Ransomware
Was ist Ransomware?
Ransomware ist ein Cyberangriff mit dem Ziel, Zugriff auf ein System zu erlangen und die dort gespeicherten Dateien zu verschlüsseln. Die Dateien können nicht ohne einen Schlüssel dechiffriert werden, für den die Angreifer ein Lösegeld fordern.
Warum tritt Ransomware immer häufiger auf?
Das Thema Ransomware wird immer wichtiger, da sich Unternehmen zunehmend auf datenorientierte Entscheidungen konzentrieren und Unternehmensdaten als wertvolles geistiges Eigentum ansehen. Über die Verschlüsselung von Daten hinaus stehlen manche Angreifer außerdem Informationen und drohen damit, diese anderen böswilligen Akteuren zur Verfügung zu stellen, wodurch der Druck auf die Unternehmen steigt, das Lösegeld zu zahlen.
Wie werden Ransomware-Angriffe abgewehrt?
Angreifer liefern selten den Dechiffrierungsschlüssel aus, selbst wenn das Lösegeld gezahlt wurde. So droht Opfern neben dem Verlust der Lösegeldsumme auch der Verlust ihrer Daten. Schätzungen zufolge wird Ransomware bis 2031 jährliche Kosten in Höhe von etwa 265 Milliarden USD verursachen. Etwa alle zwei Sekunden wird dann ein neuer Angriff auf ein Unternehmen, einen Verbraucher oder ein Gerät verübt.
Beispiele für Ransomware
Manche Ransomware-Angriffe beginnen damit, einen Benutzer zu verleiten, eine Datei zu öffnen. Hierbei handelt es sich häufig um einen E-Mail-Anhang, über den anschließend schädlicher Code heruntergeladen wird, der das Netzwerk infiziert. In anderen Fällen werden Schwachstellen in Betriebssystemen, in physischen Sicherheitssystemen oder in Software-Anwendungen ausgenutzt, um Zugriff auf ein Netzwerk zu erlangen und das System zu infiltrieren.
Die erste umfassende Ransomware-Bedrohung trat im September 2013 durch CryptoLocker auf, einen Malware-Trojaner, der Benutzer dazu verleitete, eine Datei herunterzuladen, die anschließend ihr Netzwerk infizierte. Im Mai 2014 wurde CryptoLocker durch eine gemeinsame Operation der Strafverfolgungs- und Sicherheitsbehörden bekämpft. Jedoch sind weiterhin zahlreiche Imitate im Umlauf.
Seit der Bekämpfung von CryptoLocker wurden viele weitere Arten von Ransomware entwickelt. Einige der häufigsten Arten sind Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk und MegaCortex. Ungeachtet ihres jeweiligen Namens bleibt das Ziel dasselbe: Geld von den Opfern zu erpressen, um im Gegenzug ihre Daten und Dateien zu entschlüsseln.
Neue Ransomware-as-a-Service-Angebote (RaaS) ermöglichen es praktisch jeder Person mit grundlegenden Computerkenntnissen und Internetzugang, sich selbst am Geschäft mit Ransomware zu beteiligen. Dies führt zu einer erheblichen Zunahmen dieser Art von Angriffen. Für einen Anteil an der Lösegeldzahlung stellt der Ransomware-Autor anderen Cyberkriminellen Ressourcen wie Verschlüsselungs-Tools, Möglichkeiten zur Kommunikation mit den Opfern oder zum Eintreiben des Lösegelds zur Verfügung.
Wie können Sie sich vor Ransomware-Angriffen schützen?
Viele der heutigen Ransomware-Angriffe können schwer zu erkennen sein, da sie zunehmend vor Systemadministratoren und Endgeräteschutz verborgen bleiben. Somit erhalten die Angreifer langfristigen Zugriff auf das Gerät und die Möglichkeit, willkürlichen Schaden zu verursachen. Die durchschnittliche Ransomware-Verweildauer beträgt 24 Tage, wodurch die Angreifer über ausreichend Zeit und Möglichkeiten verfügen, die Daten eines Unternehmens zu manipulieren.
Hierzu ist nicht mehr erforderlich als ein Benutzer, der ein schlechtes Passwortmanagement betreibt oder einen Link in einer Phishing-E-Mail anklickt und so ein Unternehmens-Netzwerk einem Risiko aussetzt. Das Durchführen von Sicherheitsschulungen für Beschäftigte ist ein wichtiger Schritt für viele Unternehmen, um das Risiko für das Eindringen von Ransomware in ihre Netzwerke zu senken. Darüber hinaus sollten regelmäßige Auffrischungs-Schulungen erfolgen, da die Angriffstechniken kontinuierlich weiterentwickelt werden.
Die beste Möglichkeit zum Schutz vor Malware, die Software-Schwachstellen ausnutzt, ist es, Betriebssysteme und wichtige Anwendungen mit allen Patches und Updates immer auf dem neuesten Stand zu halten. Netzwerküberwachung, Passwortschutz, Multifaktor-Authentifizierung (MFA) und Sicherheitsmaßnahmen für Endgeräte sind hilfreiche Technologien und Taktiken, um die Bedrohungen zu minimieren, denen das Unternehmen ausgesetzt ist.
Da es nicht möglich ist, die Bedrohung durch einen Ransomware-Angriff vollständig zu beseitigen, kann eine solide Sicherungsstrategie Unternehmen im Falle eines Angriffs eine schnelle Wiederherstellung mit minimalen Betriebsunterbrechungen ermöglichen. Diese Sicherungen sollten außerhalb des Netzwerks gespeichert werden, um sie einem Zugriff durch Malware zu entziehen, da Ransomware in vielen Fällen ebenfalls versucht, Sicherungsdateien zu verschlüsseln.
Wie wird Ransomware verbreitet?
Die Bedrohung durch Ransomware spielt eine immer größere Rolle, da die Benutzer immer häufiger von unterschiedlichsten Orten aus auf kritische Unternehmensanwendungen und Workloads zugreifen – Homeoffice, Feldinstallationen, Schaufensterfronten, Produktionseinrichtungen, Krankenhauszimmer und andere Edge-Standorte. Gleichzeitig tauschen vernetzte Geräte, die gemeinsam das Internet der Dinge (IoT) bilden, über Unternehmensnetzwerke immer mehr Daten miteinander aus, ohne dass ein menschliches Eingreifen erforderlich ist. Die Ausweitung der Bemühungen zur digitalen Transformation offenbart Sicherheits-Schwachstellen – und eine stärkere Bedrohung für Unternehmen.
Wenngleich zahlreiche Ransomware-Varianten existieren, nutzen diese im Allgemeinen einen oder mehrere von drei primären Angriffsvektoren, um Zugriff auf ein Netzwerk zu erhalten.
Phising-E-Mails
Phishing-E-Mails sind ein bekannter Ransomware-Vektor. Angreifer versenden E-Mails, die den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen. Diese Nachrichten versuchen üblicherweise, den Empfänger dazu zu verleiten, seine persönlichen Zugangsdaten auf einer gefälschten Website einzugeben oder eine Datei mit Malware herunterzuladen.
Remote Desktop Protocol (RDP)
Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft, das Benutzern den Aufbau einer Remote-Verbindung zu einem System ermöglicht, um dort Befehle auszuführen. Unglücklicherweise ist die RDP-Sicherheit darauf angewiesen, dass die Benutzer starke, einzigartige Passwörter verwenden, was in der Praxis häufig nicht der Fall ist. Angreifer können RDP-Zugangsdaten mühelos ermitteln oder gehackte Benutzernamen und Passwörter im Darknet erwerben und sich so Zugriff auf ein System verschaffen.
Software-Schwachstellen
Software-Schwachstellen bieten eine weitere häufige Angriffsfläche für Ransomware. Nicht aktualisierte Software kann Lücken innerhalb der Sicherheitsarchitektur erzeugen und ein Eindringen von Malware ermöglichen. Diese Schwachstellen bieten Angreifern ein relativ einfaches Ziel, da es nicht erforderlich ist, Passwörter zu knacken oder anderweitig zu stehlen.
Wie kann HPE ihnen beim Schutz vor Ransomware helfen?
Leider können selbst die besten Sicherheitssysteme und -praktiken nicht vollständig vor Ransomware-Angriffen schützen. Ein umfassender Plan für die Datensicherung und -wiederherstellung ist von entscheidender Bedeutung für das Wiederherstellen des Betriebs und das Minimieren potenzieller Datenverluste im Falle eines Angriffs.
Eine hyperkonvergente HPE SimpliVity Lösung konsolidiert die IT-Infrastruktur und vereinfacht sowohl das Datenschutzkonzept als auch den Wiederherstellungsprozess, insbesondere für Unternehmen mit mehreren zu unterstützenden Außenstellen. Diese Lösungen bieten integrierte Funktionen, wie z. B. Datenschutz, sie tragen dazu bei, die Belastung zu verringern und einen besseren Schutz im gesamten Unternehmen zu gewährleisten, ob in einer Filiale oder einem externen Büro. Die Dateneffizienz ermöglicht durch häufigere Sicherungen einen nahezu kontinuierlichen Datenschutz, längere Aufbewahrungsfristen und eine schnellere Wiederherstellung. Im Falle einer Ransomware-Infektion können eine VM und alle ihre Daten schnell und einfach wiederhergestellt werden, wodurch Systemausfallzeiten, Betriebsunterbrechungen und Umsatzeinbußen minimiert werden.
HPE StoreOnce ist eine speziell entwickelte Backup-Anwendung (oder virtuelle Maschine) mit HPE StoreOnce Catalyst, um kritische Daten von Ransomware-Angreifern zu isolieren. So können Angreifer ohne direkte physische Interaktionen, die zu einer teilweisen oder vollständigen Zerstörung der Hardware führen, keinen Einfluss auf die Daten nehmen. Selbst wenn die Hardware an einem bestimmten Ort zerstört würde, beispielsweise durch Malware oder eine Naturkatastrophe, würde die erweiterte Implementierung von HPE StoreOnce Catalyst Speichern (verteilte Implementierung) geschäftskritische Daten durch effektives Isolieren von traditionellen Kommunikationswegen sowie von Befehlssätzen, die von Ransomware-Angreifern genutzt werden, geschützt.
Zerto, ein Unternehmen von Hewlett Packard Enterprise, bietet Ihnen journalbasierten kontinuierlichen Datenschutz (CDP) sowie eine beispiellose Wiederherstellung für Ihre virtualisierten und containerisierten Anwendungen und Daten vom Edge bis zur Cloud. Die Plattform von Zerto bietet flexiblen Schutz zu, von und zwischen Clouds jeder Art – ob Private Cloud-, Public Cloud oder Cloud-native Bereitstellungen. Die Scale-out-Architektur kann Petabytes an Daten und Tausende von VMs schützen. Die rein Software-basierte Lösung kopiert alle Datenänderungen, unabhängig von der zugrundeliegenden Hardware, ohne die Produktionssysteme zu verlangsamen.