität unter 100 Prozent liegt.

Die Wiederherstellung von Ransomware ist kostspielig. Selbst wenn Unternehmen das Lösegeld zahlen, müssen sie Zeit darauf verwenden, ihre Systeme wiederherzustellen und sicherzustellen, dass alle ihre Betriebsabläufe wieder mit voller Kapazität online sind.

Finanzielle Verluste

Der finanzielle Schaden durch Ransomware umfasst nicht nur die Lösegeldzahlungen. Es umfasst auch die Kollateralschäden nach dem Angriff, wie Umsatzeinbußen, Arbeitskosten für den Wiederaufbau und Rechtskosten von Kunden, die Zahlungen für den Datenverlust fordern.

So schützen Sie sich vor Ransomware 

Ransomware-Angriffe bleiben eine erhebliche Bedrohung für Unternehmen – hier sind einige Möglichkeiten, wie sich Unternehmen vor Ransomware schützen können.

Führen Sie routinemäßige Datensicherungen durch.

Datenexfiltration ist einer der Bedrohungsfaktoren, die Cyber-Angreifer nutzen. Mit Datensicherungen können Sie Ihre Systeme in den Zustand vor der Ransomware-Infektion zurückversetzen. Um zu verhindern, dass Ihre Backups von Ransomware betroffen werden, speichern Sie diese sicher offline und außerhalb des Netzwerks.

Segmentieren Sie das Unternehmensnetzwerk.

Netzwerksegmentierung ermöglicht es, das Netzwerk in Teilnetzwerke zu unterteilen, sodass unterschiedliche Sicherheitskontrollen auf jedes angewendet werden können. Durch die Segmentierung können Sie Ransomware in einem Subnetzwerk eindämmen und den Schaden minimieren, falls Sie Opfer eines Angriffs werden.

Führen Sie regelmäßige Schwachstellenüberprüfungen durch.

Führen Sie Schwachstellenprüfungen durch und patchen Sie häufig ausgenutzte Software, um zu verhindern, dass Angreifer sie als Zugangspunkte nutzen. Zu den Schwachstellenprüfungen gehört auch die Überwachung ungewöhnlicher Aktivitäten im Netzwerk-Traffic, um potenzielle Angriffe in den frühen Stadien zu erkennen.

Stärken Sie eine gute Nutzerkontenverwaltung

Stellen Sie sicher, dass alle die Passwortrichtlinien im Unternehmen befolgen. Dies bedeutet eine Mindestanzahl an Zeichen und häufige Rotationen. Die Verwendung der Multi-Faktor-Authentifizierung minimiert ebenfalls das Risiko gestohlener Zugangsdaten. Zusätzlich ist es entscheidend, die Mitarbeiter darin zu schulen, wie sie Phishing-E-Mails erkennen können.

Darüber hinaus sollten stets Maßnahmen ergriffen werden, um den Nutzerzugriff auf Systeme, Datenbanken usw. ordnungsgemäß zu dokumentieren, zu überprüfen und zu entfernen. Die Implementierung des Prinzips der geringsten Privilegien (PoLP) und der Multi-Faktor-Authentifizierung (MFA) sind wertvolle Strategien, um sicherzustellen, dass jede Person, die auf sensible und hochwirksame Informationen zugreift, dies sicher tut – und dass sie überhaupt die Berechtigung hat, auf diese Informationen zuzugreifen.

Verwenden Sie Anti-Ransomware-Software

Anti-Ransomware-Software schützt vor Ransomware und entfernt die Infektion, wenn ein Angriff stattfindet. Dies kann sowohl auf Unternehmensebene als auch auf individueller Skalierung umgesetzt werden. Dies ist im heutigen Zeitalter des Homeoffice besonders wichtig.

So reagieren Sie auf Ransomware

Ein Unternehmen sollte während eines Ransomware-Angriffs über einen wirksamen Antwortplan verfügen, um den Angriff schnell zu beheben. Der erste Schritt nach einem Angriff besteht darin, die betroffenen Systeme zu isolieren. Dies verhindert, dass sich die Ransomware ausbreitet und andere Teile des Netzwerks infiziert. Stellen Sie sicher, dass Sicherungen sicher und vom Netzwerk getrennt sind, da sie bei der Wiederherstellung von Betriebsabläufen entscheidend sind.

Nachdem Sie die betroffenen Systeme isoliert haben, bewerten Sie den Angriff, um festzustellen, wie die Angreifer Zugriff auf das Netzwerk erlangt haben, welche Art von Ransomware verwendet wurde, wie schnell sich die Infektion ausbreitet und wie groß der Schaden ist. Die Bestimmung des Umfangs des Angriffs hilft Ihnen, Ihre Wiederherstellungsstrategie zu entscheiden. Sie können das Lösegeld bezahlen oder andere Wiederherstellungsoptionen in Betracht ziehen, wie das Löschen der betroffenen Systeme oder die Beauftragung externer Hilfe zur Unterstützung bei der Wiederherstellung. Es wird außerdem empfohlen, den Angriff den zuständigen Aufsichtsbehörden zu melden.

Wichtigste Erkenntnisse

  • Ransomware ist eine Art von Schadsoftware, die Nutzern den Zugriff auf Systemdateien verweigert, bis sie ein Lösegeld zahlen.

  • Ransomware ist eine der schwerwiegendsten Cybersicherheitsbedrohungen, denen Unternehmen gegenüberstehen. Die Opfer sehen sich finanziellen Verlusten, Datenverlusten, längeren Ausfallzeiten und Reputationsschäden gegenüber.

  • Unternehmen müssen über einen wirksamen Plan zur Störungsbehebung verfügen, um die Auswirkungen eines Ransomware-Angriffs zu reduzieren und sicherzustellen, dass umfassende Sicherheitspraktiken umgesetzt werden, wie z. B. eine ordnungsgemäße Verwaltung der Nutzer, Datensicherungen und regelmäßige Tests auf Schwachstellen.

Fastly unterstützt Organisationen bei der Minderung von Ransomware-Risiken, indem es sichere, leistungsstarke Edge-Cloud-Lösungen bereitstellt, die Webanwendungen und APIs vor bösartigem Traffic schützen. Mit DDoS-Abwehr, next-gen WAF, Bot-Schutz und Echtzeit-Überwachung ermöglicht Fastly Unternehmen, Bedrohungen zu erkennen und abzuwehren, bevor sie kritische Systeme erreichen