16.08.2023
Im Jahr 2022 verzeichneten Unternehmen weltweit mehr als 493 Millionen Ransomware-Angriffe. Wir erläutern, was Sie tun können, wenn Cyberkriminelle Ihr Unternehmen ins Visier genommen haben – und was Sie tun sollten, damit Sie erst gar nicht zur Zielscheibe von Erpressern werden.
Unter Ransomware versteht man Schadsoftware, die darauf abzielt, wichtige Dateien auf einem Computer oder in einem Netzwerk zu verschlüsseln bzw. den Zugriff darauf auf andere Weise unmöglich zu machen. Verläuft eine solche Cyberattacke erfolgreich, fordern Angreifer ein Lösegeld. Im Gegenzug sichern sie zu, die Dateien oder den Zugriff darauf wiederherzustellen. Ransomware verbreitet sich oft über
Betrügerische E-Mails
Drive-by-Downloads (siehe Infokasten)
Schwachstellen in IT-Systemen
Cyber-Attacken mit erpresserischer Malware (Ransomware) können sowohl einzelne Dokumente als auch komplette Geräte und Systeme betreffen. Damit stellen sie eine ernsthafte Bedrohung für Ihr Geschäft dar, denn ein erfolgreicher Angriff kann zu Daten- und Reputationsverlust sowie massiven finanziellen Schäden führen.
Daher ist es empfehlenswert, Angriffen mithilfe geeigneter Maßnahmen vorzubeugen: Die Sensibilisierung Ihrer Belegschaft gehört ebenso dazu wie der Schutz von Geräten und Daten in Ihrem Unternehmen. Mithilfe spezieller Software inklusive Antivirus-Funktion und Ransomware-Schutz können Sie sich technisch absichern.
Nicht nur vertrauenswürdige Anbieter wie Microsoft und Google stellen Ihre Services z. B. per Cloud-Computing zur Verfügung. Auch Entwickler von Ransomware haben das Geschäftsmodell Software-as-a-Service für sich entdeckt und bieten die Nutzung ihrer Tools und Infrastruktur gegen Entgelt anderen Kriminellen an. Diese erhalten dank Ransomware-as-a-Service (RaaS) Zugang zu einer betriebsbereiten Malware, mit der sie eigene Angriffe durchführen können. Solche RaaS-Dienste umfassen in der Regel
eine benutzerfreundliche Oberfläche
technischen Online-Support
Abrechnungssysteme für Lösegeldzahlungen
Das Modell Ransomware-as-a-Service hat insofern zur Verbreitung von Cybercrime beigetragen, als das es auch weniger technisch versierten Personen ermöglicht, Cyberangriffe durchzuführen. Viele dieser Attacken erfolgen inzwischen nicht mehr manuell, sondern meist halbautomatisiert.
Eine typische Ransomware-Attacke verläuft in der Regel in drei Schritten, nachdem die Schadsoftware in Ihr System gelangt ist. Das kann beispielsweise über eine infizierte E-Mail geschehen.
Was Ihnen unbedingt klar sein sollte: Eine Gewähr dafür, dass Sie nach Zahlung der verlangten Geldsumme tatsächlich wieder Zugriff auf Ihre Daten erhalten oder eine Veröffentlichung unterbleibt, gibt es in keinem Fall. Behörden raten deshalb in aller Regel dazu, sich nicht auf Lösegeldforderungen einzulassen.
Cyber-Erpresser haben in den vergangenen Jahren immer wieder diverse Typen von Schadprogrammen erfolgreich für Attacken auf Wirtschaftsunternehmen und andere Institutionen eingesetzt. Diese Angriffe wurden zum Teil auch in den Medien publik.
Fachleute, die sich mit der Entwicklung von Schutzmaßnahmen vor Cyber-Threats befassen, unterteilen Ransomware in sogenannte Familien. Diese unterscheiden sich voneinander mit Blick auf bestimmte Merkmale und Verhaltensweisen. Bekannte Ransomware-Familien sind etwa Clop, Conti, Hive und LockBit, die sich in der Art und Weise, wie sich die Software der Erkennung entzieht, unterscheiden.
Clop: Im Mai 2021 wird die Universität Maastricht Opfer einer Clop-Ransomware-Attacke. In der Folge muss die Hochschule ihre IT-Systeme abschalten und den Vorlesungsbetrieb zeitweise einstellen. Das Lösegeld beträgt 200.000 Euro in Bitcoin.
Conti: Im Juni 2021 gelingt es Hackern, deren Sitz in Russland vermutet wird, den Virenschutz des international tätigen brasilianischen Fleisch-Verarbeiters JBS zu durchbrechen und die Conti-Ransomware zu installieren. JBS-Betriebe in den USA, Kanada und Australien müssen vorübergehend schließen. Die Lösegeldforderung: 11 Millionen US-Dollar in Bitcoin.
Hive: Im November 2021 verschlüsseln Kriminelle die Daten auf rund 3.100 Servern von MediaMarkt und Saturn in Deutschland und den Niederlanden. Laut Medienberichten können daher in den Läden des Unternehmens zeitweise weder Bestellungen aufgegeben noch Retouren bearbeitet werden. Die Lösegeldforderung beträgt zunächst 240 Millionen US-Dollar in Bitcoin und wird später auf 50 Millionen reduziert.
LockBit: Im Januar 2023 attackieren Cyber-Kriminelle kritische Infrastruktur in Großbritannien, indem sie Daten des Postdienstleisters Royal Mail verschlüsseln. Infolge des Angriffs mit der LockBit-Ransomware können wochenlang keine Sendungen ins Ausland verschickt werden. Die initiale Lösegeldforderung von rund 80 Millionen US-Dollar wird später reduziert.
Mit Blick auf den Schutz vor Ransomware und anderen Bedrohungen sollten Sie regelmäßige Back-ups Ihrer Systeme durchführen. Installieren Sie Sicherheitsupdates und Patches zeitnah, nutzen Sie eine Firewall sowie aktuelle Antivirensoftware. Sensibilisieren Sie Betriebsangehörige für Phishing, Social Engineering und andere Einfallstore für Kryptotrojaner. Implementieren Sie eine umfassende Sicherheitsrichtlinie inklusive sorgfältiger Verwaltung der Zugriffsrechte in Ihrem Unternehmen. Prüfen Sie Ihre Maßnahmen regelmäßig und aktualisieren Sie sie diese bei Bedarf.
Falls Sie trotz aller Sicherheitsmaßnahmen Opfer eines Erpressungsversuchs durch Trojaner werden, sollten Sie folgende Schritte einleiten, um den Schaden so gering wie möglich zu halten:
Betroffene Systeme isolieren: Trennen Sie infizierte Geräte sofort vom Netzwerk. So verhindern Sie eine weitere Ausbreitung der Schadsoftware.
IT-Abteilung informieren: Benachrichtigen Sie umgehend Ihre IT-Fachleute über den Angriff, damit sie den Vorfall analysieren und geeignete Maßnahmen ergreifen können.
Ruhe bewahren: Zahlen Sie kein Lösegeld. Andernfalls fördern Sie kriminelle Aktivitäten –Informieren Sie stattdessen die zuständigen Behörden.
Virenscan durchführen und Entschlüsselungstool verwenden: Ggf. können Sie selbst einen Virenscan durchführen, infizierte Daten löschen und ein Entschlüsselungstool verwenden, um wieder Zugriff auf Ihre Daten zu erlangen.
Daten sichern: Stellen Sie Ihre Daten aus vorherigen Back-ups wieder her. Stellen Sie vorher sicher, dass die Wiederherstellungsumgebung sauber ist. So vermeiden Sie erneute Infektionen.
Ransomware ist Schadsoftware, die Kriminelle auf den Geräten ihrer Opfer installieren.
Die Installation der auch als Verschlüsselungstrojaner oder Erpressungstrojaner bekannten Malware bleibt in der Regel zunächst unbemerkt.
Sobald der Trojaner aktiviert wird, verschlüsselt er Dateien bzw. macht den Zugriff auf sie auf andere Art unmöglich.
Im Anschluss fordert die Software die Opfer der Attacke zur Zahlung von Lösegeld auf.
Den Forderungen der Angreifer nachzukommen ist keine Gewähr dafür, dass die im Gegenzug zugesicherte Wiederherstellung der Daten auch tatsächlich erfolgt.
Melden Sie sich für den O2 Business Newsletter an und erhalten Sie Informationen zu weiteren Themen, Aktionen und Sonderangeboten für Geschäftskunden.
Ransomware zielt darauf ab, wichtige Dateien auf einem Computer oder in einem Netzwerk zu verschlüsseln bzw. den Zugriff darauf zu sperren. Sobald ein System infiziert ist, nimmt das Schadprogramm Dateien gewissermaßen als Geisel und zeigt Opfern eine Lösegeldforderung an. In der Regel verlangen Angreifer von ihren Opfern eine Zahlung in Form von Kryptowährung. Im Gegenzug versprechen Sie dafür, die Dateien wiederherzustellen bzw. den Zugriff auf sie wieder freizugeben. Eine Garantie dafür gibt es allerdings nicht.
Die häufigsten Methoden, die Kriminelle für ihre Angriffe nutzen, sind Phishing-E-Mails, Social Engineering und sogenannte Drive-by-Downloads mithilfe von Websites, die mit Schadsoftware infiziert sind. Wenn Sie eine solche Website besuchen, können Angreifer Schwachstellen in Ihrem Webbrowser, in Plug-ins oder anderen Softwareanwendungen ausnutzen, um automatisch Ransomware auf Ihrem Gerät zu installieren. Die Installation der Schadsoftware verläuft in der Regel so, dass Sie davon nichts merken.
Es gibt eine Vielzahl von Gruppen und Individuen, die Ransomware-Angriffe ausführen – und sie können unterschiedliche Ziele, Taktiken und Techniken haben. In der Regel stecken dahinter Einzelpersonen oder kriminelle Organisationen, die finanziellen Gewinn anstreben. In einigen Fällen können auch politische oder ideologische Motive eine Rolle spielen. Die Identität der Täter hinter erpresserischen Online-Angriffen ist oft schwer zu ermitteln, da die Angreifer sich geschickt anonymisieren und ihren Standort verschleiern. Dafür nutzen sie häufig verschlüsselte Kommunikationskanäle und setzen für Lösegeldzahlungen auf Kryptowährungen wie Bitcoin.
Malware ist ein Oberbegriff für schädliche Software mit unterschiedlichen Zielen wie etwa
Ausführung unerwünschter Aktionen auf Geräten der Opfer
Diebstahl von Daten
Schädigung von Systemen
Als Ransomware wird hingegen eine bestimmte Art von Malware bezeichnet, die darauf spezialisiert ist, Daten ihrer Opfer zu verschlüsseln oder auf andere Weise unzugänglich zu machen. Ziel der auch als Verschlüsselungstrojaner oder Erpressungstrojaner geläufigen Ransomware ist es, Opfer zur Zahlung von Lösegeld zu bewegen.
Passend zum Thema