Ransomware

Was ist Ransomware?

Ransomware ist für Unternehmen ein Dauerproblem. Einer ESG-Studie zufolge sind 75 % der Unternehmen in den vergangenen 12 Monaten Opfer von Ransomware-Angriffen geworden, wobei 10 % täglich Angriffen ausgesetzt waren.Enterprise%20Strategy%20Group.%20%E2%80%9E2023%20Ransomware%20preparedness%3A%20Lighting%20the%20way%20to%20readiness%20and%20mitigation.%E2%80%9C%20September%202023. Das Thema Ransomware wird immer wichtiger, da sich Unternehmen zunehmend auf datenorientierte Entscheidungen konzentrieren und Unternehmensdaten als wertvolles geistiges Eigentum ansehen. Über die Verschlüsselung von Daten hinaus stehlen manche Angreifer außerdem Informationen und drohen damit, diese anderen böswilligen Akteuren zur Verfügung zu stellen, wodurch der Druck auf die Unternehmen steigt, das Lösegeld zu zahlen.

Ransomware ist ein großes Geschäft. Bei vielen Bedrohungsakteuren handelt es sich um organisierte Verbrecherbanden. Der Wert der Ransomware-Industrie belief sich vor wenigen Jahren auf schätzungsweise 14 Milliarden US-Dollar. Woodward%2C%20M.%20%E2%80%9ERansomware%20statistics%3A%20How%20bad%20are%20ransomware%20attacks%20in%202024%3F%E2%80%9C%20Search%20Logistics.%20Aktualisiert%20im%20February%202025.

Manche Ransomware-Angriffe beginnen damit, einen Benutzer zum Öffnen einer Datei zu verleiten. Hierbei handelt es sich häufig um einen E-Mail-Anhang, über den anschließend schädlicher Code heruntergeladen wird, der sich im Netzwerk ausbreitet. In anderen Fällen werden Schwachstellen in Betriebssystemen, in physischen Sicherheitssystemen oder in Software-Anwendungen ausgenutzt, um Zugriff auf ein Netzwerk zu erlangen und das System zu infiltrieren.

Die erste umfassende Ransomware-Bedrohung trat im September 2013 durch CryptoLocker auf, einen Malware-Trojaner, der Benutzer dazu animierte, eine Datei herunterzuladen. Diese infizierte anschließend ihre Systeme und scannte das Netzwerk auf weitere Systeme und Dateien, die verschlüsselt werden können. Im Mai 2014 wurde CryptoLocker durch eine gemeinsame Operation der Strafverfolgungs- und Sicherheitsbehörden bekämpft. Jedoch sind weiterhin zahlreiche Imitate im Umlauf.

Seit der Bekämpfung von CryptoLocker wurden viele weitere Arten von Ransomware entwickelt. Einige der häufigsten Arten sind Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk und MegaCortex. Ungeachtet ihres jeweiligen Namens bleibt das Ziel dasselbe: Geld von den Opfern zu erpressen, um im Gegenzug ihre Daten und Dateien zu entschlüsseln.

Neue Ransomware-as-a-Service-Angebote (RaaS) ermöglichen es praktisch jeder Person mit grundlegenden Computerkenntnissen und Internetzugang, sich selbst am Geschäft mit Ransomware zu beteiligen. Dies führt zu einer erheblichen Zunahmen dieser Art von Angriffen. Für einen Anteil an der Lösegeldzahlung stellt der Ransomware-Autor anderen Cyberkriminellen Ressourcen wie Verschlüsselungs-Tools, Möglichkeiten zur Kommunikation mit den Opfern oder zum Eintreiben des Lösegelds zur Verfügung.

Viele der heutigen Ransomware-Angriffe können schwer zu erkennen sein, da sie zunehmend vor Systemadministratoren und Endgeräteschutz verborgen bleiben. Somit erhalten die Angreifer langfristigen Zugriff auf das Gerät und die Möglichkeit, willkürlichen Schaden zu verursachen. Die durchschnittliche Ransomware-Verweildauer beträgt 24 Tage, wodurch die Angreifer über ausreichend Zeit und Möglichkeiten verfügen, die Daten eines Unternehmens zu manipulieren.

Hierzu ist nicht mehr erforderlich als ein Benutzer, der ein schlechtes Passwortmanagement betreibt oder einen Link in einer Phishing-E-Mail anklickt und so ein Unternehmens-Netzwerk einem Risiko aussetzt. Das Durchführen von Sicherheitsschulungen für Beschäftigte ist ein wichtiger Schritt für viele Unternehmen, um das Risiko für das Eindringen von Ransomware in ihre Netzwerke zu senken. Darüber hinaus sollten regelmäßige Auffrischungs-Schulungen erfolgen, da die Angriffstechniken kontinuierlich weiterentwickelt werden.

Die beste Möglichkeit zum Schutz vor Malware, die Software-Schwachstellen ausnutzt, ist es, Betriebssysteme und wichtige Anwendungen mit allen Patches und Updates immer auf dem neuesten Stand zu halten. Netzwerküberwachung, Passwortschutz, Multifaktor-Authentifizierung (MFA) und Sicherheitsmaßnahmen für Endgeräte sind hilfreiche Technologien und Taktiken, um die Bedrohungen zu minimieren, denen das Unternehmen ausgesetzt ist.

Die Erkennung einer Datenverschlüsselung und die Forderung nach Lösegeld sind zwar die auffälligsten Anzeichen für Ransomware, sie treten jedoch erst am Ende eines Angriffs auf. Wenn Unternehmen die Anzeichen eines Ransomware-Angriffs frühzeitig erkennen, können sie den Angriff möglicherweise stoppen und weiteren Schaden verhindern. Verwenden Sie Systeme für die Angriffserkennung und -prävention (IDS/IPS) für eingehenden und ausgehenden Netzwerkverkehr und blockieren Sie böswillige und verdächtige Aktivitäten. Wenn potenzielle Bedrohungsaktivitäten erkannt werden, können IDS/IPS-Tools Bedrohungsinformationen im gesamten Sicherheitsökosystem verteilen, um zusätzliche Schutzmaßnahmen zu ergreifen.

Da es nicht möglich ist, die Bedrohung durch einen Ransomware-Angriff vollständig zu beseitigen, kann eine solide Sicherungsstrategie Unternehmen im Falle eines Angriffs eine schnelle Wiederherstellung mit minimalen Betriebsunterbrechungen ermöglichen. Diese Sicherungen sollten außerhalb des Netzwerks gespeichert werden, um sie einem Zugriff durch Malware zu entziehen, da Ransomware in vielen Fällen ebenfalls versucht, Sicherungsdateien zu verschlüsseln.

Viele der heutigen Ransomware-Angriffe können schwer zu erkennen sein, da sie zunehmend vor Systemadministratoren und Endgeräteschutz verborgen bleiben. Somit erhalten die Angreifer langfristigen Zugriff auf das Gerät und die Möglichkeit, willkürlichen Schaden zu verursachen. Die durchschnittliche Ransomware-Verweildauer beträgt 24 Tage, wodurch die Angreifer über ausreichend Zeit und Möglichkeiten verfügen, die Daten eines Unternehmens zu manipulieren.

Hierzu ist nicht mehr erforderlich als ein Benutzer, der ein schlechtes Passwortmanagement betreibt oder einen Link in einer Phishing-E-Mail anklickt und so ein Unternehmens-Netzwerk einem Risiko aussetzt. Das Durchführen von Sicherheitsschulungen für Beschäftigte ist ein wichtiger Schritt für viele Unternehmen, um das Risiko für das Eindringen von Ransomware in ihre Netzwerke zu senken. Darüber hinaus sollten regelmäßige Auffrischungs-Schulungen erfolgen, da die Angriffstechniken kontinuierlich weiterentwickelt werden.

Die beste Möglichkeit zum Schutz vor Malware, die Software-Schwachstellen ausnutzt, ist es, Betriebssysteme und wichtige Anwendungen mit allen Patches und Updates immer auf dem neuesten Stand zu halten. Netzwerküberwachung, Passwortschutz, Multifaktor-Authentifizierung (MFA) und Sicherheitsmaßnahmen für Endgeräte sind hilfreiche Technologien und Taktiken, um die Bedrohungen zu minimieren, denen das Unternehmen ausgesetzt ist.

Da es nicht möglich ist, die Bedrohung durch einen Ransomware-Angriff vollständig zu beseitigen, kann eine solide Sicherungsstrategie Unternehmen im Falle eines Angriffs eine schnelle Wiederherstellung mit minimalen Betriebsunterbrechungen ermöglichen. Diese Backups sollten außerhalb des Netzwerks gespeichert werden, um sie einem Zugriff durch Malware zu entziehen, da Ransomware in vielen Fällen ebenfalls versucht, Backupdateien zu verschlüsseln:

• E-Mail-Phishing: Phishing-E-Mails sind ein bekannter Ransomware-Vektor. Angreifer versenden E-Mails, die den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen. Diese Nachrichten versuchen üblicherweise, den Empfänger dazu zu verleiten, seine persönlichen Zugangsdaten auf einer gefälschten Website einzugeben oder eine Datei mit Malware herunterzuladen.
• Remote Desktop Protocol (RDP): Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft, das Benutzern den Aufbau einer Remote-Verbindung zu einem System ermöglicht, um dort Befehle auszuführen. Unglücklicherweise ist die RDP-Sicherheit darauf angewiesen, dass die Benutzer starke, einzigartige Passwörter verwenden, was in der Praxis häufig nicht der Fall ist. Angreifer können RDP-Zugangsdaten mühelos ermitteln oder gehackte Benutzernamen und Passwörter im Darknet erwerben und sich so Zugriff auf ein System verschaffen.
• Software-Schwachstellen: Software-Schwachstellen bieten eine weitere häufige Angriffsfläche für Ransomware. Nicht aktualisierte Software kann Lücken innerhalb der Sicherheitsarchitektur erzeugen und ein Eindringen von Malware ermöglichen. Diese Schwachstellen bieten Angreifern ein relativ einfaches Ziel, da es nicht erforderlich ist, Passwörter zu knacken oder anderweitig zu stehlen.

Leider können selbst die besten Sicherheitssysteme und -praktiken nicht vollständig vor Ransomware-Angriffen schützen. Ein mehrteiliger Sicherheitsansatz und umfassender Plan für die Datensicherung und -wiederherstellung sind von entscheidender Bedeutung. Denn damit lassen sich frühe Angriffsphasen erkennen, der Betrieb wiederherstellen und potenzielle Datenverluste im Falle eines erfolgreichen Angriffs minimieren.

Eine hyperkonvergente HPE SimpliVity Lösung konsolidiert die IT-Infrastruktur und vereinfacht sowohl die Datensicherungsstrategie als auch den Wiederherstellungsprozess, insbesondere für Unternehmen mit mehreren zu unterstützenden Außenstellen. Diese Lösungen bieten integrierte Funktionen, wie z. B. Datenschutz, sie tragen dazu bei, die Belastung zu verringern und einen besseren Schutz im gesamten Unternehmen zu gewährleisten, ob in einer Filiale oder einem externen Büro. Die Dateneffizienz ermöglicht durch häufigere Sicherungen einen nahezu kontinuierlichen Datenschutz, längere Aufbewahrungsfristen und eine schnellere Wiederherstellung. Im Falle einer Ransomware-Infektion können eine VM und alle ihre Daten schnell und einfach wiederhergestellt werden, wodurch Systemausfallzeiten, Betriebsunterbrechungen und Umsatzeinbußen minimiert werden.

HPE StoreOnce ist eine speziell entwickelte Backup-Anwendung (oder virtuelle Maschine) mit HPE StoreOnce Catalyst, um kritische Daten von Ransomware-Angreifern zu isolieren. So können Angreifer ohne direkte physische Interaktionen, die zu einer teilweisen oder vollständigen Zerstörung der Hardware führen, keinen Einfluss auf die Daten nehmen. Selbst wenn die Hardware an einem bestimmten Ort zerstört würde, beispielsweise durch Malware oder eine Naturkatastrophe, würde die erweiterte Implementierung von HPE StoreOnce Catalyst Speichern (verteilte Implementierung) geschäftskritische Daten durch effektives Isolieren von traditionellen Kommunikationswegen sowie von Befehlssätzen, die von Ransomware-Angreifern genutzt werden, geschützt.

HPE Zerto Software bietet Ihnen journalbasierte kontinuierliche Datensicherung (CDP) sowie eine beispiellose Wiederherstellung für Ihre virtualisierten und containerisierten Anwendungen und Daten vom Edge bis zur Cloud. Die Plattform der HPE Zerto Software bietet flexiblen Schutz zu, von und zwischen Clouds jeder Art und deckt Private Cloud-, Public Cloud- oder Cloud-native Bereitstellungen ab. Die Scale-out-Architektur kann Petabytes an Daten und Tausende von VMs schützen. Die rein softwarebasierte Lösung kopiert alle Datenänderungen, unabhängig von der zugrundeliegenden Hardware, ohne die Produktionssysteme zu verlangsamen.

Das sicherheitsorientierte, KI-basierte Netzwerk von HPE Aruba Networking bietet eine gemeinsame Zero-Trust-Grundlage, die Sicherheits- und Netzwerkteams nutzen können, um IoT- und KI-gestützte Geschäftsinitiativen voranzutreiben, ohne den Cybersicherheitsschutz zu beeinträchtigen. 

HPE Aruba Networking Central überwacht das Netzwerk auf bösartige Aktivitäten und verwendet Signaturen IDS/IPS-Bedrohungsinformationen, um den Netzwerkverkehr zu untersuchen und Muster zu erkennen, die mit der Kill Chain von Ransomware übereinstimmen; Bedrohungsereignisse zu generieren und (sofern von Sicherheitsadministratoren aktiviert) bösartige Datenpakete zu verwerfen. Diese Funktionen bieten eine zusätzliche Schutzebene, die das Netzwerk aktiv analysiert, Signale ausgibt und regelbasierte Maßnahmen für den Datenverkehr ergreift, um Bedrohungen wie Ransomware in Echtzeit zu verhindern. Die Webhooks in HPE Aruba Networking Central können zudem so konfiguriert werden, dass sie eine Benachrichtigung an die HPE Zerto Software senden, damit vorbeugende Maßnahmen ergriffen werden.

Um Malware-basierte Angriffe zu bekämpfen, bevor sie sich verbreiten können, ermöglicht eine Sandbox-Funktion in HPE Aruba Networking SSE Unternehmen, verdächtige Dateien in einer sicheren virtuellen Umgebung zu testen und schädliche Dateien zu zerstören, bevor sie einen Schaden anrichten.