Phänomen „Ransomware“ – was hat es damit auf sich? 

Zahlreiche Vorfälle im Bereich Ramsomware und jüngste Sicherheitslücken wie Log4j stellen uns vor scheinbar unüberwindbare Herausforderungen. Doch sind diese Hindernisse wirklich unüberwindbar? 

Bereits Ende des letzten Jahres sind wir in einem Blogbeitrag auf die Gemeinsamkeiten zwischen Ransomware und dem Coronavirus und auf die Auswirkungen von Hackerangriffen eingegangen. Hier sprachen wir über die häufigsten Cyberangriffe, Auswirkungen auf das soziale Leben, auf Lieferketten und verschiedene Branchen. 

Anzeige

In diesem Beitrag erklären wir, was es mit Ransomware auf sich hat, wie Hacker vorgehen, was diese Art der Verschlüsselung so gefährlich macht, und wie man sich für den Ernstfall rüsten kann. 

Cyberkriminelle haben heutzutage eine Vielzahl von Möglichkeiten, um Unternehmen zu schaden. Neben dem Ausspähen von Computersystemen und Netzwerken zur (Wirtschafts-) Spionage und der gezielten Überlastung von Diensten und Services, damit diese nicht mehr genutzt werden können, existieren noch Angriffe mit sogenannter Ransomware. Hierbei handelt es sich um Angriffe auf die Daten von Unternehmen oder Organisationen, bei denen die Computersysteme verschlüsselt werden, um das Opfer anschließend erpressen zu können. Die Angreifer kontaktieren nach einer erfolgreichen Verschlüsselung der Daten das Opfer und fordern ein Lösegeld ein (englisch: ransom). Wenn das Opfer sich entschließt, das Lösegeld zu bezahlen, erhält es von den Erpressern ein Werkzeug zur Entschlüsselung der Daten. Häufig kopieren die Erpresser einen Teil oder alle Daten eines Opfers und drohen mit der Veröffentlichung von sensiblen oder wichtigen Informationen (z.B. Finanzdaten, Konstruktionspläne, Rezepturen oder Quellcodes) um zusätzlichen Druck auf das Opfer auszuüben.

Bei einem Angriff mit Ransomware handelt es sich meist um einen lange geplanten Cyberangriff, der in mehreren Phasen abläuft. 

Anzeige
  1. Ausspähen: Sammeln von Informationen über das „Opfer“ 
  2. Erlangen von Zugang „Initial Access“ 
  3. Erweitern der Rechte oder Anlegen von weiteren Benutzern mit privilegierten Rechten 
  4. Nutzung der erlangten Rechte (Verschlüsselung) 
  5. Lösegeldforderung 

Vor dem eigentlichen Angriff müssen die Angreifer geeignete Unternehmen als Ziele identifizieren. In dieser Phase wird die Struktur des Unternehmens analysiert. Auf der Webseite des Unternehmens finden sich häufig Angaben zu Standorten und Organisationsstrukturen. Die Geschäftszahlen in Form von Berichten können ebenfalls auf der Website oder im Bundesanzeiger eingesehen werden. Hieraus und über ausgeschriebene Stellenprofile können die Angreifer Rückschlüsse auf die Ausgaben (und den Zeitpunkt) für Sicherheitssysteme und die konkret eingesetzten Sicherheitssysteme ziehen. Abschließend werden die erhobenen Informationen zusammengefasst und der erwartete Aufwand eines Angriffs bewertet.  

Ausgehend von den erlangten Informationen wählen die Angreifer aus unterschiedlichen Angriffsmöglichkeiten aus, um Zugang zum Netzwerk des potenziellen Opfers zu erhalten. Hierfür nutzen die Angreifer unter anderem Phishing-Mails oder Social Engineering, um Zugangsdaten von Mitarbeitern zu erhalten, oder sie nutzen bekannte Schwachstellen in IT-Systemen, wie die aktuelle Sicherheitslücke Log4j. Durch dieses Vorgehen haben die Angreifer valide Nutzeraccounts mit Zugangsberechtigungen, über die weitere Software für den Angriff auf die befallenen Systeme geladen wird. 

In der dritten Phase versuchen die Angreifer, die Rechte ihrer erbeuteten Nutzeraccounts zu erweitern und/oder weitere Benutzer mit privilegierten Rechten zu erstellen, sowie das Netzwerk nach sensiblen und wichtigen Daten zu durchsuchen. 

Sobald die Angreifer Zugang und Zugriff auf sensible und wichtige Daten oder auf das gesamte Netzwerk haben, können Sie mit der Verschlüsselung beginnen. Häufig werden aber zuvor gesammelte Daten aus dem internen Netzwerk kopiert. Dies geschieht über einen längeren Zeitraum, um keinen Verdacht zu erwecken. Sobald die Daten vollständig kopiert wurden, beginnt die Verschlüsselung. 

Die Angreifer kontaktieren anschließend das Opfer und fordern ein Lösegeld ein. Das Opfer erhält im Gegenzug ein Tool zum Entschlüsseln der Daten und die erbeuteten Daten werden nicht veröffentlicht.  

In genau diesen Fällen zeigt sich wieder, dass der Erfolg eines jeden Unternehmens maßgeblich von funktionierenden Geschäftsprozessen abhängig ist. Häufig zeigt sich erst in Krisenphasen, wie belastbar unsere Prozesse und Strukturen wirklich sind. Präventive Notfallplanung ist also auf Grund der steigenden Vorfälle im Bereich Ransomware das A und O! 

Eine Notfallplanung stellt Maßnahmen und Handlungsanweisungen bereit, um in gerade diesen Krisenphasen strukturiert reagieren und den Geschäftsbetrieb schnell wiederherstellen zu können. Hierdurch können unnötige Kosten vermieden, Fachabteilungen wieder koordiniert in den Betrieb gebracht und Reputationsschaden vermieden werden. 

Jan Bartels, Consultant Informationssicherheit und Datenschutzbeauftragter der CONTECHNET Deutschland GmbH

www.contechnet.de
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.