Ransomware ist eine Art von Schadsoftware, die den Zugriff auf Computerdateien, -systeme oder -daten verweigert, bis ein Lösegeld gezahlt wird. Ransomware stellt zwar eine eigenständige Bedrohung innerhalb der umfassenderen Kategorie der Malware dar, die verschiedene Formen bösartiger Software umfasst, die darauf abzielt, Computersysteme, Dateien und Daten zu stören, zu beschädigen oder auf andere Weise unbefugten Zugriff darauf zu erlangen, aber es wird zunehmend beobachtet, dass Ransomwareangriffe auch andere Arten von Cyberangriffen umfassen, wie z.B. Denial-of-Service (DoS), da die Cyberkriminellen versuchen, den Druck auf die Opfer zu maximieren, damit diese den Lösegeldforderungen nachgeben.
Wie jüngste Berichte gezeigt haben, ist die Zahlung von Lösegeld jedoch keine Garantie dafür, dass die Systeme und Daten eines Opfers wiederhergestellt werden können oder werden, und die Zahlung bietet auch keine Garantie dafür, dass das Opfer nicht im selben Vorfall von einem anderen Bedrohungsakteur weiter erpresst wird, da das Ransomwareökosystem heute so beschaffen ist, dass mehrere Akteure hinter einem einzigen erfolgreichen Angriff stehen können. Diese Elemente in der Entwicklung der Ransomware-Bedrohung werden im Folgenden näher erläutert.
Ransomware ist zwar erst in den letzten zehn Jahren als Bedrohung in Erscheinung getreten, doch ihre Anfänge liegen bereits über 30 Jahre zurück. Als erster Ransomwareangriff gilt der 1989 aufgetauchte AIDS-Trojaner, dessen Name auf die Teilnehmer einer von der Weltgesundheitsorganisation veranstalteten AIDS-Konferenz hinweist. Das auch als PC Cyborg bekannte Programm wurde über Disketten verbreitet, die von London aus an die vorgesehenen Opfer in Dutzenden von Ländern weltweit verschickt wurden. Der Angriff, bei dem nicht die Dateien selbst, sondern deren Namen verschlüsselt und bestimmte Verzeichnisse versteckt wurden, enthielt eine Lösegeldforderung in Form einer angeblichen Lizenzverlängerung, für die die Opfer 189 Dollar an ein Postfach in Panama schicken mussten, um wieder Zugang zu erhalten. Einige bemerkenswerte Ergebnisse des Angriffs waren die Einführung der ersten frei verfügbaren Ransomwareentschlüsselungstools für Opfer und die Einführung des Computer Misuse Act im Vereinigten Königreich.
Ransomware erlangte jedoch erst fast 30 Jahre nach dem Vorfall mit dem AIDS-Trojaner durch weltweit bedeutsame Angriffe wie WannaCry im Jahr 2017 breite öffentliche Bekanntheit. WannaCry zielte auf Computer mit Microsoft Windows ab, verschlüsselte Daten und forderte eine Zahlung in der Kryptowährung Bitcoin. Der Angriff, von dem weltweit hunderttausende von Computern betroffen waren und der Schäden in Milliardenhöhe verursachte, wurde zunächst vermutet, dass er sich über eine E-Mail-Phishing-Kampagne verbreitete, erwies sich jedoch als Ausnutzung von Schwachstellen in der Verwaltung des Server Message Block (SMB)-Protokolls von Windows. Da Microsoft bereits einige Monate vor dem Vorfall ein Patch für die betreffende Sicherheitslücke zur Verfügung gestellt hatte, machte der Angriff deutlich, wie wichtig es ist, die Systeme regelmässig zu aktualisieren, und dass viele Unternehmen die verfügbaren Sicherheits-Patches regelmässig nicht anwenden. Aus diesem Grund werden SMB-Schwachstellen auch heute noch von Angreifern ausgenutzt.
NotPetya, das 2017 in spektakulärer Weise ans Licht kam und weiterhin als die zerstörerischste Cyberattacke aller Zeiten gilt, ist bemerkenswert, weil es als Ransomwareangriff getarnt war, sich aber als rein destruktiv erwies und in erster Linie auf die Ukraine abzielte. Der Angriff, der Schätzungen zufolge weltweit einen Schaden von mehr als 10 Milliarden US-Dollar verursacht hat, wies eine gewisse Ähnlichkeit mit der bereits erwähnten WannaCry-Attacke auf (ganz zu schweigen von der Petya-Ransomware, von der er seinen Namen hat), konnte sich aber wesentlich stärker ausbreiten, insbesondere auf nicht anfällige Rechner. NotPetya zeigt nicht nur das schiere Ausmass der potenziell zerstörerischen Auswirkungen solcher Angriffe, sondern auch die Tatsache, dass sich die Zahlung eines Lösegelds für die Opfer als völlig aussichtslos erweisen kann. Dies gilt heute häufig auch dann, wenn die Angreifer Ransomware und nicht Wiper-Malware wie im Fall von NotPetya einsetzen und ihre Forderungen erfüllen.
Ransomwareangriffe sind vor allem in den letzten Jahren immer raffinierter, oft gezielter und sehr oft auch erpresserischer geworden. Ransomwareangreifer setzen heute nicht nur fortschrittlichere Verschlüsselungsmethoden ein, sondern führen auch „Mehrfach-Erpressungsangriffe“ durch. Dies kann in Form einer „doppelten Erpressung“ geschehen, bei der der Diebstahl oder die Verschlüsselung der Daten der Opfer mit der Drohung einhergeht, sensible Daten preiszugeben, wenn das Lösegeld nicht gezahlt wird, wodurch der Druck auf das Zielunternehmen erhöht wird. Ein „dreifacher Erpressungsangriff“, manchmal auch als „dreifache Bedrohung“ von Ransomware bezeichnet, beinhaltet in der Regel ein zusätzliches Störelement wie z.B. einen Denial-of-Service-Angriff (DoS) auf eine Website, um den Druck zur Zahlung des Lösegelds weiter zu erhöhen. Da die Komplexität von Cyberangriffen im Allgemeinen zugenommen hat, hat sich auch das Ökosystem der Ransomwareangriffe weiterentwickelt, so dass sich heute verschiedene Akteure auf unterschiedliche Phasen im Gesamtablauf eines Angriffs spezialisiert haben. Gleichzeitig hat das Aufkommen von Ransomware-as-a-Service (RaaS) die Bedrohung weiter vergrössert und ermöglicht es so genannten Partnern von Ransomware-Banden, Ransomware-Angriffe ohne das gleiche Mass an Fachwissen auszuführen, indem sie vorentwickelte Tools nutzen, die ihnen auf Abonnementbasis verkauft werden.
Eine wirksame Reaktion auf Ransomware-Angriffe umfasst mehrere wichtige Schritte:
Teichmann International (IT Solutions) AG bietet ein einzigartiges, umfassendes Angebot an Ransomware-Reaktions- und Risikominderungsdiensten. Unsere Experten sind in der Lage, die technische und rechtliche Komplexität von Ransomware-Angriffen zu bewältigen. Unsere Dienstleistungen tragen dazu bei, eine schnelle, strategisch ausgerichtete Reaktion zu gewährleisten, die entscheidend ist, um die Auswirkungen zu minimieren und die Risiken, Kosten und weiteren Schäden zu mindern, die sowohl kurzfristig als auch langfristig nach einem Ransomwareangriff entstehen können.
Wir bieten Notfallreaktionsdienste für Ransomware sowohl als vollständig verwalteten Service als auch in enger Zusammenarbeit mit Ihren Sicherheitsteams an, um betroffene Systeme zu identifizieren und zu isolieren, Eindämmungsmassnahmen zu implementieren und die Bedrohung schliesslich zu beseitigen. Die Incident Response von TI IT umfasst einen kombinierten Cyber- und Rechtskrisenmanagement-Service, der es Unternehmen ermöglicht, kohärent, umfassend und vor allem schnell zu reagieren und gleichzeitig eine klare Kommunikation mit allen relevanten Interessengruppen aufrechtzuerhalten. Dies ist entscheidend, um die potenziellen Kosten und den allgemeinen Schaden, der durch Ransomwareangriffe entsteht, sowohl kurzfristig als auch langfristig zu minimieren. Klicken Sie hier, um mehr zu erfahren.
Als Kernelement unserer Krisenmanagementunterstützung können wir im Falle einer Erpressung in Ihrem Namen Verhandlungen führen und Sie bei Bedarf auch vor Behörden und Gerichten vertreten. Zu diesem Zweck werden die Identifizierung, Lokalisierung und Analyse digitaler Angriffsspuren erfasst und als gerichtsverwertbares Beweismaterial aufbereitet, falls erforderlich. Klicken Sie hier, um mehr zu erfahren.
Unsere Cyber Extortion Risk Management Services bieten eine proaktive Verbesserung der Sicherheitslage, indem sie Unternehmen dabei helfen, sich auf Ransomwareangriffe vorzubereiten und das Risiko zu mindern, bevor diese stattfinden. Dieser Service kombiniert eine Reihe von spezialisierten Beratungs- und technischen Lösungen, darunter: strategische Risikobewertungen, Entwicklung von Reaktionsplänen, Bereitstellung von erstklassigem Ransomware-Schutz und umfassenderen Lösungen zur Erkennung von Cyberbedrohungen sowie die Bereitstellung von Schulungen, um die allgemeine Widerstandsfähigkeit Ihres Unternehmens gegen Ransomwarebedrohungen zu verbessern und zu optimieren. Klicken Sie hier, um mehr zu erfahren.