Von einzelnen Nutzern bis hin zu millionenschweren Unternehmen ist jeder, der eine Online-Verbindung hat, dem Risiko von Ransomware-Angriffen ausgesetzt. Besonders beunruhigend für professionelle Organisationen ist die Tatsache, dass böswillige Diebe eine erhebliche Bedrohung für Daten darstellen und den Betrieb vorübergehend - oder dauerhaft - lahmlegen können.
Wenn Sie verstehen, wie diese Angriffe ablaufen, können IT-Manager und Verantwortliche für digitale Sicherheit Strategien zur Prävention, zum Schutz von Datendateien und zur Wiederherstellung von Ransomware für ihre täglichen Abläufe umsetzen. Mit der richtigen Planung und den richtigen Tools können Unternehmen jeder Größe einen Ransomware-Angriff mit minimalem Datenverlust überstehen - und ohne ein finanzielles Lösegeld zu zahlen.
Ransomware-Infiltrationstechniken
Cyberkriminelle können unglaublich kreativ sein, aber sie verwenden in der Regel ein paar gängige Methoden, um Ransomware-Angriffe zu starten. Phishing-E-Mails sind eine Standardmethode, bei der beschädigte Anhänge verwendet werden. Wenn ein Mitarbeiter den Anhang öffnet, wird eine Software heruntergeladen, die in die Systeme des Unternehmens eindringt und es dem Absender ermöglicht, Ransomware zu installieren, wann immer er will.
Bösartige URLs funktionieren ganz ähnlich. Sie sind oft so getarnt, als kämen sie von seriösen Unternehmen und führen die Benutzer auf "gefälschte" Seiten, die wie seriöse Websites aussehen. Die Benutzer werden möglicherweise aufgefordert, ihre Anmeldedaten einzugeben, wodurch die Ransomware-Täter sofort Zugriff auf ihre Konten erhalten.
Internetnutzer, die auf der Suche nach Schnäppchen sind, können auf diesen gefälschten Seiten landen, wenn sie nach Möglichkeiten suchen, verschiedene Apps und andere Waren zu vergünstigten Preisen herunterzuladen. Nicht lizenzierte Software erhält keine Updates vom Entwickler, was sie anfällig für Ransomware-Angriffe macht. Außerdem können Anhänge, die Benutzer von raubkopierter Software herunterladen, das Material enthalten, das einen Angriff möglich macht.
Wechseldatenträger sind eine weitere Methode, die häufig von Ransomware-Angreifern verwendet wird. Die Kriminellen platzieren infiziertes Material auf einem USB-Laufwerk, das, wenn es an einen Computer angeschlossen wird, diesen und andere Computer im Netzwerk infiziert und infiltriert.
Aufgrund der Vielfalt der Angriffsmethoden ist Wachsamkeit von entscheidender Bedeutung. Die Schulung von Mitarbeitern ist eine der effektivsten Möglichkeiten, sich vor Ransomware zu schützen. Die Mitarbeiter sollten lernen, Ransomware-Angriffe zu erkennen, verdächtiges Verhalten zu erkennen und Korrekturprotokolle zu befolgen, wenn sie einen Angriff vermuten oder entdecken.
Ransomware-Verschlüsselungsmechanismen
Ein Teil der Funktionsweise von Ransomware besteht darin, dass Dateien verschlüsselt werden, so dass Benutzer nicht auf ihre Daten zugreifen können. Der Name Ransomware kommt daher, dass die Daten verschlüsselt sind und erst nach Zahlung eines Lösegelds freigegeben werden. Cyberkriminelle verwenden häufig entweder symmetrische oder asymmetrische Verschlüsselungsalgorithmen. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel für die Ver- und Entschlüsselung verwendet, während bei der asymmetrischen Verschlüsselung ein Schlüsselpaar verwendet wird: ein öffentlicher Schlüssel für die Verschlüsselung und ein privater Schlüssel für die Entschlüsselung.
Bei der symmetrischen Verschlüsselung verwenden Angreifer einen Zufallsschlüssel, um alle Dateien auf dem System eines Benutzers schnell zu verschlüsseln. Sobald die Daten des Benutzers kompromittiert sind, verlangt der Angreifer die Zahlung eines Lösegelds. Wenn das Opfer die Zahlung leistet, gibt der Angreifer den symmetrischen Schlüssel weiter, um die Dateien zu entschlüsseln. Dies setzt natürlich voraus, dass die Kriminellen beim Wort genommen werden können - eine potenziell kostspielige Annahme. Die symmetrische Verschlüsselung ist schnell und effizient und wirkt sich oft auf große Datenmengen aus, bevor sie bemerkt werden. Sie beruht auf der Geheimhaltung des symmetrischen Schlüssels, denn wenn der Benutzer den Schlüssel herausfindet, bevor er das Lösegeld bezahlt, kann er ihn zur Entschlüsselung seiner Dateien verwenden.
Bei der asymmetrischen Verschlüsselung wird der symmetrische Schlüssel sicher zwischen dem Angreifer und dem Opfer ausgetauscht. Der Angreifer erzeugt ein Paar aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird für die Verschlüsselung verwendet. Der verschlüsselte symmetrische Schlüssel wird dem Opfer zusammen mit einer Lösegeldforderung zugesandt. Das Opfer kann den symmetrischen Schlüssel nicht ohne den entsprechenden privaten Schlüssel entschlüsseln. Sobald das Lösegeld gezahlt ist, sendet der Angreifer den privaten Schlüssel an das Opfer, so dass es alle seine Daten entschlüsseln kann. Bei der asymmetrischen Verschlüsselung kann nur der Inhaber des privaten Schlüssels den symmetrischen Schlüssel entschlüsseln und die Dateien entsperren, wodurch der symmetrische Schlüssel während des Verhandlungsprozesses geschützt ist.
Beide Methoden haben das gleiche Problem: Als Opfer möchten Sie die Zahlung des Lösegelds vermeiden und gleichzeitig Ihre Daten wiederherstellen. Die Art der Verschlüsselung, die ein Cyberkrimineller verwendet, wirkt sich direkt auf die Leichtigkeit aus, mit der die Daten wiederhergestellt werden können. Da es sich aber um Kriminelle handelt, ist leider auch die Zahlung des Lösegelds keine Garantie dafür, dass die Daten wiederhergestellt werden.
Kriminelle Kommunikationskanäle
Wie können Cyberkriminelle so lange unerkannt operieren? Viele von ihnen verwenden TOR, ein kostenloses Softwareprogramm, das die IP-Adresse eines Benutzers verbirgt. Mit TOR können Nutzer gestohlene Daten gegen illegale Waren wie Hacking-Tools, Ransomware-Tools und sogar Informationen über Unternehmen austauschen.
Da TOR Websites daran hindert, den physischen Standort der IP-Adresse eines Nutzers zu verfolgen, ist es für Strafverfolgungs- und Regierungsbehörden praktisch unmöglich - oder zumindest kostspielig -, die für die Straftaten verantwortlichen Personen aufzuspüren.
Lösegeld-Zahlungsmethoden
Zwar ist jeder Cyberkriminelle anders, doch um unentdeckt zu bleiben, verlangen die meisten Zahlungen in Kryptowährungen wie Bitcoin, Ethereum und Dogecoin. Die Anonymität dieser Zahlungen macht die Zahlung von Ransomware für die Opfer relativ einfach und für die Angreifer risikofrei. Einige Unternehmen haben sich mit der Realität von Ransomware-Angriffen abgefunden und halten sogar Bitcoin-Lösegeld für den Fall eines Angriffs bereit.
Auswirkungen und Folgen von Ransomware
Nachdem wir uns nun damit beschäftigt haben, wie Angriffe unentdeckt bleiben können, bis sie ausgelöst werden, wollen wir uns nun genauer ansehen, ob betroffene Unternehmen nach einem Angriff das Lösegeld zahlen sollten.
Die Zahlung eines Lösegelds wirft rechtliche, ethische und praktische Fragen auf. Einige Lösegelder sind unter bestimmten Umständen illegal, z. B. wenn gegen den Angreifer Wirtschaftssanktionen verhängt wurden oder wenn die Zahlung als Unterstützung für terroristische Aktivitäten erscheint.
Die Entscheidung, ob man ein Lösegeld zahlen soll oder nicht, ist eine schwierige Entscheidung. Glücklicherweise hat Panzura herausgefunden, wie man Ransomware komplett unwirksam macht und Unternehmen und Nutzer davor bewahrt, diese Entscheidung jemals wieder treffen zu müssen.