Unternehmen und IT-Teams sollten sich mit dem typischen Ablauf eines Ransomware-Angriffs beschäftigen. Dieses Wissen hilft beim Aufbau der Verteidigung und Schadensbegrenzung.
Ransomware ist IT-Sicherheitsexperten schon seit fast drei Jahrzehnten ein Dorn im Auge, und es gibt keine Anzeichen dafür, dass sie wie von selbst von der Bildfläche verschwindet. Diese Form der Erpressung durch Datendiebstahl grassiert weiterhin in Unternehmen aller Arten und Größen.
Obwohl die Methoden und Taktiken von Ransomware in den letzten Jahren immer ausgefeilter geworden sind, folgt der typische Angriff immer noch einer konsistenten Abfolge von Schritten, die mit der Verbreitung von Malware beginnt und in der Erpressung gipfelt. Ein gründliches Verständnis des Lebenszyklus von Ransomware kann Sicherheitsteams einen wichtigen Einblick in die Verteidigung gegen solche Angriffe geben.
Der Lebenszyklus von Ransomware umfasst in der Regel die folgenden Phasen.
1. Verbreitung von und Infektion mit Schadsoftware
Um den Lebenszyklus von Ransomware zu initiieren, müssen die Betreiber Malware verbreiten, mit der sie auf die Daten eines Unternehmens zugreifen und diese schließlich als Geiseln nehmen können.
Die häufigste Methode zur Verbreitung von Ransomware ist die E-Mail - insbesondere präparierte angehängte Dokumente und eingebettete URLs in Phishing-E-Mails. Cyberkriminelle nutzen Social-Engineering-Taktiken, um diese E-Mails legitim erscheinen zu lassen. Wenn ein ahnungsloser Benutzer eine angehängte Datei herunterlädt und öffnet oder auf einen bösartigen Link klickt, wird der Prozess der Endpunktinfektion eingeleitet.
Weitere Verbreitungsmethoden für Ransomware sind die Ausnutzung ungepatchter Software-Schwachstellen, die Ausnutzung des Remote Desktop Protocol, der Diebstahl von Zugangsdaten, die Infektion von Wechseldatenträgern wie USB-Sticks und die Infektion mit raubkopierter Software.
2. Command and Control – die Steuerung
Sobald die Malware ein Zielgerät erfolgreich infiziert hat, beginnt sie in der Regel mit einem so genannten Command-and-Control-Server (C&C-Server) zu kommunizieren, der sich extern im Internet befindet. Dieser Server, der von Bedrohungsakteuren kontrolliert wird, ist für das Senden von Verschlüsselungsschlüsseln an das Zielgerät verantwortlich. Er kann auch zusätzliche Malware und Software zum Aufspüren von Netzwerken herunterladen, um die Entdeckung und das Eindringen in die nächste Phase des Angriffs zu erleichtern.
Die Zeit zwischen der ersten Infektionsphase und der Befehls- und Kontrollphase variiert. In einigen Fällen verzögern die Betreiber absichtlich die erste Kommunikation der Malware mit dem C&C-Server, um die Aufmerksamkeit von Malware-Präventionstools nicht zu erregen.
3. Erkundung und seitliche Bewegung
In einem ausgeklügelten Ransomware-Lebenszyklus beginnt ein kompromittiertes Gerät damit, unauffällig auf andere Ziele zuzugreifen, um die Infektion zu verbreiten. In dieser Phase sammeln die Angreifer Informationen über die IT-Umgebung und darüber, wie sie diese am besten angreifen können. In dieser Phase infiltrieren sie weitere Geräte und versuchen, ihre Zugriffsrechte zu erhöhen, um Zugriff auf die wertvollsten digitalen Ressourcen des Netzwerks zu erhalten. Je weiter sich die Malware ausbreitet, desto effektiver werden die Erpressungsversuche der Angreifer sein.
Ein gründliches Verständnis des Lebenszyklus von Ransomware kann Sicherheitsteams einen wichtigen Einblick in die Verteidigung gegen solche Angriffe geben.
Um sich seitlich zu bewegen und die Rechte zu erweitern, nutzen Angreifer oft gestohlene Zugangsdaten, Softwareschwachstellen und Fehlkonfigurationen im Netzwerk. Diese Phase der Ransomware-Kill-Chain kann Monate dauern, da die Angreifer versuchen, dauerhaft Fuß zu fassen und Zugang zu wichtigen Ressourcen zu erhalten, ohne ihre Anwesenheit zu verraten.
4. Datendiebstahl und Dateiverschlüsselung
Unter Verwendung des C&C-Servers als Dateispeicher scannen die Angreifer infizierte Geräte und laden alle Daten hoch, die sie für wertvoll halten. Wie in der Erkundungs- und Ausweitungsphase könnten Ransomware-Betreiber die Datenexfiltration langsam und über einen Zeitraum von Wochen oder Monaten durchführen, um nicht durch ungewöhnliche Netzwerkaktivitäten aufzufallen.
Wenn die Datenexfiltration abgeschlossen ist, verschlüsselt die Ransomware die lokalen Daten auf den Zielgeräten mit den vom C&C-Server bereitgestellten Schlüsseln.
5. Erpressung
Sobald die Malware die Dateien auf den Zielgeräten verschlüsselt hat, beginnt der Erpressungsprozess. Zu diesem Zeitpunkt sehen die Benutzer in der Regel eine Nachricht mit den folgenden Informationen:
Benachrichtigung über die Infektion.
Der Geldbetrag, den die Kriminellen im Austausch für den Entschlüsselungsschlüssel verlangen.
Anweisungen zur Zahlungsabwicklung.
Ein Countdown-Timer, der anzeigt, wie viel Zeit dem Benutzer oder dem Unternehmen zur Zahlung bleibt, bevor die Daten endgültig verloren gehen oder der Lösegeldbetrag steigt.
Wenn die Cyberkriminellen Dateien auf den C&C-Server hochgeladen haben, können sie auch damit drohen, die Daten öffentlich zu veröffentlichen - eine Taktik, die als Ransomware mit doppelter Erpressung bekannt ist. Bei Ransomware mit dreifacher Erpressung kommt ein drittes Element hinzu, zum Beispiel ein DDoS-Angriff oder die parallele Erpressung von Kunden oder Partnern des Unternehmens.
6. Bewältigung der Situation
Sobald das Sicherheitsteam von einem aktiven Ransomware-Angriff erfährt, muss es schnell handeln, um die Infektion zu isolieren, indem es alle betroffenen Geräte abtrennt und herunterfährt. Je nach Raffinesse des Angriffs könnte die Ransomware bereits seit vielen Monaten in der IT-Umgebung lauern und sich dort verbreiten.
An diesem Punkt hat ein Unternehmen oft nur noch begrenzte Möglichkeiten. In einem idealen Szenario ermöglichen Offline-Backups und ein Ransomware-Wiederherstellungsplan die Wiederherstellung wichtiger Daten und die Wiederaufnahme des Geschäftsbetriebs, ohne dass die Angreifer aktiv werden müssen.
Unternehmen müssen auch stets beachten, dass die Zahlung eines Lösegeldes keine Garantie dafür ist, dass ein Unternehmen alle - oder überhaupt keine - seiner Daten zurückerhält. Zudem sollten betroffene Unternehmen prüfen, welche Meldepflichten für diesen Fall greifen und mit den entsprechenden Behörden Kontakt aufnehmen.
Wie man sich vor Ransomware schützen kann
Ein Unternehmen vor Ransomware zu schützen, ist keine leichte Aufgabe. Es erfordert eine umfassende Cybersicherheit, die mit grundlegenden Sicherheitsmaßnahmen auf Unternehmensebene beginnt, darunter Firewalls, Intrusion-Prevention-Systeme, externe Backups und mehrstufige Authentifizierung.
Fortgeschrittene Sicherheitstools und -techniken können das Risiko eines Eindringens erheblich verringern und die Chancen erhöhen, einen Ransomware-Angriff aufzudecken und zu unterbrechen, wenn er bereits im Gange ist. Folgende Punkte sollten beachtet werden:
Automatisierte Patch-Verwaltung. Malware nutzt häufig ungepatchte Schwachstellen im Betriebssystem oder in den Anwendungen eines Geräts aus. Tools zur Patch-Verwaltung, die bekannte Sicherheitslücken automatisch beheben, können die Wahrscheinlichkeit eines Ransomware-Angriffs drastisch verringern.
Antimalware- und Antiviren-Software. Antimalware- und Antiviren-Software helfen bei der Erkennung und dem Schutz vor bekannten Ransomware-Varianten. Wenn diese Tools auf Geräten und in E-Mail-Anwendungen installiert sind, unterbrechen sie die Kommunikation mit bekannten bösartigen Domänen und verhindern die Installation von erkennbarer Malware.
Software zur Erkennung von Anomalien. KI-basierte Funktionen zur Erkennung von Anomalien, wie sie in Software zur Analyse des Nutzerverhaltens enthalten sind, scannen kontinuierlich den Netzwerkverkehr, um verdächtige Aktivitäten zu erkennen. Wenn ein Ransomware-Eindringen bestätigt wird, kann das Sicherheitsteam infizierte Geräte unter Quarantäne stellen, um weitere Seitwärtsbewegungen und Infektionen zu verhindern.
Mikrosegmentierung des Netzwerks. Mit der Mikrosegmentierung können IT-Teams seitliche Bewegungen einschränken. Die logische Trennung von Netzwerken in granulare Teilnetze, die jeweils über maßgeschneiderte Zugriffskontrollregeln verfügen, verhindert die Ausbreitung von Malware-Infektionen.
Und schließlich, und das ist das Wichtigste, sollten Unternehmen jedem Mitarbeiter eine gründliche und kontinuierliche Schulung zum Thema Cybersicherheit anbieten. Selbst in IT-Umgebungen mit den richtigen Sicherheitstools erreichen Ransomware-Versuche zweifellos immer noch Endnutzer. Bedrohungsakteure versuchen Anwender zur Ausführung von Schadsoftware zu verleiten. Je besser Nutzer geschult sind, desto höher ist die Chance, dass sie diese Angriffe und Versuche erkennen.
