Ransomware schädigt kritische Daten
Ransomware ist verheerend für ein Unternehmen, weil sie kritische Daten schädigt. Während eines Angriffs scannt Ransomware nach wichtigen Dateien und verschlüsselt diese mit einer starken Verschlüsselung, die nicht rückgängig gemacht werden kann. Dadurch kann ein Unternehmen schneller lahmgelegt werden als durch andere bösartige Anwendungen.
Die meisten Ransomware-Angriffe beginnen mit einer schädlichen E‑Mail. Diese E-Mail enthält oft einen Link zu einer vom Angreifer kontrollierten Website. Auf dieser Website lädt der Benutzer dann unbewusst die Malware herunter. Die E-Mail kann auch einen bösartigen Anhang mit Code enthalten, der Ransomware herunterlädt, nachdem der Benutzer die Datei geöffnet hat.
Angreifer verwenden in der Regel Microsoft-Office-Dokumente als Anhänge. Office verfügt über eine Schnittstelle in Visual Basic for Applications (VBA), die Angreifer zum Programmieren von Skripten nutzen. Neuere Office-Versionen deaktivieren die Funktion zur automatischen Ausführung von Makro-Skripten, wenn eine Datei geöffnet wird. Die Malware fordert den Benutzer auf, die Skripte auszuführen, und viele Benutzer tun dies. Aus diesem Grund sind bösartige Makros immer noch gefährlich.
Das Office-Makro lädt die Ransomware von einem Server des Angreifers herunter, und die Malware wird auf dem lokalen Gerät ausgeführt. Die Ransomware scannt das Netzwerk und den lokalen Speicher nach kritischen Dateien und verschlüsselt, was sie findet. Die Verschlüsselung ist typischerweise eine symmetrische Advanced-Encryption Standard(AES)-Kryptografie mit 128 oder 256 Bit. Sie macht den Prozess resistent gegen Brute-Force-Angriffe. Einige Ransomware verwendet auch Public/Private-Key-Kryptografie wie Rivest-Shamir-Adleman (RSA).
Die Entwickler von Ransomware bauen eine Funktion ein, die den Benutzer daran hindert, die Anwendung zu entfernen, ohne vorher das geforderte Lösegeld zu bezahlen. Einige Hacker verwenden Bildschirmsperren, damit Benutzer nicht auf den Windows-Desktop zugreifen können. Da die zur Verschlüsselung der Dateien verwendeten Kryptografie-Librarys gesichert sind, bleiben die Daten trotz Entfernung der Malware verschlüsselt und damit unzugänglich.
Das FBI rät betroffenen Unternehmen dringend davon ab, das Lösegeld zu zahlen. Andere Experten berichten hingegen, dass die Zahlung des Lösegelds zur Entschlüsselung der Dateien geführt hat. Doch manchmal liefern die Angreifer den Entschlüsselungsschlüssel selbst nach der Zahlung des Lösegelds nicht. Das betroffene Unternehmen hat dann keine Dateien mehr und zusätzlich einen finanziellen Schaden. Sie können zwar die Ransomware entfernen, aber es ist unwahrscheinlich, dass Sie die Dateien ohne Zahlung des Lösegelds wiederherstellen können. Es sei denn, Sie verfügen über ein Backup.
Die meisten Anti-Malware-Anbieter haben Patches oder herunterladbare Lösungen, die Ransomware entfernen. Nachdem Sie die Malware entfernt haben, können Sie die Dateien aus einem Backup wiederherstellen. Sie können den Computer auch auf die Werkseinstellungen zurücksetzen. Mit der letztgenannten Lösung wird der Computer in den Zustand zurückgesetzt, in dem er sich befand, als Sie ihn gekauft haben. Sie müssten dann sämtliche Software von Drittanbietern neu installieren.
Den Angriffsablauf bzw. die Kill Chain von Ryuk erkannte die Sophos Group, ein britisches Sicherheitsunternehmen. Siehe das unten stehende Diagramm.
Sie können Geräte und Daten auf verschiedene Weise vor Ransomware schützen. Da eine Infektion in der Regel mit einer bösartigen E-Mail-Nachricht beginnt, sollten Sie mit einer Lösung für Anti-Malware-Cybersicherheit beginnen, die eingehende Nachrichten auf verdächtige Links oder Anhänge scannt. Wenn solche gefunden werden, stellen Sie die Nachrichten unter Quarantäne, damit sie nicht in die Posteingänge der Benutzer gelangen.
Auch Content Filtering im Netzwerk ist eine wirksame Maßnahme. Es hindert Benutzer daran, auf Websites zuzugreifen, die von Angreifern kontrolliert werden. In Kombination mit E-Mail-Filtern ist Content Filtering ein effektiver Weg, um Ransomware und die meisten Schadprogramme daran zu hindern, auf Ihr internes Netzwerk zuzugreifen.
Anti-Malware-Software sollte auf allen Netzwerkgeräten laufen, auch auf Smartphones. Anti-Malware hält Ransomware davon ab, Dateien zu verschlüsseln, und entfernt sie vom System, bevor es die Payload versendet. Wenn es im Unternehmen eine Bring-your-own-device(BYOD)-Richtlinie gibt, ist es wichtig, eine zugelassene Anti-Malware-Anwendung auf den Benutzergeräten einzusetzen.
Benutzerschulungen sind ein proaktiver Weg, um sich vor Ransomware zu schützen. Da Ransomware oft mit Phishing und Social Engineering beginnt, ist eine Schulung der Benutzer zur Erkennung von Angriffen eine gute Ergänzung zu anderen Anti-Malware-Maßnahmen. Die Kombination aus Schulungen und Anti-Malware-Systemen reduziert das Cybersicherheitsrisiko erheblich. Selbst wenn Anti-Malware-Systeme versagen, kommen Benutzer, die in der Erkennung eines Angriffs geschult sind, nicht in Versuchung, bösartige ausführbare Dateien auszuführen.
Noch immer sind Unternehmen von verschiedenen Arten von Ransomware betroffen, auch wenn die globale Bedrohung durch Malware allgemein gesenkt wurde. Ransomware hat das Ziel, Geld von Einzelpersonen oder Unternehmen zu erpressen, die keinen effektiven Schutz installiert haben.
Eine der ersten bekannten Ransomware-Anwendungen, die globale Auswirkungen hatte, war CryptoLocker. CryptoLocker zielte auf Windows-Rechner ab und war im Jahr 2014 weit verbreitet. Die Infektion begann in der Regel mit einer E-Mail und einem bösartigen Anhang. Die Software verschlüsselte dann wichtige Dateien mit asymmetrischer (RSA) Public/Private-Key-Verschlüsselung.
Ein Beispiel für Ransomware, die Social Engineering nutzt, ist Locky. Locky trat erstmals 2016 auf und begann mit einem bösartigen Word-Dokument, das an eine E-Mail angehängt war. Wenn Benutzer die Datei öffneten, sah der Inhalt verschlüsselt aus, mit Ausnahme einer Aufforderungsnachricht, Makros zu aktivieren. Nachdem die Benutzer die Makros aktiviert und die Datei erneut geöffnet hatten, wurde Locky ausgeführt.
Bad Rabbit ist ein Beispiel für Malware, die Benutzer freiwillig heruntergeladen haben. Sie wurde normalerweise verbreitet, indem sie vorgab, ein Update für Adobe Flash zu sein. Nachdem die Malware ausgeführt wurde, verschlüsselte sie die Dateien, und das System wurde neu gebootet. Bad Rabbit schränkte das Booten des Computers ein und zeigte stattdessen die Meldung an, dass zur Entschlüsselung der Dateien ein Lösegeld gezahlt werden müsse.
Die oben genannten Beispiele sind nur einige Ransomware-Versionen, die immer noch Unternehmen plagen. Ransomware-Entwickler kreieren immer wieder neue Wege, um Dateien gegen ein Lösegeld in Geiselhaft zu halten. Wenn Sie verstehen, wie Ransomware funktioniert, können Sie die richtigen Abwehrmaßnahmen ergreifen. Sie können Ransomware mit einer effektiven Anti-Malware-Lösung verhindern, mit Benutzerschulungen und mit E-Mail-Filtern, die bösartige Nachrichten blockieren.
Weiterführende Forschung
Weiterführende Artikel