Roman - stock.adobe.com

Tipp

Ransomware: Typische Angriffswege und Schutzmaßnahmen

Der gezielte Schutz eines Unternehmens vor Ransomware-Attacken über die gängigen Angriffswege kann den entscheidenden Unterschied für die eigene Sicherheitslage machen.

von
Zuletzt aktualisiert:23 Mai 2025

Die Bedrohung Ransomware tritt nahezu überall auf, auch in sehr sensiblen Bereichen. Die Palette der ins Visier genommenen Ziele reicht heute von Krankenhäusern bis zu Energieversorgern über Unternehmen mit Produktionsumgebungen. Jede Unternehmensgröße und Branche sind von dieser Bedrohung betroffen.

Aber wie konnte eine Ransomware auf die Systeme der Opfer gelangen? Der Schlüssel zum Schutz vor erpresserischer Malware ist, sich darüber klar zu werden, wie sie sich einschleichen kann. Nur wenn Sie die wichtigsten Angriffswege kennen, über die Ransomware in Ihre IT-Infrastruktur eindringt, wissen Sie auch, welche Maßnahmen und Schritte Sie zu ihrer Abwehr ergreifen können.

Grund genug, sich diese gängigen Angriffsvektoren für Ransomware genauer anzusehen und wie man sie am besten absichern kann, um Infektionen zu verhindern.

1. Social Engineering und Phishing

Phishing, die wohl bekannteste Form des Social Engineering, ist und bleibt der Angriffsweg Nummer Eins für alle Arten von Malware und damit auch für Ransomware. Der Grund dafür ist, dass die Methode nach wie vor einfach gut und erfolgreich funktioniert. Cyberkriminelle konzentrieren sich zudem auf Angriffe per E-Mail, da diese direkt in den Posteingang der Mitarbeitenden eines Unternehmens gelangen. Meist werden E-Mails auf einem Arbeitsplatzrechner und innerhalb des Firmennetzes aufgerufen. Das bedeutet für den Angreifer, dass seine verseuchten Nachrichten, wenn sie geöffnet werden, bereits ein für ihn wertvolles Ziel erreicht haben.

Phishing-Nachrichten können auf vielerlei Arten getarnt und an aktuelle Geschehnisse angepasst werden. Breit gestreute Attacken orientieren sie sich an Themen, für die sich derzeit viele Empfänger interessieren. So versprechen etwa E-Mails, die eine Steuerrückzahlung ankündigen, einen besonders großen Erfolg zu haben, wenn der Empfänger vorher seine Steuererklärung abgegeben hat. Anwender in Unternehmen werden aber meist viel gezielter angegangen, mit sehr persönlich gestalteten Nachrichten, die auf Anhieb nicht als Angriff zu erkennen sind – Stichwort Spear Phishing.

Nachdem eine manipulierte E-Mail aber erst einmal den Empfänger erreicht hat, ist nur noch ein kleiner Klick auf die angehängte Anlage oder einen enthaltenen Link nötig, um einen Dropper auf dem PC des Ziels einzuschleusen. Dieser spezielle Schadcode lädt danach die eigentliche Ransomware herunter und richtet sie heimlich auf dem Computer ein.

Andere Social Engineering-Methoden, mit denen Benutzer zum Herunterladen von Malware verleitet werden, sind Smishing (Text- oder SMS-Phishing), Vishing (Voice-Phishing über das Telefon) und Spear Phishing (gezielte Phishing-Angriffe).

Wie man sich vor Phishing und Social Engineering schützt

Die Security Awareness – also das Sicherheitsbewusstsein – wird mancherorts immer noch nicht genügend ernst genommen. Eine sorgfältig geschulte und auf Sicherheitsgefahren vorbereitete Belegschaft zählt aber zu den effektivsten Schutzmaßnahmen. Anstatt die Mitarbeiter wegen eines fehlgeleiteten Klicks an den Pranger zu stellen, sollte vorbildliches Verhalten mit positivem Feedback gefördert werden. So könnten Sie zum Beispiel etwas wie den „Fang des Monats“ ausschreiben und denjenigen Mitarbeiter belohnen, der den interessantesten Phishing-Versuch bemerkt und gemeldet hat.

Technologie ist ebenfalls ein guter Schutz gegen Phishing-Attacken. Systeme zum Filtern der eingehenden E-Mails reduzieren zudem die Last auf den Mail-Servern. Das gilt besonders für Cloud-basierte Lösungen, bei denen die Spam- und Phishing-Erkennung zu einem externen Provider ausgelagert wird. Außerdem lässt sich damit die Flut eintreffender Nachrichten in den Mailboxen der Mitarbeiter verringern, indem leicht zu erkennende Phishing-Versuche bereits entfernt werden, bevor sie Ihr Unternehmen überhaupt erreichen. Weiteren Schutz versprechen Systeme zur Endpoint Detection and Response (EDR). Das gilt besonders dann, wenn sie in der Lage sind, ungewöhnliches Verhalten auf den Clients der Anwender zu identifizieren und zu stoppen. Sie sind damit eine letzte Verteidigungslinie, um Ransomware-Infektionen auch dann noch zu verhindern, wenn sie sowohl an den E-Mail-Filtern als auch den Anwendern vorbeigekommen sind.

2. Kompromittierte Anmeldedaten

Um Leonardo da Vinci zu zitieren: „Einfachheit ist die höchste Stufe der Vollendung.“ Im Zusammenhang mit Ransomware bedeutet dies, dass man sich die Zugangsdaten von Mitarbeitern oder Auftragnehmern verschafft, um Zugriff auf interne oder Produktionsumgebungen zu erhalten, und dann Malware verbreitet.

Angreifer können Anmeldedaten im Dark Web kaufen oder Techniken wie Credential Stuffing – groß angelegte automatisierte Angriffe unter Verwendung gestohlener Anmeldedatenlisten –, Spear-Phishing, Watering-Hole-Angriffe und Keylogger einsetzen. Sobald Angreifer über Anmeldedaten verfügen, können sie Ingress-Vektoren wie ungeschützte Remote-Desktop-Endpunkte, VPN-Verbindungen oder Cloud-Dienste nutzen, um Ransomware zu verbreiten.

Wie man sich vor der Kompromittierung von Anmeldedaten schützt

  • Multifaktor-Authentifizierung (MFA) als zusätzliche Schutzebene einsetzen. Es kann schwierig sein, Mitarbeiter dazu zu bewegen, gute Passwortgewohnheiten einzuhalten, wie beispielsweise Passwörter nicht für private und berufliche Konten zu verwenden. MFA verhindert eine direkte Kompromittierung, selbst wenn ein Angreifer Zugriff auf ein Passwort erhält. MFA unterbindet zwar nicht direkt die Wiederverwendung von Passwörtern, trägt jedoch dazu bei, die Auswirkungen zu mindern.
  • Durchführung von Schulungs- und Sensibilisierungsprogrammen. Wenn Sie den Benutzern verständlich machen, warum sie die Richtlinien zur Passwortsicherheit befolgen sollten, können Sie die Einhaltung dieser Richtlinien besser durchsetzen.
  • Passwort-Manager verwenden. Passwort-Manager können dazu beitragen, dass Passwörter nicht zwischen Websites und Diensten wiederverwendet werden, und hohe Passwortstandards durchsetzen.

3. Remote-Desktop-Software, insbesondere RDP

Remote-Desktop-Methoden und -Software, wie beispielsweise das proprietäre Remote Desktop Protocol (RDP) von Microsoft und Virtual Network Computing (VNC), sind für moderne Unternehmen hilfreich, da sie Administratoren den Zugriff auf Server und Desktops von praktisch jedem Ort aus ermöglichen. Wenn sie jedoch nicht angemessen geschützt sind, können Angreifer dieselben Funktionen nutzen.

Angreifer, die sich kompromittierte Anmeldedaten beschaffen und Zugriff auf interne Ressourcen erhalten, verfügen damit quasi über den Schlüssel zur Haustür. Zusätzlich zu Methoden, die darauf abzielen, legitime Benutzeranmeldedaten zu erlangen, können Ransomware-Betreiber und andere kriminelle Banden die Protokolle mit Brute-Force-Angriffen und in einigen Fällen auch mit Offline-Passwort-Cracking angreifen.

Wie man Remote-Desktop-Dienste schützt

  • Fügen Sie MFA für den Fernzugriff hinzu und machen Sie diese obligatorisch. Selbst mit gültigen Anmeldedaten kann ein Angreifer ohne den zusätzlichen Authentifizierungsfaktor, sei es ein Einmalcode, ein Dongle oder eine SMS, nicht auf das System zugreifen.
  • Schränken Sie den Fernzugriff auf das System ein. Verwenden Sie VPNs und beschränken Sie den Administratorzugriff auf ein Gerät für einen bestimmten Zweck, zum Beispiel einen Jump-Server oder eine Workstation mit privilegiertem Zugriff. Das bedeutet, dass Angreifer zunächst in den Jump-Server oder die Workstation eindringen müssen, bevor sie versuchen können, über RDP oder eine andere Methode auf den Remote-Server zuzugreifen.
  • Erwägen Sie, die Admin-Ports zu schließen und sie nur für verifizierte Benutzeranfragen zu öffnen. Auf diese Weise können Administratoren weiterhin ihre Arbeit erledigen, aber die Systeme sind nicht rund um die Uhr für potenzielle Angriffe offen.

4. Ausnutzbare Schwachstellen

Eine weitere Möglichkeit für Angreifer, sich Zugang zu verschaffen, ist die Ausnutzung von Software-Schwachstellen. WannaCry, wohl eines der folgenschwersten Sicherheitsereignisse der jüngeren Vergangenheit, war eine Ransomware, die sich über eine Software-Schwachstelle im SMB-Protokoll verbreitete. Weitere Beispiele sind NotPetya, daszwar keine Wiederherstellungsfunktion hatte, aber wie Ransomware funktionierte, sowie Angriffe der Ransomware-Banden LockBit und REvil, die Schwachstellen bei Citrix und Probleme im Pulse Secure VPN ausnutzten.

Jedes mit dem Internet verbundene System, das nicht gepatcht ist, kann ein Einfallstor für Cyberangriffe sein. Dazu gehören Angriffe auf Webanwendungen und Abhängigkeiten von Drittanbietern. Aufgrund der Komplexität moderner Softwarelieferketten enthalten Websites oft zahlreiche Plugins und Bibliotheken, die angreifbar sind, wenn sie nicht überwacht und aktualisiert werden. Ebenso sind viele Low-Code-/No-Code-Workflows mit verschiedenen Diensten und Funktionen verbunden. Eine Schwachstelle in einem dieser Bereiche kann ein Einfallstor für Ransomware-Angriffe sein.

So lassen sich die Risiken durch Sicherheitslücken reduzieren

Wenn Sie Ihr Patch-Management-Programm noch nicht auf den aktuellen Stand gebracht haben, dann tun Sie es jetzt:

  • Erstens sollten Sie sicherstellen, dass alle Systeme, die Ihr Unternehmen nutzt, auf dem aktuellen Patch-Level sind. Das gilt besonders für diejenigen Anwendungen und Server, die Verbindungen nach außen erlauben.
  • Für Software und Workflows sollten Sie zusätzlich ein Application Lifecycle Management Program (ALM) einrichten, das alle im Unternehmen eingesetzten Applikationen und Dienste auflistet und überwacht.
  • Darüber hinaus sollten Sie eine Liste erstellen, die alle Komponenten der von Ihnen verwendeten Anwendungen enthält. (Software Bill of Materials, SBOM) Solche Aufzeichnungen werden immer wichtiger, da sie der IT-Abteilung eine größere Einsicht darüber gewähren, was wirklich eingesetzt wird.

5. Betrügerische Websites und Malvertising

Es ist nicht der primäre Angriffsvektor, aber dennoch kann sich Ransomware über präparierte Websites und Werbung, sogenanntes Malvertising, verbreiten. Zwar sind groß angelegte Angriffe wie CryptXXX aufgrund von Browser-Fortschritten, Sandboxing, automatischen Updates und der Einstellung des Flash Player mittlerweile seltener geworden, doch werden Websites und bösartige Anzeigen nach wie vor aktiv für die Verbreitung von Ransomware genutzt. Beispiele hierfür sind die Verwendung bösartiger Werbung zur Verbreitung von WinSCP und Putty sowie der Malware-Downloader SocGholish, der Ransomware unter dem Deckmantel gefälschter Browser-Updates verbreitete.

Browser sind nach wie vor ein potenzielles Vehikel für die Verbreitung von Ransomware und anderer Arten von Malware sein kann und oft auch ist. Daher muss dieses Einfallstor entsprechend berücksichtigt werden.

Ransomware-Angriffe per Browser verhindern

  • Anwender besser aufklären. Websites können auf den ersten Blick immer harmlos und zugleich hilfreich erscheinen. Durch Schulungen, in denen Benutzer lernen, diese Websites kritisch zu betrachten und die Sicherheitsfunktionen ihres Browsers zu verstehen – also Elemente, die Aufschluss über die Sicherheit der zugrunde liegenden Website geben –, kann die Sicherheit beim Surfen im Internet verbessert werden.
  • Browser und Betriebssystem immer auf dem aktuellen Stand. Drive-by-Downloads sind zwar mittlerweile weniger wahrscheinlich, dennoch ist es ratsam, Browser gegen Angriffe zu schützen.
  • Umfassenden Endpunktschutz gewährleisten. Endpunktsicherheit stellt sicher, dass bei versehentlichem Herunterladen und Ausführen einer schädlichen ausführbaren Datei durch einen Benutzer Schutzmaßnahmen gegen schädliche Infektionen vorhanden sind.

 

Erfahren Sie mehr über IT-Sicherheits-Management