Schutz vor Ransomware Was ist Ransomware?

Anbieter zum Thema

FAST LTA GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Mit Ransomware verschlüsseln Cyberkriminelle Daten und fordern für die Freigabe ein Lösegeld. Bekannte Ran­som­ware sind Petya, CryptoLocker, WannaCry oder Locky. So schützen Sie sich vor Ransomware-Angriffen.

Ransomware ist eine Schadsoftware, mit der Kriminelle Daten ver­schlüs­seln und für die Frei­gabe ein Lösegeld fordern. Der Begriff Ransomware leitet sich vom englischen Wort „ransom“ ab und bedeutet Lösegeld. Bei einem Ransomware-Angriff blockieren Cyberkriminelle Systeme oder Daten. Danach fordern sie Anwender auf, ein Lösegeld zu zahlen, um die Blockade auf­zu­heben. Da die Schadprogramme häufig Daten auf einem Computer oder Netzwerk ver­schlüs­seln, wird Ransomware auch Kryptotrojaner oder Verschlüsselungstrojaner genannt. Von der Malware können unterschiedlichste Betriebssysteme wie Windows, Linux, macOS oder Android und Hardwareplattformen wie Server, PCs, Tablets oder Smartphones betroffen sein.

Objektspeicher als Antwort auf Ransomware

Lehren aus WannaCry und Petya

Im geschäftlichen Umfeld sind Ransomware-Angriffe bekannt, bei denen große Summen gezahlt wurden, um Systeme oder Daten wieder zu nutzen. Eine übliche Zahlungs­methode für Kryptotrojaner ist Bitcoin, da sich die Zahlungen mit der virtuellen Währ­ung nicht nachverfolgen lassen. Bekannte Beispiele von Ver­schlüs­selungs­trojanern sind Petya, WannaCry, CryptoLocker oder Locky.

Wie infiziert man sich mit Ransomware?

Die Infizierung mit Ransomware erfolgt auf ähnliche Weise wie mit anderen Schad­pro­gram­men. Häufige Infizierungswege sind per E-Mail-Anhang, über infizierte Websites, per Download infizierter Software oder über präparierte Datenträger wie USB-Sticks und Speicher­karten. Hierbei spricht man von Phishing-Angriffen. Aktuelle Virenscanner erkennen zahlreiche Varianten der Verschlüsselungstrojaner und verhindern eine Infizierung. Hat sich die Schad­software auf einem Rechner eingenistet, sind einige der Schadprogramme in der Lage, sich in den Netzwerken als Computerwürmer über nicht geschlossene Sicherheitslücken weiter­zu­verbreiten.

Über 30 Jahre Evolution von Ransomware

Die Entwicklung der Ransomware

Wie läuft ein Ransomware-Angriff ab?

Ransomware-Angriffe folgen heute meist einem professionellen, mehrstufigen Ablauf. Hinter ihnen stehen zunehmend organisierte Gruppen, die arbeitsteilig und skalierbar agieren – etwa im Rahmen sogenannter Ransomware-as-a-Service-Modelle (RaaS). Dabei stellen erfahrene Entwickler ihre Schadsoftware als Dienstleistung über Affiliate-Programme bereit. Cyber­krimi­nelle ohne eigenes technisches Know-how können so gegen Umsatzbeteiligung fertige Ran­som­ware-Kits inklusive Support, Anleitungen und Infrastruktur nutzen. Eine typische Ran­som­ware-Attacke verläuft in mehreren Phasen:

• 1. Initiale Infektion: Der Angreifer verschafft sich Zugang zum Netzwerk, zum Beispiel über Phishing-E-Mails, kompromittierte Websites, Drive-by-Downloads oder durch das Aus­nutzen ungepatchter Schwachstellen in VPN-Gateways oder Remote-Desktop-Protocol-Diensten.

• 2. Persistenz und Erkundung: Nach dem Erstzugang etablieren die Täter einen dauerhaften Zugriff, meist über Backdoors und analysieren die Umgebung. Sie wollen herausfinden, welche Systeme verwundbar sind, wo sensible Daten liegen und welche Nutzer weit­reichende Berechtigungen haben.

• 3. Laterale Bewegung: Durch Techniken wie Credential Dumping, Pass-the-Hash oder mithilfe von Tools wie PsExec und Cobalt Strike bewegen sich die Angreifer unauffällig durch das Netzwerk, eskalieren Rechte und infizieren weitere Systeme.

• 4. Datenexfiltration: In modernen Angriffskampagnen werden sensible Unternehmensdaten vor der Verschlüsselung kopiert, um zusätzlichen Druck auszuüben (Double Extortion). Diese Daten drohen die Täter im Darknet zu veröffentlichen. Bei besonders aggressiven Gruppen kommt es sogar zur Triple Extortion, bei der zusätzlich Kunden, Geschäftspartner oder betroffene Einzelpersonen öffentlich unter Druck gesetzt werden.

• 5. Verschlüsselung der Daten: Sobald die wichtigsten Systeme erreicht sind, beginnt die Verschlüsselung. Diese erfolgt oft automatisiert, koordiniert über zentrale C2-Server (Command & Control). Dabei werden auch Backups und Schattenkopien gezielt zerstört.

• 6. Lösegeldforderung: Die Angreifer hinterlassen auf allen Systemen eine Erpressungs­nachricht, meist als Textdatei. Sie fordern eine Zahlung – üblicherweise in Bitcoin oder Monero – und verweisen auf eine Kontaktplattform zur Kommunikation.

• 7. Verhandlung und Support: RaaS ist mittlerweile ein Geschäftsmodell. RaaS-Gruppen betreiben oft eigene Support-Seiten im Tor-Netzwerk. Opfer können dort mit den Tätern verhandeln, Zahlungsmodalitäten klären oder eine Entschlüsselungsprobe anfordern.

Zukunftsfähige Cybersicherheit

Fünf Schlüsselebenen der End-to-End-Resilienz

Was tun bei Ransomware?

Diese strukturierte Darstellung verdeutlicht: Ransomware ist längst kein isoliertes Malware-Problem mehr, sondern Ausdruck eines professionellen Cybercrime-Ökosystems mit indus­triel­lem Reifegrad. Unternehmen sollten daher in die Ransomware-Prävention inves­tieren. Aber dabei nicht nur auf technische Abwehrmaßnahmen setzen, sondern auch organi­sato­rische, juristische und kommunikative Reaktionsstrategien vorbereiten.

Darktrace Threat Report 2024

Erpresser nutzen Ransomware gezielter

• Nutzen Sie aktuelle Virensoftware

• Patchen Sie Ihre Systeme regelmäßig und schließen Sie kritische Sicherheitslücken zeitnah

• Sensibilisieren Sie Ihre Mitarbeitenden für aktuelle Angriffsmethoden wie Phishing und Social Engineering

• Erarbeiten Sie einen Notfall und einen Disaster-Recovery-Plan, vergessen Sie dabei nicht einen Plan für die Krisenkommunikation aufzustellen

• Aktivieren und konfigurieren Sie Firewalls sinnvoll und segmentieren Sie Ihr Netzwerk, um eine laterale Ausbreitung der Ransomware in Ihrem System zu verhindern

• Erstellen Sie regelmäßige, automatisierte Backups

• Bewahren Sie Backups physisch oder logisch getrennt auf

• Setzen Sie den Zero-Trust-Ansatz um und erzwingen Sie eine Authentifizierung jeder Anfrage, am besten mit einer Multifaktor-Authentifizierung

• Sichern Sie Remote-Zugriffe ab

• Implementieren Sie Monitoring und Anomalieerkennung mithilfe von SIEM-Systemen (Security Information and Event Management), Managed Detection and Response oder EDR- oder XDR-Lösungen (Endpoint / Extended Detection and Response)

• Führen Sie regelmäßig Penetrationstests oder Red-Teaming durch

Horrorszenario Ransomware-Attacke

Opfer eines Ransomware-Angriffs? Was sie jetzt tun sollten!

(ID:45634902)