Ransomware: Das bevorzugte Tool für Cyber-Erpressung

Erpressung über das Internet

Der Begriff Ransomware bezeichnet eine spezielle Art von Malware, die in der Regel für Cyber-Erpressung mit finanziellen Motiven eingesetzt wird. Cyberkriminelle verbergen Links zu Ransomware in scheinbar normalen E-Mails oder auf harmlos wirkenden Webseiten. Nach ihrer Aktivierung verhindert die Ransomware, dass Nutzer auf ihre Dateien, Anwendungen oder Systeme zugreifen, bis ein Lösegeld gezahlt wird. Letzteres geschieht normalerweise in einer anonymen Währung wie dem Bitcoin. Ransomware stellt eine ernstzunehmende und wachsende Cyberbedrohung dar, die oft Einzelpersonen trifft und in jüngster Zeit durch breiter angelegte Angriffe auf Unternehmen in den Fokus der Öffentlichkeit gerückt ist. Die Höhe des geforderten Lösegelds variiert je nach betroffenem Unternehmen. Der Umfang der Forderungen reicht von einigen hundert bis zu mehreren Millionen US-Dollar.

Sobald ein System infiziert ist, ist der Handlungsspielraum des Opfers stark eingeschränkt. Wenn das Lösegeld nicht gezahlt wird, drohen geschäftliche Ausfallzeiten, der Verlust vertraulicher Informationen oder andere vom Angreifer festgelegte Sanktionen. Doch auch wenn gezahlt wird, ist die Schwachstelle nicht behoben, und der gleiche oder ein anderer Hacker kann das Unternehmen erneut angreifen. Außerdem werden die Angreifer durch die Zahlung für ihre kriminellen Strategien belohnt.

Wenn Sie vor der Entscheidung stehen, ob Sie einer derartigen Lösegeldforderung nachkommen oder nicht, ist es meist schon zu spät.

Access Denied

GEFAHREN DURCH RANSOMWARE

Bei einer Infektion mit Ransomware werden kritische Daten auf dem System des betroffenen Nutzers verschlüsselt oder es wird der Zugriff des Nutzers auf seinen Computer blockiert. Anschließend wird eine Nachricht angezeigt, in der meist ein kryptografischer Schlüssel zur Entschlüsselung bzw. zur Freischaltung angeboten wird – gegen Zahlung eines Lösegelds in einer virtuellen Währung. Unter Umständen enthält diese Forderung auch die Drohung, die betroffenen Daten öffentlich zugänglich zu machen, falls keine Zahlung erfolgt.

Bestimmte Arten von Ransomware können sich von einem infizierten System auf einen verbundenen Dateiserver oder einen anderen Netzwerk-Hub ausbreiten und dieses System dann ebenfalls infizieren. 

Im Gegensatz anderen Arten von Malware, die sich zu tarnen suchen und zum Beispiel bei komplexen Angriffen zum Einsatz kommen, macht sich Ransomware unmittelbar bemerkbar. Aktuelle Medienberichte belegen, dass Privatpersonen, Unternehmen und Regierungen die schwerwiegenden Folgen von Ransomware - darunter finanzielle Schäden und Ausfallzeiten - mit zunehmender Besorgnis zur Kenntnis nehmen.

 

SCHÄDEN DURCH RANSOMWARE

ransomware-damage-encryption
ransomware-damage-secondary
ransomware-damage-data-leakage

Wie sich Ransomware bekämpfen lässt

Ransomware gelangt in den meisten Fällen über das Internet oder über E-Mails in die Zielsysteme. Sicherheitsteams müssen diese Vektoren deshalb im Auge behalten.

Webbasierte Angriffe nutzen in der Regel Drive-by-Exploits, die Schwachstellen von Browsern, Plattformen oder Systemen ins Visier nehmen, oder gefährliche URLs oder „Malvertising“, um den Nutzer auf Seiten umzuleiten, die Exploit-Kits hosten. Sobald die Malware in ein System eingedrungen ist, kann sie sich auf andere verbundene Systeme oder Server im Netzwerk ausbreiten. E-Mail-basierte Ransomware wird üblicherweise für gezielte Angriffe genutzt und umfasst eine Vielzahl von Methoden, unter anderem Phishing, Spear Phishing sowie schädliche Anhänge und URLs.

Drei Dinge sind für eine effektive Abwehr von Ransomware unerlässlich:

  • Der Infizierungsprozess muss genau analysiert werden, um den Angriffsverlauf nachzuvollziehen und Schwachstellen im System zu identifizieren. 
  • Der Schadcode muss auf seinen Zweck sowie auf Anzeichen verdächtiger Aktivitäten überprüft werden (verhaltensgestützte Analyse). 
  • Der Zugriff infizierter Geräte auf Command-and-Control-Server, die für Datendiebstahl oder zum Herunterladen weiterer Malware genutzt werden können, muss unterbunden werden.

Diese Abwehrstrategie basiert auf der Herstellung von Zusammenhängen zwischen Warnhinweisen , die unterschiedliche Vektoren betreffen. Herkömmliche Sicherheitslösungen sind damit oft überfordert. Fortschrittliche Sicherheitslösungen, wie FireEye Network Security (NX-Serie), FireEye Email Security (EX-Serie) oder die FireEye Email Threat Prevention Cloud (ETP) verhindern den Zugriff von Ransomware, indem sie Exploit-Kits, das Herunterladen von Malware und die Callback-Verbindung zu Command-and-Control-Servern blockieren. Gleichzeitig können sie die Auswirkungen von Ransomware minimieren, indem sie den Angriffsverlauf und die Angriffsmethode nachvollziehen und diese Bedrohungsdaten zur Abwehr zukünftiger Angriffe zur Verfügung stellen.  

WIE E-MAIL-SICHERHEITSLÖSUNGEN E-MAIL-BASIERTE RANSOMWARE-ANGRIFFE ERKENNEN UND ABWEHREN

WIE NETZWERK-SICHERHEITSLÖSUNGEN WEBBASIERTE RANSOMWARE-ANGRIFFE ERKENNEN UND ABWEHREN

Kriterien für die Auswahl von Abwehrmaßnahmen gegen Ransomware

Nicht alle Abwehrmaßnahmen sind gleich. Die Angebote und Erfolgsquoten der Anbieter von Sicherheitslösungen variieren beträchtlich. Folgende Leistungen sollte ein Anbieter aus der Cybersicherheitsbranche zum Schutz vor Bedrohungen durch Ransomware idealerweise bereitstellen:   

  • Die Lösung sollte Echtzeitschutz umfassen, um die Aktivierung der Ransomware zu verhindern oder zu unterbrechen. Diese Funktion ist ebenso wichtig wie technisch anspruchsvoll. Wenn ein Nutzer eine Lösegeldforderung erhält, sind seine Daten oder Systemdateien bereits verschlüsselt und es ist zu spät, um eventuelle Schäden abzuwenden. 
  • Die Lösung sollte Inline-Schutz umfassen. Bei E-Mails muss sie beispielsweise die Funktion des Mail Transfer Agent (MTA) übernehmen. Das hat zwei Gründe. Zum einen wird so gewährleistet, dass jede E-Mail durch ein Abwehrsystem geleitet wird. Zum anderen werden Bedrohungen ohne unnötige Zeitverzögerung erkannt, was bei Offline-Analysen oder Out-of-Band-Lösungen oft nicht der Fall ist. 
  • Die Lösung sollte so zeitnah wie möglich durch aktuelle, direkt verwertbare Bedrohungsdaten aktualisiert werden. Sicherheitssysteme, die nur alle paar Tage oder Wochen aktualisiert werden, geben Angreifern weitaus mehr Zeit, verschiedene Systeme in Ihren Unternehmen mit der gleichen Ransomware anzugreifen. Kontextbezogene Bedrohungsdaten liefern wertvolle Warnhinweise auf Ransomware-Angriffe. Zukünftige Angriffe lassen sich so leichter verhindern. Zusätzlich können Bedrohungsdaten über Angreifer und ein detailliertes Verständnis ihrer Motive dabei helfen, künftige Angriffe zu antizipieren und durch entsprechende Vorkehrungen zu blockieren.  
  • Die Lösung sollte über alle kritischen Angriffsvektoren hinweg nach Bedrohungen suchen. E-Mail-Sicherheit allein genügt nicht. Denn Angreifer können Nutzer auch zum Besuch einer schädlichen, mit Malware infizierten URL verleiten oder Ransomware per Command-and-Control-Server aktivieren. Die besten Sicherheitslösungen verfolgen mehrstufige Angriffe über mehrere Angriffsvektoren hinweg, um auch scheinbar harmlose E-Mails herauszufiltern, die Links zu Webseiten mit Ransomware enthalten.
 
Die Produkte und Dienstleistungen von FireEye bieten alle genannten Funktionen zur Abwehr von Bedrohungen durch Ransomware.

Erkennung und Abwehr von Ransomware

E-Mail-Sicherheit

Erkennen und blockieren Sie Phishing-E-Mails und Malware-Anhänge, die Ransomware-Angriffe initiieren.

Netzwerksicherheit

Erkennen, identifizieren und blockieren Sie webbasierte Ransomware-Angriffe.

Bedrohungsanalyse von Ransomware

Endpunktforensik

Analysieren Sie Web-, E-Mail- und andere Systemaktivitäten am Endpunkt, um die Funktionsweise eines Angriffs mit Ransomware nachzuvollziehen.

Expertendienstleistungen

Security as a Service

Die Überwachung durch Experten unterstützt Sie bei der Erkennung, Validierung und Abwehr der neuesten Bedrohungen im Bereich Ransomware.

Beratung und Evaluierung

Testen und optimieren Sie Ihre Fähigkeit zur Erkennung und Abwehr von Ransomware-Bedrohungen anhand von Evaluierungen.

Automatisierte Erkennung und Reaktion

Koordinierung von Abwehrmaßnahmen

Automatisierte Erkennungs- und Reaktions-Workflows minimieren die Dauer und die Ausbreitung des Angriffs, optimieren Ressourcen und verringern seine Auswirkungen.