Alles über Ransomware-Angriffe
Ransomware hat im Jahr 2021 für Schlagzeilen gesorgt und wird auch im Jahr 2022 für Schlagzeilen sorgen. Vielleicht haben Sie schon von Angriffen auf große Unternehmen, Organisationen oder Regierungsbehörden gehört, oder vielleicht haben Sie als Privatperson einen Ransomware-Angriff auf Ihrem eigenen Gerät erlebt.
Es ist ein großes Problem und eine beängstigende Aussicht, dass alle Ihre Dateien und Daten als Geiseln gehalten werden, bis Sie zahlen. Wenn Sie mehr über diese Bedrohung wissen möchten, lesen Sie weiter, um mehr über die verschiedenen Formen von Ransomware zu erfahren, wie Sie sie bekommen, woher sie kommt, auf wen sie abzielt und schließlich, was Sie tun können, um sich vor ihr zu schützen.
Was ist Ransomware?
Ransomware-Definition
Ransomware oder Lösegeld-Malware ist eine Art von Malware, die Benutzern den Zugriff auf ihr System oder ihre persönlichen Dateien verwehrt und die Zahlung eines Lösegelds verlangt, um den Zugriff wieder zu ermöglichen. Auch wenn manche Leute denken: "Ein Virus hat meinen Computer gesperrt", wird Ransomware normalerweise als eine andere Form von Malware als ein Virus eingestuft.
Die ersten Varianten von Ransomware wurden in den späten 1980er Jahren entwickelt, und die Zahlung erfolgte per Post. Heute verlangen die Ransomware-Autoren, dass die Zahlung per Kryptowährung oder Kreditkarte erfolgt, und die Angreifer haben es auf Privatpersonen, Unternehmen und Organisationen aller Art abgesehen. Einige Ransomware-Autoren verkaufen den Service an andere Cyberkriminelle, was als Ransomware-as-a-Service oder RaaS bekannt ist.
Ransomware-Angriffe
Wie genau führt ein Bedrohungsakteur einen Ransomware-Angriff aus? Zunächst müssen sie sich Zugang zu einem Gerät oder Netzwerk verschaffen. Wenn sie Zugang haben, können sie die Malware einsetzen, die zur Verschlüsselung oder Sperrung Ihres Geräts und Ihrer Daten erforderlich ist. Es gibt verschiedene Möglichkeiten, wie Ransomware Ihren Computer infizieren kann
Wie bekomme ich Ransomware?
- Malspam: Um sich Zugang zu verschaffen, verwenden einige Bedrohungsakteure Spam, bei dem sie eine E-Mail mit einem bösartigen Anhang an so viele Personen wie möglich senden, um zu sehen, wer den Anhang öffnet und sozusagen "den Köder schluckt". Bösartiger Spam oder Malspam ist eine unerwünschte E-Mail, die zur Verbreitung von Malware verwendet wird. Die E-Mail kann mit Sprengfallen versehene Anhänge wie PDFs oder Word-Dokumente enthalten. Sie kann auch Links zu bösartigen Websites enthalten.
- Malvertising: Eine weitere beliebte Infektionsmethode ist Malvertising. Unter Malvertising oder bösartiger Werbung versteht man die Nutzung von Online-Werbung zur Verbreitung von Malware, ohne dass eine Interaktion des Nutzers erforderlich ist. Beim Surfen im Internet, selbst auf seriösen Websites, können Benutzer zu kriminellen Servern geleitet werden, ohne jemals auf eine Anzeige zu klicken. Diese Server katalogisieren Details über die Computer der Opfer und deren Standorte und wählen dann die Malware aus, die am besten geeignet ist, um sie zu verbreiten. Bei dieser Malware handelt es sich häufig um Ransomware. Malvertising verwendet häufig einen infizierten Iframe oder ein unsichtbares Webseitenelement, um seine Arbeit zu verrichten. Der Iframe leitet zu einer Exploit-Landingpage weiter, und der bösartige Code greift das System von der Landingpage aus über ein Exploit-Kit an. All dies geschieht ohne das Wissen des Benutzers, weshalb es oft als Drive-by-herunterladen bezeichnet wird.
- Spear-Phishing: Ein gezielteres Mittel für einen Ransomware-Angriff istSpear-Phishing. Ein Beispiel für Spear-Phishing wäre das Versenden von E-Mails an Mitarbeiter eines bestimmten Unternehmens, in denen behauptet wird, dass der CEO Sie bittet, an einer wichtigen Mitarbeiterumfrage teilzunehmen, oder dass die Personalabteilung Sie auffordert, herunterladen eine neue Richtlinie zu lesen. Der Begriff "Whaling" wird verwendet, um solche Methoden zu beschreiben, die auf hochrangige Entscheidungsträger in einem Unternehmen abzielen, z. B. auf den CEO oder andere Führungskräfte.
- Social Engineering: Malspam, Malvertising und Spear-Phishing können Elemente des Social Engineering enthalten und tun dies auch häufig. Bedrohungsakteure können Social Engineering einsetzen, um Menschen dazu zu bringen, Anhänge zu öffnen oder auf Links zu klicken, indem sie sich als legitim ausgeben - sei es, indem sie den Anschein erwecken, von einer vertrauenswürdigen Institution oder einem Freund zu kommen. Cyberkriminelle setzen Social Engineering auch bei anderen Arten von Ransomware-Angriffen ein, z. B. wenn sie sich als das FBI ausgeben, um Benutzer zur Zahlung einer Geldsumme für die Freigabe ihrer Dateien zu bewegen. Ein weiteres Beispiel für Social Engineering wäre, wenn ein Bedrohungsakteur Informationen aus Ihren öffentlichen Social-Media-Profilen über Ihre Interessen, Orte, die Sie häufig besuchen, Ihren Beruf usw. sammelt und einige dieser Informationen verwendet, um Ihnen eine Nachricht zu senden, die Ihnen bekannt vorkommt, in der Hoffnung, dass Sie darauf klicken, bevor Sie merken, dass sie nicht legitim ist.
Dateien verschlüsseln und Lösegeld fordern
Unabhängig davon, welche Methode der Angreifer verwendet, sobald er sich Zugang verschafft hat und die Ransomware-Software (die in der Regel aktiviert wird, indem das Opfer auf einen Link klickt oder einen Anhang öffnet) Ihre Dateien oder Daten verschlüsselt, sodass Sie nicht mehr darauf zugreifen können, wird eine Nachricht angezeigt, in der eine Lösegeldzahlung zur Wiederherstellung der entwendeten Daten gefordert wird. Oft verlangen die Angreifer die Zahlung in Kryptowährung.
Arten von Ransomware
Zu den drei Haupttypen von Ransomware gehören Scareware, Screenlocker und verschlüsselnde Ransomware:
- Scareware: Wie sich herausstellt, ist Scareware gar nicht so unheimlich. Es handelt sich dabei um betrügerische Sicherheitssoftware und Betrügereien mit technischem Support. Möglicherweise erhalten Sie eine Popup-Meldung, in der behauptet wird, dass Malware entdeckt wurde und Sie diese nur durch eine Zahlung loswerden können. Wenn Sie nichts tun, werden Sie wahrscheinlich weiterhin mit Pop-ups bombardiert, aber Ihre Dateien sind im Grunde sicher. Ein seriöses Cybersicherheitsprogramm würde nicht auf diese Weise um Kunden werben. Wenn Sie die Software dieses Unternehmens noch nicht auf Ihrem Computer installiert haben, würde sie Sie nicht auf eine Ransomware-Infektion überwachen. Wenn Sie über eine Sicherheitssoftware verfügen, müssen Sie nicht dafür bezahlen, dass die Infektion entfernt wird - Sie haben bereits für die Software bezahlt, die genau diese Aufgabe übernimmt.
- Bildschirmsperren: Rüsten Sie für diese Typen auf Terroralarm orange auf. Wenn sich Ransomware mit Bildschirmsperre auf Ihrem Computer einnistet, bedeutet dies, dass Sie Ihren PC nicht mehr benutzen können. Wenn Sie Ihren Computer starten, erscheint ein Fenster in voller Größe, oft begleitet von einem offiziell aussehenden Siegel des FBI oder des US-Justizministeriums, das besagt, dass auf Ihrem Computer illegale Aktivitäten entdeckt wurden und Sie eine Geldstrafe zahlen müssen. Das FBI würde Sie jedoch nicht von Ihrem Computer aussperren oder eine Zahlung für illegale Aktivitäten verlangen. Wenn man Sie der Piraterie, der Kinderpornografie oder anderer Cyberverbrechen verdächtigt, würde man die entsprechenden rechtlichen Schritte einleiten.
- Verschlüsselnde Ransomware: Das ist die wirklich fiese Variante. Das sind die Typen, die sich Ihre Dateien schnappen, sie verschlüsseln und eine Zahlung verlangen, um sie zu entschlüsseln und wieder freizugeben. Der Grund, warum diese Art von Ransomware so gefährlich ist, liegt darin, dass keine Sicherheitssoftware oder Systemwiederherstellung Ihre Dateien wiederherstellen kann, sobald die Cyberkriminellen sie in die Hände bekommen haben. Es sei denn, Sie zahlen das Lösegeld - dann sind sie in den meisten Fällen weg. Und selbst wenn Sie das Lösegeld zahlen, gibt es keine Garantie, dass die Cyberkriminellen Ihnen die Dateien zurückgeben.
Mac Ransomware
Die Malware-Autoren von Mac haben 2016 die erste Ransomware für Mac Betriebssysteme auf den Markt gebracht, da sie sich nicht aus der Ransomware-Szene heraushalten wollten. Die Ransomware mit dem Namen KeRanger infizierte eine App namens Transmission, die beim Start bösartige Dateien kopierte, die drei Tage lang unbemerkt im Hintergrund liefen, bis sie explodierten und Dateien verschlüsselten. Glücklicherweise veröffentlichte Apples integriertes Anti-Malware-Programm XProtect kurz nach der Entdeckung der Ransomware ein Update, das die Infektion von Benutzersystemen durch die Ransomware verhindert. Dennoch ist die Ransomware Mac nicht mehr theoretisch.
Auf KeRanger folgten Findzip und MacRansom, die beide im Jahr 2017 entdeckt wurden. Vor kurzem, im Jahr 2020, gab es etwas, das wie Ransomware aussah(ThiefQuest, auch bekannt als EvilQuest), aber es stellte sich heraus, dass es sich tatsächlich um einen sogenannten "Wiper" handelte. Es gab vor, Ransomware zu sein, um die Tatsache zu verschleiern, dass es alle Ihre Daten exfiltrierte, und obwohl es Dateien verschlüsselte, gab es für die Benutzer nie eine Möglichkeit, sie zu entschlüsseln oder die Bande wegen Zahlungen zu kontaktieren.
Mobile Ransomware
Erst auf dem Höhepunkt der berüchtigten CryptoLocker- und anderer ähnlicher Familien im Jahr 2014 wurde Ransomware in großem Umfang auf mobilen Geräten eingesetzt. Mobile Ransomware zeigt in der Regel eine Meldung an, dass das Gerät aufgrund einer illegalen Aktivität gesperrt wurde. In der Nachricht heißt es, dass das Telefon erst nach Zahlung einer Gebühr entsperrt wird. Mobile Ransomware wird häufig über bösartige Apps verbreitet und erfordert, dass Sie das Telefon im abgesicherten Modus starten und die infizierte App löschen, um den Zugriff auf Ihr mobiles Gerät wiederherzustellen.
Auf wen haben es Ransomware-Autoren abgesehen?
Als Ransomware eingeführt wurde (und dann wieder eingeführt wurde), waren ihre ersten Opfer individuelle Systeme (also normale Menschen). Das volle Potenzial von Ransomware wurde den Cyberkriminellen jedoch erst bewusst, als sie die Software auch für Unternehmen einsetzten. Ransomware war bei Unternehmen so erfolgreich, da sie die Produktivität aufhielt und zu Daten- und Umsatzeinbußen führte, dass die Autoren die meisten ihrer Angriffe auf Unternehmen ausrichteten.
Ende 2016 handelte es sich bei 12,3 Prozent der weltweit in Unternehmen entdeckten Angriffe um Ransomware, während nur 1,8 Prozent der weltweit bei Verbrauchern entdeckten Angriffe Ransomware waren. Im Jahr 2017 hatten 35 Prozent der kleinen und mittleren Unternehmen einen Ransomware-Angriff erlebt. Bis zur globalen Pandemie im Jahr 2020 bleibt die Bedrohung bestehen: Ransomware-Banden griffen Krankenhäuser und medizinische Einrichtungen an und entwickelten neue Taktiken wie die "doppelte Erpressung", bei der die Angreifer mit der Drohung, sensible Daten preiszugeben, mehr Geld erpressen können als durch die Entschlüsselung der von ihnen verschlüsselten Computer. Einige Ransomware-Gruppen bieten ihre Dienste anderen an, indem sie ein Ransomware-as-a-Service- oder RaaS-Modell verwenden.
Ransomware-Bericht über kleine und mittlere Unternehmen.
Geografisch gesehen konzentrieren sich Ransomware-Angriffe nach wie vor auf westliche Märkte, wobei das Vereinigte Königreich, die USA und Kanada die drei wichtigsten Zielländer sind. Wie bei anderen Bedrohungsakteuren auch, folgen Ransomware-Autoren dem Geld und suchen daher nach Gebieten, in denen PCs weit verbreitet und relativ wohlhabend sind. Da die aufstrebenden Märkte in Asien und Südamerika ihr Wirtschaftswachstum beschleunigen, ist auch dort mit einer Zunahme von Ransomware (und anderen Formen von Malware) zu rechnen.
Wie kann ich Ransomware entfernen?
Es heißt, dass eine Unze Prävention mehr wert ist als ein Pfund Heilung. Dies trifft sicherlich zu, wenn es um Ransomware geht. Wenn ein Angreifer Ihr Gerät verschlüsselt und ein Lösegeld verlangt, gibt es keine Garantie, dass er es wieder entschlüsselt, egal ob Sie zahlen oder nicht.
Deshalb ist es wichtig, vorbereitet zu sein, bevor Sie von Ransomware befallen werden. Zwei wichtige Schritte sind zu unternehmen:
- Installieren Sie Sicherheitssoftware, bevor Sie von Ransomware befallen werden
- Sichern Sie Ihre wichtigen Daten (Dateien, Dokumente, Fotos, Videos usw.)
Wenn Sie von einer Ransomware-Infektion betroffen sind, lautet die oberste Regel: Zahlen Sie niemals das Lösegeld. (Dieser Ratschlag wird inzwischen auch vom FBI unterstützt.) Das ermutigt die Cyberkriminellen nur dazu, weitere Angriffe gegen Sie oder andere Personen zu starten.
Eine mögliche Option zum Entfernen von Ransomware besteht darin, dass Sie einige verschlüsselte Dateien mit Hilfe von kostenlosen Entschlüsselungsprogrammen wiederherstellen können. Um es klar zu sagen: Nicht für alle Ransomware-Familien wurden Entschlüsselungsprogramme entwickelt, da die Ransomware in vielen Fällen fortschrittliche und anspruchsvolle Verschlüsselungsalgorithmen verwendet.
Und selbst wenn es ein Entschlüsselungsprogramm gibt, ist nicht immer klar, ob es für die richtige Version der Malware ist. Sie möchten Ihre Dateien nicht noch weiter verschlüsseln, indem Sie das falsche Entschlüsselungsscript verwenden. Daher müssen Sie die Lösegeldnachricht selbst genau lesen oder vielleicht einen Sicherheits-/IT-Spezialisten um Rat fragen, bevor Sie etwas versuchen.
Eine andere Möglichkeit, eine Ransomware-Infektion zu bekämpfen, besteht darin, ein Sicherheitsprodukt herunterzuladen, das für die Beseitigung von Ransomware bekannt ist, und einen Scan durchzuführen, um die Bedrohung zu entfernen. Möglicherweise erhalten Sie Ihre Dateien nicht zurück, aber Sie können sicher sein, dass die Infektion beseitigt wird. Bei Ransomware, die den Bildschirm sperrt, ist möglicherweise eine vollständige Systemwiederherstellung erforderlich. Wenn das nicht funktioniert, können Sie versuchen, einen Scan von einer bootfähigen CD oder einem USB-Laufwerk auszuführen.
Wenn Sie versuchen wollen, eine verschlüsselnde Ransomware-Infektion zu vereiteln, müssen Sie besonders wachsam sein. Wenn Sie bemerken, dass Ihr System scheinbar grundlos langsamer wird, fahren Sie es herunter und trennen Sie es vom Internet. Wenn die Malware nach dem Neustart immer noch aktiv ist, kann sie keine Anweisungen vom Command-and-Control-Server senden oder empfangen. Das bedeutet, dass die Malware ohne einen Schlüssel oder eine Möglichkeit, Zahlungen zu extrahieren, untätig bleiben kann. Installieren Sie dann unter herunterladen ein Sicherheitsprodukt und führen Sie einen vollständigen Scan durch.
Diese Optionen zur Entfernung von Ransomware funktionieren jedoch nicht in allen Fällen. Wie bereits erwähnt, sollten Sie sich als Verbraucher proaktiv gegen Ransomware schützen, indem Sie Sicherheitssoftware wie Malwarebytes Premiuminstallieren und eine Sicherungskopie aller wichtigen Daten erstellen. Unternehmen sollten mehr über Malwarebytes erfahren, das Lösungen zur Erkennung, Vorbeugung und Wiederherstellung von Ransomware anbietet.
Wie kann ich mich vor Ransomware schützen?
Security Experten sind sich einig, dass der beste Schutz vor Ransomware darin besteht, sie von vornherein zu verhindern.
Lesen Sie, wie Sie eine Ransomware-Infektion am besten verhindern können.
Es gibt zwar Methoden, um eine Ransomware-Infektion zu bekämpfen, aber diese sind bestenfalls unvollkommene Lösungen und erfordern oft viel mehr technische Kenntnisse als der durchschnittliche Computernutzer. Daher empfehlen wir Folgendes, um die Folgen von Ransomware-Angriffen zu vermeiden.
Der erste Schritt zur Vorbeugung von Ransomware besteht darin, in eine hervorragende Cybersicherheit zu investieren - ein Programm mit Echtzeitschutz, das fortschrittliche Malware-Angriffe wie Ransomware abwehren kann. Außerdem sollten Sie nach Funktionen Ausschau halten, die sowohl anfällige Programme vor Bedrohungen schützen (eine Anti-Exploit-Technologie) als auch Ransomware daran hindern, Dateien als Geiseln zu nehmen (eine Anti-Ransomware-Komponente ). Kunden, die die Premium-Version von Malwarebytes für Windows nutzten, waren zum Beispiel vor allen großen Ransomware-Angriffen des Jahres 2017 geschützt.
Als Nächstes müssen Sie, so sehr es Sie auch schmerzen mag, regelmäßig sichere Backups Ihrer Daten erstellen. Wir empfehlen die Verwendung eines Cloud-Speichers, der über eine hochgradige Verschlüsselung und eine mehrstufige Authentifizierung verfügt. Sie können jedoch auch USB-Sticks oder eine externe Festplatte kaufen, auf denen Sie neue oder aktualisierte Dateien speichern können. Achten Sie nur darauf, die Geräte nach der Sicherung physisch vom Computer zu trennen, da sie sonst ebenfalls mit Ransomware infiziert werden können.
Stellen Sie dann sicher, dass Ihre Systeme und Software aktualisiert sind. Der WannaCry-Ransomware-Ausbruch nutzte eine Schwachstelle in der Microsoft-Software aus. Das Unternehmen hatte zwar bereits im März 2017 einen Patch für die Sicherheitslücke veröffentlicht, aber viele Leute haben das Update nicht installiert - und waren so anfällig für Angriffe. Wir wissen, dass es schwierig ist, den Überblick über eine ständig wachsende Liste von Updates für eine ständig wachsende Liste von Software und Anwendungen zu behalten, die Sie im Alltag verwenden. Deshalb empfehlen wir Ihnen, Ihre Einstellungen so zu ändern, dass automatische Aktualisierungen aktiviert werden.
Und schließlich: Bleiben Sie informiert. Eine der häufigsten Arten, wie Computer mit Ransomware infiziert werden, ist Social Engineering. Informieren Sie sich(und Ihre Mitarbeiter, wenn Sie Unternehmer sind), wie Sie Malspam, verdächtige Websites und andere Betrügereien erkennen können. Und vor allem sollten Sie Ihren gesunden Menschenverstand walten lassen. Wenn es verdächtig erscheint, ist es das wahrscheinlich auch.
Welche Auswirkungen hat Ransomware auf mein Unternehmen?
GandCrab, SamSam, WannaCry, NotPetya - sie alle sind verschiedene Arten von Ransomware und treffen Unternehmen hart. Tatsächlich stiegen die Ransomware-Angriffe auf Unternehmen in der zweiten Jahreshälfte 2018 um 88 %, da sich Cyberkriminelle von Angriffen auf Verbraucher abwenden. Cyberkriminelle haben erkannt, dass große Geschäfte auch große Gewinne bedeuten, und haben es auf Krankenhäuser, Regierungsbehörden und kommerzielle Einrichtungen abgesehen. Alles in allem belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung, einschließlich Behebung, Strafen und Ransomware-Auszahlungen, auf 3,86 Millionen US-Dollar.
Die Mehrzahl der Ransomware-Fälle in letzter Zeit wurde als GandCrab identifiziert. GandCrab wurde erstmals im Januar 2018 entdeckt und hat bereits mehrere Versionen durchlaufen, da die Autoren der Bedrohung ihre Ransomware schwieriger zu verteidigen machen und die Verschlüsselung verstärken. Schätzungen zufolge hat GandCrab bereits rund 300 Millionen US-Dollar an Lösegeldzahlungen eingenommen, wobei die einzelnen Lösegelder zwischen 600 und 700.000 US-Dollar liegen.
Bei einem weiteren bemerkenswerten Angriff im März 2018 legte die Ransomware SamSam die Stadt Atlanta lahm, indem sie mehrere wichtige städtische Dienste ausschaltete, darunter die Steuererhebung und das Aufzeichnungssystem der Polizei. Insgesamt kostete die Behebung des SamSam-Angriffs Atlanta 2,6 Millionen US-Dollar.
In Anbetracht der Flut von Ransomware-Angriffen und der enormen Kosten, die damit verbunden sind, ist jetzt ein guter Zeitpunkt, um Ihr Unternehmen vor Ransomware zu schützen. Wir haben das Thema bereits sehr ausführlich behandelt, aber hier ist eine kurze Zusammenfassung, wie Sie Ihr Unternehmen vor Malware schützen können.
- Sichern Sie Ihre Daten. Wenn Sie über Sicherungskopien verfügen, ist die Behebung eines Ransomware-Angriffs so einfach wie das Löschen und Neu-Imaging infizierter Systeme. Sie sollten Ihre Backups überprüfen, um sicherzustellen, dass sie nicht infiziert wurden, da einige Ransomware-Programme auf Netzwerkfreigaben abzielen. Dementsprechend tun Sie gut daran, Datensicherungen auf einem sicheren Cloud-Server mit hochgradiger Verschlüsselung und Multi-Faktor-Authentifizierung zu speichern.
- Patchen und aktualisieren Sie Ihre Software. Ransomware stützt sich häufig auf Exploit-Kits, um sich unerlaubt Zugang zu einem System oder Netzwerk zu verschaffen (z. B. GandCrab). Solange die Software in Ihrem Netzwerk auf dem neuesten Stand ist, können Ihnen Ransomware-Angriffe auf der Grundlage von Exploits nichts anhaben. Wenn Ihr Unternehmen mit veralteter oder überholter Software arbeitet, sind Sie dem Risiko von Ransomware ausgesetzt, da die Softwarehersteller keine Sicherheitsupdates mehr herausgeben. Beseitigen Sie Abandonware und ersetzen Sie sie durch Software, die noch vom Hersteller unterstützt wird.
- Klären Sie Ihre Endbenutzer über Malspam und die Erstellung sicherer Passwörter auf. Die geschäftstüchtigen Cyberkriminellen, die hinter Emotet stehen, nutzen den ehemaligen Banking-Trojaner als Transportmittel für Ransomware. Emotet ist auf Malspam angewiesen, um einen Endbenutzer zu infizieren und in Ihrem Netzwerk Fuß zu fassen. Sobald Emotet in Ihrem Netzwerk angekommen ist, verhält er sich wie ein Wurm und verbreitet sich mit Hilfe einer Liste gängiger Kennwörter von System zu System. Wenn Sie lernen, wie man Malspam erkennt, und eine Multi-Faktor-Authentifizierung einführen, sind Ihre Endbenutzer den Cyberkriminellen einen Schritt voraus.
- Investieren Sie in gute Cybersicherheitstechnologie. Malwarebytes Endpoint Detection and Response zum Beispiel bietet Ihnen Erkennungs-, Reaktions- und Abhilfemöglichkeiten über einen praktischen Agenten für Ihr gesamtes Netzwerk. Sie können auch eine kostenlose Testversion der Malwarebytes Anti-Ransomware-Technologie anfordern, um mehr über unsere Technologie zum Schutz vor Ransomware zu erfahren.
Was tun Sie, wenn Sie bereits Opfer von Ransomware geworden sind? Niemand möchte sich im Nachhinein mit Ransomware auseinandersetzen.
- Prüfen Sie, ob es ein Entschlüsselungsprogramm gibt. In einigen seltenen Fällen können Sie Ihre Daten entschlüsseln, ohne dafür zu bezahlen, aber Ransomware-Bedrohungen werden ständig weiterentwickelt, um die Entschlüsselung Ihrer Dateien immer schwieriger zu machen.
- Bezahlen Sie das Lösegeld nicht. Wir raten seit langem dazu, das Lösegeld nicht zu zahlen, und das FBI ist (nach einigem Hin und Her) derselben Meinung. Cyberkriminelle haben keine Skrupel, und es gibt keine Garantie dafür, dass Sie Ihre Dateien zurückbekommen. Außerdem zeigen Sie durch die Zahlung des Lösegelds den Cyberkriminellen, dass Ransomware-Angriffe funktionieren.
Geschichte der Ransomware-Angriffe
Die erste Ransomware, bekannt als PC Cyborg oder AIDS, wurde in den späten 1980er Jahren entwickelt. PC Cyborg verschlüsselte nach 90 Neustarts alle Dateien im Verzeichnis C: und verlangte dann, dass der Benutzer seine Lizenz erneuert, indem er 189 Dollar per Post an die PC Cyborg Corp. schickt. Die verwendete Verschlüsselung war einfach genug, um sie rückgängig zu machen, so dass sie für diejenigen, die sich mit Computern auskannten, kaum eine Gefahr darstellte.
In den nächsten 10 Jahren tauchten nur wenige Varianten auf, doch eine echte Ransomware-Bedrohung kam erst 2004 auf, als GpCode eine schwache RSA-Verschlüsselung nutzte, um Lösegeld für persönliche Dateien zu verlangen.
Im Jahr 2007 läutete WinLock den Aufstieg einer neuen Art von Ransomware ein, die nicht nur Dateien verschlüsselte, sondern auch den Zugriff auf die Desktops der Anwender sperrte. WinLock übernahm den Bildschirm des Opfers und zeigte pornografische Bilder an. Dann verlangte es eine Zahlung über eine kostenpflichtige SMS, um die Bilder zu entfernen.
Mit der Entwicklung der Ransomware-Familie Reveton im Jahr 2012 kam eine neue Form von Ransomware auf: Ransomware für Strafverfolgungsbehörden. Die Opfer wurden von ihrem Desktop ausgesperrt und bekamen eine offiziell aussehende Seite angezeigt, die Anmeldedaten von Strafverfolgungsbehörden wie dem FBI und Interpol enthielt. Die Ransomware behauptet, dass der Benutzer ein Verbrechen begangen hat, wie z. B. Computer-Hacking, das Herunterladen illegaler Dateien oder sogar die Beteiligung an Kinderpornografie. Die meisten Ransomware-Familien der Strafverfolgungsbehörden verlangten eine Geldstrafe zwischen 100 und 3.000 US-Dollar, die mit einer Prepaid-Karte wie UKash oder PaySafeCard bezahlt werden sollte.
Der Durchschnittsnutzer wusste nicht, was er davon halten sollte und glaubte, dass die Strafverfolgungsbehörden tatsächlich gegen ihn ermittelten. Diese Social-Engineering-Taktik, die heute als "implizite Schuld" bezeichnet wird, führt dazu, dass der Nutzer seine eigene Unschuld in Frage stellt und lieber das Lösegeld zahlt, um die Sache aus der Welt zu schaffen, als dass er auf eine Aktivität hingewiesen wird, auf die er nicht stolz ist.
Im Jahr 2013 führte CryptoLocker die Welt erneut in die Welt der verschlüsselnden Ransomware ein - nur dieses Mal war sie weitaus gefährlicher. CryptoLocker verwendete eine militärische Verschlüsselung und speicherte den zum Entsperren der Dateien erforderlichen Schlüssel auf einem Remote-Server. Dies bedeutete, dass es für die Benutzer praktisch unmöglich war, ihre Daten ohne Zahlung des Lösegelds zurückzubekommen.
Diese Art von verschlüsselnder Ransomware wird auch heute noch verwendet, da sie sich als unglaublich effektives Werkzeug für Cyberkriminelle erwiesen hat, um Geld zu verdienen. Groß angelegte Ausbrüche von Ransomware wie WannaCry im Mai 2017 und Petya im Juni 2017 nutzten verschlüsselnde Ransomware, um Nutzer und Unternehmen auf der ganzen Welt zu umgarnen.
Ende 2018 tauchte Ryuk in der Ransomware-Szene mit einer Reihe von Angriffen auf amerikanische Nachrichtenpublikationen und die Onslow Water and Sewer Authority in North Carolina auf. Interessanterweise wurden die betroffenen Systeme zunächst mit Emotet oder TrickBot infiziert, zwei Trojanern, die Informationen stehlen und nun auch für andere Formen von Malware wie beispielsweise Ryuk verwendet werden. Der Direktor von Malwarebytes Labs , Adam Kujawa, vermutet, dass Emotet und TrickBot eingesetzt werden, um hochrangige Ziele zu finden. Sobald ein System infiziert und als gutes Ziel für Ransomware markiert ist, infiziert Emotet/TrickBot das System erneut mit Ryuk.
Im Jahr 2019 haben die Kriminellen, die hinter der Sodinokibi-Ransomware (einem mutmaßlichen Ableger von GandCrab) stecken, damit begonnen, Managed Service Provider (MSP) zu nutzen, um Infektionen zu verbreiten. Im August 2019 stellten Hunderte von Zahnarztpraxen im ganzen Land fest, dass sie nicht mehr auf ihre Patientendaten zugreifen konnten. Die Angreifer nutzten einen kompromittierten MSP, in diesem Fall ein Unternehmen für medizinische Aufzeichnungssoftware, um mehr als 400 Zahnarztpraxen, die die Aufzeichnungssoftware nutzen, direkt zu infizieren.
Ebenfalls im Jahr 2019 entdeckte Malwarebytes die Maze-Familie von Ransomware. Laut Malwarebytes' 2021 State of Malware Report "ging Maze über die Geiselnahme von Daten hinaus - es enthielt eine zusätzliche Drohung, die gestohlenen Daten öffentlich zu veröffentlichen, wenn das Lösegeld nicht bezahlt wurde." Eine weitere Ransomware-Gang, die im selben Jahr erstmals auftauchte, ist REvil, auch bekannt als "Sodin" oder "Sodinokibi". REvil ist eine ausgeklügelte Ransomware-Bande, die ein Ransomware-as-a-Service (RaaS)-Modell nutzt, um ihre Software an andere zu verkaufen, die sie für Ransomware-Angriffe nutzen wollen.
Im Jahr 2020 trat eine weitere neue Ransomware-Familie namens Egregor auf den Plan. Man geht davon aus, dass es sich um eine Art Nachfolger der Maze-Ransomware-Familie handelt, da viele der Cyberkriminellen, die mit Maze gearbeitet haben, zu Egregor gewechselt sind. Ähnlich wie Maze verwendet Egregor einen "doppelten Erpressungsangriff", bei dem sowohl Dateien verschlüsselt als auch Daten des Opfers gestohlen werden, mit deren Veröffentlichung im Internet gedroht wird, falls das Lösegeld nicht gezahlt wird.
Ransomware-Angriffe auf Privatpersonen sind zwar schon seit einigen Jahren ein Problem, doch im Jahr 2021 haben Ransomware-Angriffe auf Unternehmen, Krankenhäuser und Gesundheitssysteme, Schulen und Schulbezirke, Kommunalverwaltungen und andere Organisationen für Schlagzeilen gesorgt. Von Colonial Pipeline über den großen Fleischverarbeiter JBS bis hin zu Steamship Authority, dem größten Fährdienst in Massachusetts, haben Ransomware-Angreifer gezeigt, dass sie in der Lage und willens sind, große Unternehmen zu stören, die alltägliche Güter wie Benzin, Lebensmittel und Transportmittel liefern.
Das ganze Jahr 2021 hindurch gab es eine Schlagzeile nach der anderen über große Ransomware-Angriffe auf große Unternehmen und Organisationen (viele davon finden Sie im Abschnitt Nachrichten oben). Mitte des Jahres erklärte die US-Regierung, dass Ransomware wie Terrorismus untersucht werden sollte, und richtete die Website StopRansomware.gov ein, um Informationen zum Stoppen und Überleben von Ransomware-Angriffen zu sammeln.
Was werden die Jahre 2021 und 2022 für die Ransomware-Bedrohungslandschaft bringen? Wir wissen es zwar nicht, aber wir werden Sie auf dem Laufenden halten. Besuchen Sie diese Seite für künftige Updates, und folgen Sie dem BlogMalwarebytes Labs für die neuesten Nachrichten zur Cybersicherheit.