Frederic Noppe - COO
Frederic Noppe
COO
10.7.2023

Ransomware: Ablauf eines Angriffs und Gegenmaßnahmen

Bonn, 10.7.20231 Minuten Lesezeit
Ransomware: Ablauf eines Angriffs und Gegenmaßnahmen

Stellen Sie sich vor, Sie öffnen morgens Ihren Laptop und versuchen auf Ihre E-Mails und Programme zuzugreifen, doch nichts funktioniert mehr. Sie rufen einen Kollegen an, der das Gleiche berichtet. Vermutlich ist Ihr Unternehmen, dem zum Opfer gefallen, was 92 % der deutschen Unternehmen fürchten: Ransomware.

In der heutigen digitalen Geschäftswelt und Gesellschaft steht aktuell eine besonders gefürchtete Form von Malware im Rampenlicht - Ransomware. Diese bösartigen Programme manipulieren Daten und Systeme, oft durch Verschlüsselung, um den Zugriff darauf zu blockieren oder einzuschränken. Angreifer erpressen ihre Opfer, indem sie einen Zugang zu den verschlüsselten Daten nur gegen Zahlung eines Lösegeldes wieder freigeben. In der Praxis handelt es sich dabei primär um einen direkten Angriff auf das Sicherheitsziel der Verfügbarkeit und stellt eine moderne Form der digitalen Erpressung dar. Auch die Vertraulichkeit und Integrität sind potenziell betroffen, da Angreifer Daten entwenden oder durch den Zugriff auf Nutzeraccounts verfälschen können.

Die aktuelle Bedrohung durch Ransomware wird durch das BSI als „hoch“ eingestuft. 92% der deutschen Unternehmen betrachten Ransomware-Angriffe laut Bitkom als ernst zu nehmende Gefahr (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022 ), womit Ransomware den ersten Platz des Rankings einnimmt. Das Leid der Opfer ist enorm, und in vielen Fällen zahlen sie das verlangte Lösegeld aus purer Verzweiflung. Doch wie kommt es zu einem Angriff, wie läuft dieser ab und welche Maßnahmen sollten im Vorfeld ergriffen werden?

Das BSI hat die „Killchain einer Ransomware Attacke“, also den Ablauf der einzelnen Angriffsschritte, in der folgenden Grafik bereits gut dargestellt.

Illustration der Cyberangriff-Killchain: Einbruch, Rechteerweiterung, Ausbreitung, Datenabfluss, Verschlüsselung und Incident Response.1. Einbruch

Der Einbruch in die IT-Systeme der Opfer geschieht in den meisten Fällen per Phishing. Beim Phishing erhalten die Opfer auf sie zugeschnittene und täuschend echt aussehende E-Mails, die sie zu einer, für sie und das Unternehmen schadhaften Handlung verleiten sollen. Meist werden dort Login Daten abgegriffen oder Schadsoftware über Anhänge oder Download-Links auf den Clients der Opfer installiert. Ein weiterer Weg, in IT-Systeme einzudringen, ist die Ausnutzung von Schwachstellen. Diese Schwachstellen können in den im gesamten IT-System durch eigene oder eingebundene Software entstehen.

2. Rechteerweiterung

Über den Zugriff auf einen Benutzer-Account versuchen die Angreifer nun die Berechtigungen für bestimmte Handlungen (meist Administrationsrechte) zu erlangen. Diese Berechtigungen ermöglichen ihnen, Systeme großflächig zu infizieren und zu manipulieren.

3. Ausbreitung

Durch die Manipulation der Zielsysteme und erhöhte Berechtigungen können sich die Angreifer nun auf den IT-Systemen der Opfer ausbreiten und den für die Ransomware-Attacke benötigten Schadcode installieren. Diese Ausbreitung zieht sich häufig über einen längeren Zeitraum hin, damit durch die Konfigurationen und Installationen der Angreifer möglichst wenig Aufsehen erregt wird. Auch sollen durch eine längere „stille“ Infektion potenzielle Back-Ups der Daten und Systeme ebenfalls infiziert werden.
Eine weitere Maßnahme der Angreifer ist das Einrichten von eigenen, versteckten Zugängen auf die Systeme, sogenannter „Backdoors“, durch die sie auch ohne den infizierten Nutzeraccount auf die Systeme zugreifen können.

4. Datenabfluss

Ein sehr aktuelles Beispiel für diesen Part der Ransomware Attacke ist die Malware RedEnergy. Die Angreifer können vor der Verschlüsselung der Daten auf den Opfer-Systemen die betroffenen Daten auch herunterladen und abspeichern. Auf diesem Weg können die Opfer weiterhin erpresst werden, sollte die Verschlüsselung nicht erfolgreich sein. Die Opfer werden in diesem Fall durch die Androhung der Veröffentlichung der meist sensiblen Daten (z. B. Baupläne oder andere Betriebsgeheimnisse) erpresst. Ein erschreckendes Beispiel hierfür ist der [Angriff auf die Firma Continental] (https://www.golem.de/news/ransomware-liste-mit-erbeuteten-continental-dateien-veroeffentlicht-2211-169775.html).

5. Verschlüsselung

Für viele Unternehmen ist die Verschlüsselung der erste Hinweis auf eine Attacke und kommt meistens sehr überraschend. Die Angreifer verschlüsseln die Daten der Unternehmen und blockieren die IT-Systeme, womit die Opfer handlungsunfähig zurückbleiben. Für die meisten Unternehmen bedeutet dies einen Produktionsstillstand. Statt der mühsam erarbeiteten Daten liegt auf den Datenbanken nur noch unverständlicher Cyphertext ab. Nach Abschluss des Verschlüsselungsprozesses wird häufig eine Lösegeldforderung auf den Bildschirmen angezeigt. Diese informiert über die Verschlüsselung der Dateien und fordert die Opfer auf, ein Lösegeld zu zahlen, um ihre Daten wiederherzustellen. In der Regel wird ein Countdown angezeigt, der den Druck auf die Opfer erhöhen soll, schnell zu zahlen.

6. Incident Response

Nach der Verschlüsselung ihrer Daten müssen sich die Opfer nun um die Behebung der Schäden bemühen. Sollten Notfallpläne im Rahmen eines Business Continuity Management (BCM) vorliegen, werden diese aktiviert. Da in der Realität diese Pläne in den meisten Unternehmen nicht existieren, empfiehlt sich direkt der Kontakt zu einem „digitalen Ersthelfer“ und einem Incident-Response-Dienstleister über das „Cyber-Sicherheitsnetzwerk“ zu suchen. Das BSI hat die notwendigen Informationen auf dieser Website zusammengetragen.

Maßnahmen gegen Ransomware Attacken

Selbstverständlich gibt es technische Abwehrmaßnahmen gegen solche Angriffe, wie fortgeschrittene Firewalls, Antivirusprogramme und E-Mail-Filter, die dazu dienen, schadhafte E-Mails herauszufiltern und zu blockieren. Doch diese Maßnahmen können und werden regelmäßig von Cyberkriminellen überwunden.

Darum ist es entscheidend, die zwei größten Angriffsvektoren bestmöglich abzusichern: Phishing und Schwachstellen.

Mitarbeiter sollten regelmäßig für die Erkennung von Phishing und die einhergehenden Risiken sensibilisiert werden, da sie oft die letzte Verteidigungslinie eines Unternehmens darstellen. Jeder Klick auf einen schadhaften Link, jede geöffnete infizierte Anlage kann gravierende Folgen für das gesamte Unternehmen haben, die bis zum Bankrott und der Schließung führen kann. Eine regelmäßige Schulung und Sensibilisierung der Mitarbeiter für diese Art von Bedrohungen kann dazu beitragen, dass Phishing-Versuche frühzeitig erkannt und vermieden werden.
Ebenso sollten Schwachstellen möglichst schnell durch die eigene IT oder Dienstleister entdeckt und geschlossen werden. Hier empfehlen sich Schwachstellen-Scans von intern und extern. Durch interne Scans kann die Möglichkeit der Ausbreitung von Angreifern innerhalb der IT-Systeme minimiert werden, was für eine erhebliche Minimierung der Schäden sorgen kann. Durch externe Scans werden potenzielle, technische Einfallstore für Angreifer erkannt und können geschlossen oder mit angemessenem Schutz versehen werden.

Fazit

Die Kombination aus technischen Abwehrmaßnahmen und dem geschulten Auge der Mitarbeiter stellt die effektivste Methode dar, um sich vor solchen Angriffen zu schützen. Es ist wichtig, stets hier auf dem neuesten Stand zu sein, was die neuesten Techniken und Taktiken der Cyberkriminellen angeht und ständig sowohl die technischen Sicherheitsmaßnahmen zu verbessern als auch die Mitarbeiter fortzubilden.