Was ist Ransomware?
Ransomware-Angriffe sperren Daten und Geräte, bis ein Lösegeld bezahlt wird. Erfahren Sie mehr über die Weiterentwicklung von Ransomware und wie sich Unternehmen dagegen wehren.
„Das definitive Ransomware-Handbuch“ erhalten IBM Security QRadar kennenlernen
Person, die am Schreibtisch sitzt und auf den offenen Laptop vor sich blickt
Was ist Ransomware?

Bei Ransomware handelt es sich um eine Art von Malware, die die Daten oder das Gerät eines Opfers sperrt und damit droht, sie nicht mehr freizugeben – oder sie nur dann freizugeben, wenn das Opfer ein Lösegeld zahlt. Laut dem IBM Security X-Force Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 Prozent aller Cyberangriffe aus.

Die ersten Ransomware-Attacken verlangten einfach ein Lösegeld im Austausch für den Chiffrierschlüssel, mit dem der Zugriff auf die betroffenen Daten oder die Nutzung des infizierten Geräts wiederhergestellt werden konnte. Durch regelmäßige oder fortlaufende Datensicherungen kann ein Unternehmen die Kosten für diese Art von Ransomware-Attacken begrenzen und die Zahlung des geforderten Lösegelds oft vermeiden.

In den letzten Jahren haben sich Ransomware-Attacken jedoch zu Doppel- und Dreifach-Erpressungsangriffen weiterentwickelt, die das Risiko erheblich erhöhen – selbst für Opfer, die konsequent Datensicherungen aufrechterhalten oder die erste Lösegeldforderung bezahlen. Bei Angriffen mit doppelter Erpressung wird zusätzlich damit gedroht, die Daten des Opfers zu stehlen und online zu veröffentlichen; bei Angriffen mit dreifacher Erpressung wird zusätzlich damit gedroht, die gestohlenen Daten zu verwenden, um die Kunden oder Geschäftspartner des Opfers anzugreifen.

Der X-Force Threat Intelligence Index 2023 stellt fest, dass der Anteil von Ransomware an den gesamten Cybersicherheitsvorfällen von 2021 bis 2022 um 4 Prozent zurückgegangen ist, was wahrscheinlich darauf zurückzuführen ist, dass die Verteidiger Ransomware-Attacken erfolgreicher erkennen und verhindern konnten. Dieses positive Ergebnis verblasst jedoch angesichts einer massiven Verkürzung der durchschnittlichen Angriffszeit um 94 Prozent – von zwei Monaten auf weniger als vier Tage, sodass Unternehmen nur sehr wenig Zeit haben, potenzielle Angriffe zu erkennen und zu verhindern.

Ransomware-Opfer und Unterhändler scheuen sich, den Betrag der Lösegeldzahlungen offenzulegen. Laut dem definitiven Ransomware-Handbuch sind die Lösegeldforderungen jedoch auf sieben- und achtstellige Beträge gestiegen. Und Lösegeldzahlungen machen nur einen Teil der Gesamtkosten einer Ransomware-Infizierung aus. Laut dem IBM-Bericht „Kosten eines Datenschutzverstoßes 2022“ betrugen die durchschnittlichen Kosten einer durch eine Ransomware-Attacke verursachten Datenschutzverletzung – ohne Lösegeldzahlung – 4,54 Millionen USD. Es wird erwartet, dass Ransomware-Attacken ihre Opfer im Jahr 2023 insgesamt schätzungsweise 30 Milliarden USD kosten werden (Link befindet sich außerhalb von ibm.com).

Arten von Ransomware

Es gibt zwei grundsätzliche Arten von Ransomware. Der häufigste Typ, die so genannte verschlüsselnde Ransomware oder Krypto-Ransomware, nimmt die Daten des Opfers als Geisel, indem sie sie verschlüsselt. Der Angreifer verlangt dann ein Lösegeld als Gegenleistung für die Bereitstellung des Chiffrierschlüssels, der zum Entschlüsseln der Daten erforderlich ist.

Die weniger verbreitete Form von Ransomware, die so genannte nicht verschlüsselnde Ransomware oder bildschirmsperrende Ransomware, sperrt das gesamte Gerät des Opfers, üblicherweise indem sie den Zugriff auf das Betriebssystem blockiert. Anstatt wie gewohnt zu starten, zeigt das Gerät einen Bildschirm an, auf dem die Lösegeldforderung angezeigt wird.

Diese beiden Typen lassen sich weiter in die folgenden Unterkategorien unterteilen:

  • Leakware/Doxware ist Ransomware , die vertrauliche Daten stiehlt oder ausliest und mit deren Veröffentlichung droht. Während frühere Formen von Leakware oder Doxware oft Daten stahlen, ohne sie zu verschlüsseln, tun die heutigen Varianten oft beides.

  • Mobile Ransomware umfasst alle Ransomware, die Mobilgeräte zum Ziel hat. Bei mobiler Ransomware, die über schädliche Apps oder Drive-by-Downloads verbreitet wird, handelt es sich in der Regel um nicht verschlüsselnde Ransomware, da automatisierte Cloud-Datensicherungen, die bei vielen Mobilgeräten Standard sind, die Umkehrung von Verschlüsselungsangriffen erleichtern.

  • Wipers/Destructive Ransomware droht damit, Daten zu zerstören, wenn das Lösegeld nicht bezahlt wird – außer in Fällen, in denen die Ransomware die Daten zerstört, selbst wenn das Lösegeld bezahlt wird. Es wird oft vermutet, dass die letztgenannte Art von Wiper nicht von gewöhnlichen Cyberkriminellen, sondern von nationalstaatlichen Akteuren oder Hacktivisten eingesetzt wird.

  • Scareware ist genau das, wonach es sich anhört: Ransomware, die versucht, Benutzern Angst zu machen und sie so zur Zahlung eines Lösegelds zu bewegen. Scareware kann beispielsweise als Nachricht einer Vollzugsbehörde dargestellt werden, in der das Opfer eines Verbrechens beschuldigt und eine Geldstrafe gefordert wird, oder sie fälscht eine legitime Virenwarnung und fordert das Opfer auf, Antiviren- oder Antimalware-Software zu kaufen. Manchmal handelt es sich bei der Scareware um Ransomware, die Daten verschlüsselt oder das Gerät sperrt; In anderen Fällen handelt es sich um den Ransomware-Vektor, der nichts verschlüsselt, aber das Opfer dazu nötigt, Ransomware herunterzuladen.
Für „Das definitive Ransomware-Handbuch 2023“ registrieren
So infiziert Ransomware ein System oder Gerät

Ransomware-Attacken können mehrere Methoden oder Vektoren verwenden, um ein Netzwerk oder Gerät zu infizieren. Zu den bekanntesten Ransomware-Infizierungsvektoren gehören:

  • Phishing-E-Mails und andere Social-Engineering-Angriffe: Phishing-E-Mails bringen Benutzer durch Manipulation dazu, einen schädlichen Anhang herunterzuladen und auszuführen (der die Ransomware als harmlos aussehende PDF-Datei, als Microsoft Word-Dokument oder als andere Datei getarnt enthält) oder eine schädliche Website zu besuchen, die die Ransomware über den Webbrowser des Benutzers verbreitet. In der Studie zur Cyber-Resilienz von Unternehmen 2021 von IBM verursachten Phishing und andere Social-Engineering-Taktiken 45 Prozent aller von den Umfrageteilnehmern gemeldeten Ransomware-Attacken und sind damit der häufigste aller Ransomware-Angriffsvektoren.

  • Sicherheitslücken in Betriebssystemen und Software: Cyberkriminelle nutzen häufig vorhandene Sicherheitslücken aus, um schädlichen Programmcode in ein Gerät oder Netzwerk einzufügen. Zero-Day-Schwachstellen, d. h. Schwachstellen, die der Sicherheitsgemeinschaft entweder unbekannt sind oder zwar erkannt, aber noch nicht gepatcht wurden, stellen eine besondere Bedrohung dar. Einige Ransomware-Gruppen kaufen Informationen über Zero-Day-Schwachstellen von anderen Hackern, um ihre Angriffe zu planen. Hacker haben auch gepatchte Sicherheitslücken effektiv als Angriffsvektoren genutzt, wie beim unten beschriebenen WannaCry-Angriff 2017.

  • Diebstahl von Berechtigungsnachweisen: Cyberkriminelle können die Berechtigungsnachweise autorisierter Benutzer stehlen, im Dark Web kaufen oder durch einen Brute-Force-Angriff knacken. Mit diesen Berechtigungsnachweisen können sie sich dann bei einem Netzwerk oder Computer anmelden und Ransomware direkt einsetzen. Das Remote Desktop Protocol (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, das Benutzern den Fernzugriff auf einen Computer ermöglicht, ist ein beliebtes Ziel für den Diebstahl von Berechtigungsnachweisen unter Ransomware-Angreifern.

  • Andere Malware: Hacker verwenden häufig Malware, die für andere Angriffe entwickelt wurde, um Ransomware auf ein Gerät zu übertragen. Der Trojaner Trickbot zum Beispiel, der ursprünglich für den Diebstahl von Bankdaten entwickelt wurde, wurde im Jahr 2021 zur Verbreitung der Ransomware-Variante Conti verwendet.

  • Drive-by-Downloads: Hacker können Websites verwenden, um Ransomware ohne das Wissen der Benutzer auf Geräte zu übertragen. Exploit-Kits verwenden manipulierte Websites, um die Browser von Besuchern nach Sicherheitslücken bei Webanwendung zu durchsuchen, mit denen sie Ransomware auf das Gerät einfügen können. Malvertising – legitime digitale Anzeigen, die von Hackern manipuliert wurden – kann Ransomware auf Geräte übertragen, selbst wenn der Benutzer nicht auf die Anzeige klickt.

Cyberkriminelle müssen nicht unbedingt ihre eigene Ransomware entwickeln, um diese Vektoren auszunutzen. Einige Ransomware-Entwickler geben ihren Malware-Code über RaaS-Vereinbarungen (Ransomware-as-a-service) an Cyberkriminelle weiter. Der Cyberkrimineller oder „Partner“ nutzt den Code, um einen Angriff durchzuführen, und teilt dann die Lösegeldzahlung mit dem Entwickler. Diese Beziehung ist für beide Seiten von Vorteil: Die Partner können von der Erpressung profitieren, ohne ihre eigene Malware entwickeln zu müssen, und die Entwickler können ihre Gewinne steigern, ohne zusätzliche Cyberangriffe durchzuführen.

Ransomware-Distributoren können Ransomware über digitale Marktplätze verkaufen oder Partner direkt über Online-Foren oder ähnliche Wege rekrutieren. Große Ransomware-Gruppen haben erhebliche Summen investiert, um Partner zu gewinnen. Die REvil-Gruppe beispielsweise gab im Rahmen einer groß angelegten Rekrutierungsaktion im Oktober 2020 1 Million USD aus (Link befindet sich außerhalb von ibm.com).

Phasen einer Ransomware-Attacke

Eine Ransomware-Attacke durchläuft normalerweise die folgenden Phasen.

Phase 1: Erstzugriff

Die häufigsten Zugriffsvektoren für Ransomware-Attacken sind nach wie vor Phishing und die Ausnutzung von Schwachstellen.

Phase 2: Post Exploitation

Je nach ursprünglichem Zugriffsvektor kann in dieser zweiten Phase ein zwischengeschaltetes Fernzugriffstool (Remote Access Tool, RAT) oder Malware zum Einsatz kommen, bevor ein interaktiver Zugriff hergestellt wird.

Phase 3: Verstehen und erweitern

In dieser dritten Phase des Angriffs konzentrieren sich die Angreifer darauf, das lokale System und die Domäne, auf die sie derzeit Zugriff haben, zu verstehen und sich Zugang zu weiteren Systemen und Domänen zu verschaffen (sogenannte Lateralausbreitung).

Phase 4: Erfassung und Exfiltration von Daten

In dieser Phase konzentrieren sich die Ransomware-Akteure darauf, wertvolle Daten zu identifizieren und diese zu exfiltrieren (zu stehlen), normalerweise indem sie eine Kopie für sich selbst herunterladen oder exportieren. Angreifer können zwar alle Daten, auf die sie zugreifen können, exfiltrieren, konzentrieren sich aber in der Regel auf besonders wertvolle Daten – Anmeldeberechtigungsnachweise, persönliche Daten von Kunden, geistiges Eigentum –, die sie für eine doppelte Erpressung nutzen können.

Phase 5: Bereitstellung und Versand der Notiz

Krypto-Ransomware beginnt mit der Identifizierung und Verschlüsselung von Dateien. Manche Krypto-Ransomware deaktiviert zudem die Funktionen zur Systemwiederherstellung oder löscht oder verschlüsselt Backups auf dem Computer oder im Netzwerk des Opfers, um den Druck zu erhöhen, für den Entschlüsselungsschlüssel zu zahlen. Nicht verschlüsselnde Ransomware sperrt den Bildschirm des Geräts, überflutet das Gerät mit Pop-ups oder hindert das Opfer anderweitig daran, das Gerät zu verwenden.

Sobald die Dateien verschlüsselt wurden und/oder das Gerät deaktiviert wurde, benachrichtigt die Ransomware das Opfer über die Infektion, häufig über eine auf dem Desktop des Computers abgelegte TXT-Datei oder durch eine Popup-Benachrichtigung. Die Lösegeldforderung enthält Anweisungen zur Zahlung des Lösegelds, in der Regel in einer Kryptowährung oder einer ebenso wenig zurückverfolgbaren Methode, im Austausch für einen Entschlüsselungsschlüssel oder die Wiederherstellung der normalen Funktionsweise.

Bekannte Ransomware-Varianten

Seit 2020 haben Cybersicherheitsforscher mehr als 130 verschiedene, aktive Ransomware-Familien oder -Varianten identifiziert – einzigartige Ransomware-Stämme mit eigenen Codesignaturen und Funktionen. 

Unter den vielen Ransomware-Varianten, die im Laufe der Jahre in Umlauf gebracht wurden, sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert.
 

CryptoLocker


CryptoLocker erschien erstmals im September 2013 und wird weithin dafür verantwortlich gemacht, das moderne Zeitalter der Ransomware eingeläutet zu haben. CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. USD erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten. Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya (siehe unten).
 

WannaCry


Der erste aufsehenerregende Kryptowurm – eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann – wurde mit WannaCry auf über 200.000 Computern (in 150 Ländern) eingeschleust, bei denen die Administratoren es versäumt hatten, Patches für die EternalBlue-Sicherheitslücke in Microsoft Windows zu installieren. Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Zahlung nicht innerhalb von sieben Tagen erfolgte. Mit geschätzten Kosten von bis zu 4 Mrd. USD handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.
 

Petya und NotPetya


Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann. Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wiper, der die Systeme auch nach Zahlung des Lösegelds nicht entsperren konnte.
 

Ryuk


Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Sicherungsdateien und Systemwiederherstellungsfunktionen aufspüren und deaktivieren; 2021 wurde ein neuer Stamm mit Kryptowurm-Fähigkeiten entdeckt.
 

DarkSide


DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff, was als bisher schlimmster Cyberangriff auf kritische US-Infrastruktur gilt. Infolgedessen wurde die Pipeline, die 45 Prozent des Treibstoffs für die US-Ostküste liefert, vorübergehend stillgelegt. Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.
 

Locky


Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die sich als legitime Rechnungen ausgeben. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.
 

REvil/Sodinokibi


REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen. REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die bemerkenswerten Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Mio. USD, nachdem der gesamte Betrieb der Rindfleischverarbeitung in den USA unterbrochen worden war, und mehr als 1.000 Softwarekunden von Kaseya waren von erheblichen Ausfallzeiten betroffen. Der russische Föderale Sicherheitsdienst berichtete, er habe REvil demontiert und Anfang 2022 mehrere seiner Mitglieder angeklagt.

Lösegeldzahlungen

Bis 2022 kamen die meisten Opfer von Ransomware-Attacken den Lösegeldforderungen ihrer Angreifer nach. In der Studie zur Cyber-Resilienz von Unternehmen 2021 von IBM gaben beispielsweise 61 Prozent der teilnehmenden Unternehmen, die innerhalb von zwei Jahren vor der Studie Opfer eines Ransomware-Angriffs geworden waren, an, ein Lösegeld gezahlt zu haben.

Jüngste Berichte deuten jedoch auf eine Änderung im Jahr 2022 hin. Das auf die Reaktion auf Cyber-Erpressungen spezialisierte Unternehmen Coveware hat herausgefunden, dass nur 41 Prozent der Ransomware-Opfer im Jahr 2022 ein Lösegeld gezahlt haben, verglichen mit 51 Prozent im Jahr 2021 und 70 Prozent im Jahr 2020 (Link befindet sich außerhalb von ibm.com). Und Chainanalysis, ein Anbieter von Blockchain-Datenplattformen, berichtete, dass Ransomware-Angreifer im Jahr 2022 fast 40 % weniger Geld von Opfern erpressten als im Jahr 2021 (Link befindet sich außerhalb von ibm.com). Experten verweisen auf eine bessere Vorbereitung auf Cyberkriminalität (einschließlich Daten-Backups) und gestiegene Investitionen in Bedrohungsprävention und Erkennungstechnologie als potenzielle Treiber für diese Trendwende.
 

Leitlinien für die Strafverfolgung


US-amerikanische Vollzugsbehörden raten Ransomware-Opfern einstimmig davon ab, Lösegeldforderungen zu zahlen. So erläutert die National Cyber Investigative Joint Task Force (NCIJTF), ein Zusammenschluss von 20 US-Bundesbehörden, die mit der Untersuchung von Cyberbedrohungen betraut sind:

„Das FBI ermutigt nicht dazu, Lösegeld an kriminelle Akteure zu zahlen. Die Zahlung eines Lösegelds kann Angreifer ermutigen, weitere Organisationen ins Visier zu nehmen, andere kriminelle Akteure zur Verbreitung von Ransomware ermutigen und/oder illegale Aktivitäten finanzieren. Die Zahlung des Lösegelds ist zudem keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden.“

Vollzugsbehörden empfehlen, dass Opfer von Ransomware Angriffe an die zuständigen Behörden wie das Internet Crime Complaint Center (IC3) des FBI melden, bevor sie ein Lösegeld bezahlen. Einige Opfer von Ransomware-Angriffen sind möglicherweise gesetzlich dazu verpflichtet, Ransomwareinfektionen zu melden, unabhängig davon, ob ein Lösegeld bezahlt wird. So müssen Einrichtungen des Gesundheitswesens gemäß HIPAA in der Regel jede Datenschutzverletzung, einschließlich Ransomware-Attacken, an das Department of Health and Human Services melden.

Unter bestimmten Umständen kann die Zahlung eines Lösegelds illegal sein. Laut einer Empfehlung des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums aus dem Jahr 2020 wäre die Zahlung von Lösegeld an Angreifer aus Ländern, die unter US-Wirtschaftssanktionen stehen – wie Russland, Nordkorea oder der Iran – ein Verstoß gegen die OFAC-Vorschriften und könnte zivilrechtliche Strafen, Geldbußen oder strafrechtliche Anklagen nach sich ziehen.

Schutz vor und Reaktion auf Ransomware

Zur Abwehr von Ransomware-Bedrohungen empfehlen Bundesbehörden wie CISA, NCIJFT und der US-amerikanische Secret Service Unternehmen, bestimmte Vorsichtsmaßnahmen zu ergreifen, wie zum Beispiel:

  • Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die vom Netz getrennt werden können.

  • Regelmäßiges Anwenden von Patches, um Ransomware-Angriffe abzuwehren, die Sicherheitslücken in Software und Betriebssystemen ausnutzen.

  • Aktualisieren von Cybersicherheitstools einschließlich Malwareschutz- und Antivirensoftware, Firewalls, Netzwerküberwachungstools und sicheren Web-Gateways sowie Cybersicherheitslösungen für Unternehmen wie Security Orchestration, Automation and Response (SOAR)Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) und Extended Detection and Response (XDR), mit denen Sicherheitsteams Ransomware in Echtzeit erkennen und darauf reagieren können.

  • Cybersicherheitsschulungen für Mitarbeiter helfen den Benutzern, Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.

  • Implementierung von Zugriffssteuerungsrichtlinien, einschließlich Multi-Faktor-Authentifizierung, Zero-Trust-Architektur, Netzsegmentierung und ähnlicher Maßnahmen, die verhindern können, dass Ransomware an besonders vertrauliche Daten gelangt, und die verhindern, dass sich Kryptowürmer auf andere Geräte im Netzwerk ausbreiten.

Während Entschlüsselungstools für einige Ransomware-Varianten über Projekte wie No More Ransom (Link befindet sich außerhalb von ibm.com) öffentlich verfügbar sind, erfordert die Behebung einer aktiven Ransomware-Infizierung oft einen vielschichtigen Ansatz. Ein Beispiel für einen nach dem Incident Response Life Cycle des National Institute of Standards and Technology (NIST) modellierten Ransomware-Interventionsplan finden Sie im definitiven Ransomware-Handbuch von IBM Security.

Eine kurze Zeitleiste der Ransomware

1989: Die erste dokumentierte Ransomware-Attacke, bekannt als AIDS-Trojaner oder „P.C. Cyborg-Angriff“, wurde über Disketten verbreitet. Diese blendete Dateiverzeichnisse auf dem Computer des Opfers aus und verlangte 189 USD, um sie wieder einzublenden. Da jedoch die Dateinamen und nicht die Dateien selbst verschlüsselt wurden, war es für Benutzer einfach, den Schaden ohne Zahlung eines Lösegelds rückgängig zu machen.

1996: Während sie die Mängel des AIDS-Trojaner-Virus analysierten, warnten die Computerwissenschaftler Adam L. Young und Moti Yung vor zukünftigen Formen von Malware, die eine ausgefeiltere Public-Key-Verschlüsselung nutzen könnten, um vertrauliche Daten als Geiseln zu nehmen. 

2005: Nach relativ wenigen Ransomware-Attacken in den frühen 2000er Jahren kommt es zu einem Anstieg der Infizierungen, vor allem in Russland und Osteuropa. Es erscheinen erste Varianten, die asymmetrische Verschlüsselung nutzen. Da neue Ransomware effektivere Möglichkeiten zur Erpressung von Geld bot, begannen mehr Cyberkriminelle damit, Ransomware weltweit zu verbreiten.

2009: Die Einführung von Kryptowährungen, insbesondere von Bitcoin, bietet Cyberkriminellen eine Möglichkeit, nicht nachverfolgbare Lösegeldzahlungen zu erhalten, was den nächsten Anstieg der Ransomware-Aktivitäten auslöst.

2013: Mit CryptoLocker beginnt die moderne Ära der Ransomware und damit die aktuelle Welle hochentwickelter verschlüsselungsbasierter Ransomware-Attacken, bei denen eine Zahlung in einer Kryptowährung verlangt wird.

2015: Die Tox-Ransomware-Variante führt das Ransomware-as-a-Service-Modell (RaaS) ein.

2017: WannaCry, der erste weit verbreitete selbstreplizierende Kryptowurm, erscheint.

2018: Ryuk macht die Ransomware-Jagd auf hochkarätige Ziele populär.

2019: Ransomware-Attacken mit doppelter und dreifacher Erpressung nehmen zu. Bei fast jedem Ransomware-Vorfall, auf den das IBM Security X-Force Incident Reponse Team seit 2019 reagiert hat, ging es um doppelte Erpressung.

2022: Thread-Hijacking, bei dem sich Cyberkriminelle in die Online-Konversationen von Zielpersonen einklinken, entwickelt sich zu einem wichtigen Ransomware-Vektor.

Weiterführende Lösungen
IBM Security® QRadar® Suite

Eine moderne, verbundene Sicherheitssuite hilft Ihnen dabei, Angreifer zu überlisten. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.

QRadar Suite kennenlernen
Lösungen zum Schutz vor Ransomware

Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen – mit einem Zero-Trust-Ansatz, der Ihnen hilft, Ransomware schneller zu erkennen und auf sie zu reagieren und die Folgen dieser Angriffe zu minimieren.

Ransomware-Schutzlösungen erkunden
IBM Security® X-Force® Incident Response

Nutzen Sie unsere Abwehrsicherheitsservices, die abonnementbasierte Programme zur Vorbereitung auf Vorfälle, zur Erkennung von Angriffen und zur Notfallabwehr umfassen, um einen Vorfall zu erkennen, darauf zu reagieren und die Auswirkungen einzudämmen, bevor größerer Schaden entsteht.

Mehr Informationen über die Reaktion auf Vorfälle mit X-Force
IBM Security® X-Force® Red

Nutzen Sie unsere offensiven Sicherheitsservices, die Penetrationstests, Schwachstellenmanagement und Angreifersimulation umfassen, um Sicherheitslücken in Ihrem gesamten digitalen und physischen Ökosystem zu identifizieren, zu priorisieren und zu korrigieren.

X-Force Red erkunden
Ressourcen X-Force Threat Intelligence Index

Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.

Das definitive Ransomware-Handbuch

Erfahren Sie, welche Schritte entscheidend sind, um Ihr Unternehmen zu schützen, bevor ein Ransomware-Angriff Ihre Abwehrmaßnahmen durchdringen kann, und wie Sie eine optimale Recovery erreichen, wenn Angreifer in den Perimeter eindringen.

Kosten einer Datenschutzverletzung

Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.

Was ist SIEM?

Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.

Sichere Bürger, starke Gemeinschaften

Los Angeles und IBM Security gründen gemeinsam die erste Gruppe zum Austausch von Informationen über Cyberbedrohungen zum Schutz vor Cyberkriminalität.

IBM Security Framing and Discovery Workshop

Arbeiten Sie mit erfahrenen IBM Sicherheitsarchitekten und Beratern zusammen, um Ihre Cybersicherheitsmaßnahmen in einer kostenlosen, virtuellen oder persönlichen, dreistündigen Design-Thinking-Session zu priorisieren.

Gehen Sie den nächsten Schritt

Cybersecurity-Bedrohungen treten immer häufiger auf und werden immer ausgefeilter. Für Sicherheitsanalysten wird es daher immer aufwendiger, die unzähligen Alerts und Vorfälle zu analysieren. IBM Security QRadar SIEM vereinfacht eine schnelle Abwehr von Sicherheitsbedrohungen und wahrt dabei die Rentabilität Ihres Unternehmens. QRadar SIEM priorisiert Alerts mit hoher Genauigkeit, um Sicherheitsbedrohungen abzufangen, die anderen entgehen würden.

Weitere Informationen zu QRadar SIEM QRadar SIEM Demo anfordern