Ransomware: Verbrecher haben die Unternehmenswelt in der Hand

Obwohl im Jahr 2020 einer Studie von Kaspersky zufolge die Anzahl der Nutzer, die Opfer von Ransomware-Angriffen wurden, im Vergleich zu 2019 stark gesunken ist, müssen Unternehmen weiterhin auf derartige Bedrohungen gefasst sein, da das Risiko eines Angriffs weiter zunimmt. Das Ökosystem der Cyberkriminellen, die ihren Profit weiter steigern wollen, hat sich so weit entwickelt, dass es mittlerweile eine der größten Bedrohungen für Unternehmen weltweit darstellt und laut Cybersecurity Ventures in diesem Jahr Verluste von bis zu 6 Billionen US-Dollar verursachen könnte, einschließlich Ausfallzeiten, Wiederherstellungskosten und entgangenen Gewinnen.

Auch wenn im Jahr 2021 die Zahl der Angriffe weiter zurückgehen könnte, werden die Bedrohungen als solche immer zerstörerischer und teurer für die betroffenen Unternehmen. Neben der Verschlüsselung von Daten und der Forderung nach einem Lösegeld für die Freigabe der Daten nutzen die Hacker Techniken, um die Daten zu stehlen und anschließend damit zu drohen, diese zu veröffentlichen, wenn die anvisierten Unternehmen das Lösegeld nicht zahlen wollen. Im ersten Quartal dieses Jahres wurde laut Coveware bei 77 % der Angriffe damit gedroht, die gestohlenen Daten zu veröffentlichen. Es ist eine Schachmatt-Situation, in die die Cyberkriminellen die Unternehmenswelt befördern.

Obwohl man vermuten würde, dass es ein bestimmtes Benutzer- oder Unternehmensprofil gibt, das für Ransomware-Angriffe besonders anfällig ist, ist dies nicht der Fall. Heutzutage ist praktisch jede Person oder jedes Unternehmen anfällig und kann das Ziel eines Angriffs sein, sei es auf Computern, Tablets, Mobiltelefonen, Servern oder sogar in verschiedenen Arten von elektronischen Systemen, die mit dem Internet verbunden sind, beispielsweise Sicherheitskameras, Drucker und persönliche Assistenten.

Es gab schon Angriffe auf Unternehmen, die viel zu verlieren haben, wenn ihre Daten veröffentlicht werden, sowohl aufgrund der sensiblen Geschäfte als auch aufgrund der Bedrohung der Integrität oder Privatsphäre ihrer Kunden. Meistens sind mittelständische Unternehmen das Ziel der Angriffe; 68 % der Ransomware-Angriffe zielen auf Unternehmen mit 11 bis 1.000 Mitarbeitern ab, die in der Regel nicht über das technische Know-how oder die finanziellen Ressourcen verfügen, um mit solchen Situationen umzugehen oder die Probleme schnell genug zu beheben, um weitere Angriffe zu verhindern.

Laut BlackFog, das den Zustand von Ransomware überwacht und Angriffe individuell verfolgt, scheinen Regierungsbehörden am meisten im Visier der Banden zu sein, da der Wert ihrer Daten auf dem internationalen Markt besonders hoch ist. Doch auch Unternehmen aus dem Bildungsbereich sind leichte Ziele, da sie viele Nutzer und viele Sicherheitslücken haben, weil sie häufig Beta-Systeme oder sogar experimentelle Programme verwenden. Darauf folgen Dienstleistungsunternehmen, die viele Kunden haben, Produktionsunternehmen, deren Produktion lahm gelegt werden kann, was zu enormen sofortigen Verlusten führt, und das Gesundheitswesen, das über sensible Patientendaten verfügt.

Ein Ransomware-Angriff kann auf ein großes Unternehmen abzielen und große Geldbeträge einfordern, um den Geschäftsbetrieb wiederherzustellen, oder er kann eine große Anzahl von gewöhnlichen Nutzern betreffen und kleine Geldbeträge fordern, die leicht zu zahlen sind, sich aber in der Summe zu Millionen von Dollar summieren. Und das alles in Form von nicht nachverfolgbaren elektronischen Währungen. Vergessen Sie den Spruch aus alten Spionagefilmen, „folgen Sie der Geldspur“, die Aufgabe der Polizei ist jetzt deutlich komplexer.

Nach Angaben von Cloudwards ist ein Ransomware-Kit im Dark Web für 50 US-Dollar für jeden erhältlich – ein winziger Betrag im Vergleich zu dem durchschnittlichen Lösegeld von 5.900 US-Dollar, das im Jahr 2020 von kleinen Unternehmen verlangt wird, um ihnen einen Schlüssel zur Entschlüsselung ihrer Daten zu geben. Und ein abgrundtiefer Unterschied zu dem größten Lösegeld, das von der französischen Baufirma Bouygues eingefordert wurde und auf 10 Millionen Euro geschätzt wird. Schätzungsweise erfolgt in diesem Jahr alle 11 bis 14 Sekunden ein Angriff auf ein Unternehmen, wodurch die betroffenen Unternehmen im Durchschnitt 23 Tage lang nicht geschäftsfähig sind. 25 % der betroffenen Unternehmen zahlen das geforderte Lösegeld tatsächlich, neben dem Risiko Datenverluste, Ausfallzeiten und Klagen von Kunden zu erleiden, weil deren Informationen veröffentlicht wurden.

Schädliche Software kann einen Zugriff auf Ihren Computer oder einen Computer in Ihrem Netzwerk ermöglichen, indem sie Sicherheitslücken ausnutzt (beispielsweise das Desktop-Netzwerkprotokoll RDP oder andere System- oder Anwendungsschwächen) oder Social Engineering (bekannt als Phishing) einsetzt. In der Regel handelt es sich um einen Code, der auf dem Computer des Opfers ausgeführt werden muss, um Zugriff auf den Speicher, auf Dateien, Anwendungen oder das Betriebssystem zu erlangen. Symantec zufolge sind wir zwar immer auf der Suche nach ausführbaren Dateien (etwa mit der Erweiterung .EXE in Microsoft Windows), aber viele dieser Codes kommen in vermeintlich harmlosen Dokumenten wie .DOC oder .DOT von Microsoft Word.

Um auf Ihren Computer zu gelangen, muss die Software in eine elektronische Nachricht eingefügt werden, die entweder über das Netzwerk kommt, über einen Link heruntergeladen wird, der in einer E-Mail oder auf einer bösartigen Website angeklickt wird, oder auf einem mobilen Speichergerät gespeichert wird und über den Anschluss auf den Computer gelangt. Häufig wird eine Form des Social Engineering verwendet, um den Benutzer dazu zu bringen, dem Download oder der Code-Ausführung zu vertrauen. Schädliche Software kann auch über das Netzwerk übertragen werden, indem eine Sicherheitslücke in der Firewall, im Router, im Betriebssystem oder innerhalb einer Anwendung ausgenutzt wird, ohne dass eine direkte Interaktion mit dem Benutzer des anvisierten Computers stattfindet.

Unabhängig vom Medium und davon, ob die Software aufgrund der Unachtsamkeit eines einzelnen Benutzers oder der Nachlässigkeit des Teams, das das Netzwerk verwaltet in Ihre Systeme gelangt, richtet sie dort in einer Zeitspanne von 45 Minuten bis 4 Stunden einen Schaden an, der Millionen kosten kann. Der letzte große Cyberangriff dieser Art, ausgeführt vom REvil-Netzwerk (Sodinokibi), beeinträchtigte Hunderte von amerikanischen Unternehmen, indem er eine Sicherheitslücke ausnutzte. Diese kriminelle Variante war für 15 % der Ransomware im Jahr 2020 verantwortlich, gefolgt von Maze und Phobos (mit jeweils 7,7 %). Und die Angriffe werden nicht aufhören. Sie haben sich seit ihrem erstmaligen Aufkommen im Jahr 1980 weiterentwickelt, und über 70 % von ihnen sind erfolgreich.

In den letzten Jahren wurde eine Software namens Trojaner verwendet, um zunächst Informationen von infizierten Rechnern zu stehlen (eine Technik, die Doxing genannt wird), die auf ihre potenzielle Bedeutung und ihren Wert hin ausgewertet werden. Anschließend wird die Tür für andere Ransomware-Software geöffnet, die diese Informationen verschlüsselt und ein Lösegeld verlangt. Anwendungen wie Emotet oder TrickBot brechen in Systeme ein, kopieren deren Informationen auf einen Remote-Server und „ziehen“ anschließend Malware wie Ruyk, die bei 5,1 % der Angriffe im letzten Jahr verwendet wurde, unter anderem bei den Angriffen auf mehrere US-Zeitungen im Jahr 2018 und dem bekannten Angriff auf ein Wasser- und Abwasserunternehmen in North Carolina.

Ransomware-Angriffe werden typischerweise in drei Typen klassifiziert, abhängig davon, welche Aktionen sie im gehackten System ausführen.

Scareware: Hierbei handelt es sich oft um leere Drohungen in E-Mails, Werbeanzeigen oder Website-Popups, die behaupten, dass ein Problem besteht oder Ihr Computer gehackt wurde, und eine Zahlung verlangen. Dabei kann behauptet werden, dass Ihre Dateien verschlüsselt wurden oder dass irgendeine Art von illegalem oder pornografischem Inhalt auf Ihrem System gefunden wurde, woraufhin mit einer öffentlichen Bloßstellung gedroht wird. Da auf dem Zielcomputer nichts ausgeführt wurde, verlassen sich diese Angreifer auf die Angst, die die Nachricht beim Opfer auslöst, so dass es automatisch Aktionen ausführt, weil es den Angriff für echt hält.

Locker: Diese Art von Angriff implementiert einen Mechanismus, der den Zugriff auf das Gerät verhindert und eine Nachricht auf dem Bildschirm anzeigt, die teilweise als offizielle Nachricht mit dem Logo einer Regierungsbehörde getarnt ist. Dabei handelt es sich zum Beispiel um Meldungen, die behaupten, dass Ihre Dateien verschlüsselt wurden, dass Ihr Computer gesperrt ist oder dass ein bösartiger Inhalt auf Ihrer Festplatte gefunden wurde. Selbst wenn Sie Ihren Computer neu starten, wird die Meldung weiterhin angezeigt.

Krypto: Bei dieser Art wird ein Code implementiert, der die Dateien tatsächlich verschlüsselt und den Zugriff auf die Daten verhindert, wobei explizit angezeigt wird, was geschehen ist, und ein Lösegeld in einer nicht nachverfolgbaren Zahlungsmethode, beispielsweise in einer Kryptowährung, gefordert wird. Dies ist der schlimmste Typ, denn selbst wenn Sie Ihr Betriebssystem und Ihre Apps auf die Werkseinstellungen zurücksetzen, bleiben die Daten mit einem Schlüssel gesperrt, den nur die Kriminellen besitzen. Um diesen Schlüssel zu erhalten, müssen Sie das geforderte Lösegeld zahlen.

Zu den Lockern und Kryptos gehören die bekanntesten Ransomware-Varianten und Codes, die aufgrund ihrer Ähnlichkeit in der Funktion oder ihrer gemeinsamen Abstammung (beurteilt durch die Ableitung eines ursprünglichen Codes) gruppiert und kategorisiert werden. Eine der bekannten Varianten ist CryptoLocker, ein Botnetz, das 2013 auftauchte, 2014 enttarnt wurde und eine Reihe von Nachahmungen hervorbrachte, die die Welt bis heute terrorisieren. WannaCry ist eine weitere berühmte Variante, die immer noch für die Mehrheit der Ransomware-Infektionen verantwortlich ist und mehr als 125.000 Organisationen in 150 Ländern angegriffen und zu einem geschätzten Schaden von mindestens 4 Milliarden US-Dollar geführt hat.

GandCrab war ein weiterer spezifischer Angriff im Jahr 2018, der damit drohte, die pornografischen Gewohnheiten seiner Opfer preiszugeben, indem er behauptete, er habe die Webcam ihrer Systeme gehackt und würde die gefilmten Inhalte online veröffentlichen, wenn das geforderte Lösegeld nicht gezahlt würde. Diese Variante hat sich weiterentwickelt und gehört nach wie vor zu den fünf meistgenutzten Formen der Cyberkriminalität, neben einer neuen Variante aus dem Jahr 2016, Crysis/Dharma, die mehrere Angriffsvektoren nutzt, indem sie Sicherheitslücken im Remote Desktop Protocol (RDP) ausnutzt.

Mit der Weiterentwicklung von Computersystemen ist es nahe liegend, dass weitere Varianten über die Netzwerke verstreut werden. Viele davon wurden von Kasperski verfolgt oder in Gruppen zusammengefasst und untersucht, beispielsweise in einer Studie des gesamten Teams um den Dark-Web-Forscher Mike Mayes, und jede trifft ein anderes Computerspektrum durch teilweise unvorhersehbare Aktionen.

Damit Ihr System vorbereitet und zumindest vor den grundlegenden Ransomware-Angriffen geschützt ist, benötigen Sie einen Plan zur Schulung und Sensibilisierung der Benutzer, einen Plan für die Wiederherstellung im Notfall, ein automatisches Backup aller wichtigen Dateien und Codes sowie einen Notfallplan, damit ein möglicher Angriff gestoppt werden kann, bevor es zu spät ist. Im Jahr 2020 konnten 24 % der Angriffe mit Anti-Ransomware- und anderen Netzwerksperr- und Überwachungssystemen verhindert werden.

Ein guter Disaster-Recovery-Plan umfasst eine Reihe von dokumentierten und strukturierten Aktionen, die im Falle eines physischen Notfalls oder eines Cyber-Vorfalls durchgeführt werden müssen. Der Plan ist ein integraler Bestandteil des Business-Continuity-Plans, der die gesamte informationstechnische Infrastruktur eines Unternehmens berücksichtigt und eine gute Versicherung, ein geschultes Team von Mitarbeitern mit den entsprechenden Ressourcen zur Ausführung, aktualisierte Tools bis hin zur Hilfe externer Anbieter beinhaltet.

Seien Sie vorsichtig, wenn Sie Hilfe von Dritten in Anspruch nehmen und die Unternehmen angeben, dass sie Ihre Daten entschlüsseln können. Es kann sein, dass sie das Lösegeld zahlen und es in dem Preis für ihre Dienstleistungen mit einplanen.

Die Sicherung Ihrer Daten ist der womöglich wichtigste Schritt zum Schutz vor Ransomware-Angriffen, denn die Daten sind der Gegenstand des Lösegeldforderung. Wenn das Unternehmen seine Daten aus einem aktuellen Backup wiederherstellen kann, ohne den hohen Preis zu zahlen, den Kriminelle für das Entschlüsselungspasswort verlangen, ist es den Angreifern immer einen Schritt voraus. Eine gute Strategie umfasst Online- und lokale Backups auf verschiedenen Geräten. In einer Situation, in der die Gefahr besteht, dass Daten öffentlich zugänglich sind, ist ein zuverlässiges Backup allein natürlich nicht die ganze Lösung.

Wenn alles schief geht, benötigen Sie einen automatisierten Backup-Plan. Der Wiederherstellungsplan kommt später. Wenn Sie feststellen, dass Systeme gehackt wurden, müssen Sie den „Alarmknopf drücken“ und die Kommunikation in ihrem Netzwerk umgehend unterbrechen, um eine weitere Ausbreitung zu verhindern und hinsichtlich der internen und externen Netzwerke zu vermeiden, dass infizierte Systeme mit anderen Netzwerken und dem zentralen Kontrollsystem der Malware in Kontakt treten. Alle Remote Control Protokolle (RDP) müssen deaktiviert werden, damit die Ransomware nicht aus der Ferne auf die Systeme zugreifen kann. Die Administrationspasswörter müssen geändert und alle administrativen Prozesse gestoppt werden. Zuletzt müssen alle Systeme heruntergefahren und dann einzeln und ohne Verbindung wieder eingeschaltet werden, um zu prüfen, wie tiefreichend die Systeme betroffen sind.

Wenn Sie einen Angriff bemerken, identifizieren Sie den Typ der Ransomware mit Hilfe eines Ransomware-spezifischen Tools, das anhand der von den Kriminellen angezeigten Meldungen und der Liste der beschädigten Dateien bestimmt, um welche Variante es sich handelt und wo sie herkommt.

Installieren Sie nach der Ausführung Ihres Backup-Plans bei der Wiederherstellung der einzelnen Systeme ein Malware-Scansystem, um die Ransomware zu identifizieren und wenn möglich unter Quarantäne zu stellen. Wenn dies nicht möglich ist, muss jedes System auf Werkseinstellungen zurückgesetzt und die Daten müssen aus den Backup-Dateien zurückgewonnen werden.

Wenden Sie sich im Zweifelsfall immer an einen Experten oder ein Cybersicherheitsunternehmen. Die Wahrscheinlichkeit, dass Sie oder Ihr Unternehmen von Ransomware infiziert werden, liegt Studien zufolge bei 51 %. Die Gefahr ist abhängig von der Größe Ihres Unternehmens, von der Sensibilität der gespeicherten Daten, von der Vorbereitung Ihrer Mitarbeiter und davon, wie gut diese geschult sind, um eine derartige Situation zu vermeiden. Außerdem hängt es davon ab, wie Ihr Technologie-Team mit den Wiederherstellungs- und Notfallplänen umgeht – und ein Stück weit ist es auch Glückssache. In diesem Schachspiel gilt: Je länger Sie ein Schachmatt vermeiden können, desto besser.