Startseite

Themen

Ransomware

Was ist Ransomware?
IBM Ransomware-Lösung erkunden Registrieren sich für Updates zu Sicherheitsthemen
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck und Häkchen

Aktualisiert: 4. Juni 2024

Mitwirkender: Matthew Kosinski

Was ist Ransomware?

Bei Ransomware handelt es sich um eine Art von Malware, die die vertrauliche Daten oder das Gerät eines Opfers in Geiselhaft nimmt und damit droht, sie nicht mehr freizugeben – oder sie nur dann freizugeben, wenn das Opfer ein Lösegeld zahlt.

Die ersten Ransomware-Angriffe verlangten einfach ein Lösegeld im Austausch für den Verschlüsselungsschlüssel, der benötigt wurde, um den Zugriff auf die betroffenen Daten oder die Nutzung des infizierten Geräts wiederherzustellen. Durch regelmäßige oder kontinuierliche Datensicherungen kann ein Unternehmen die Kosten für diese Art von Ransomware-Angriffen begrenzen und oft die Zahlung des geforderten Lösegelds vermeiden.

In den letzten Jahren haben sich Ransomware-Angriffe dahingehend weiterentwickelt, dass sie auch Taktiken der doppelten und dreifachen Erpressung umfassen, was den Einsatz erheblich erhöht. Selbst Opfer, die rigoros Datensicherungen durchführen oder die ursprüngliche Lösegeldforderung bezahlen, sind gefährdet. 

Bei Doppelerpressungsangriffen besteht zusätzlich die Gefahr, dass die Daten des Opfers gestohlen und online preisgegeben werden. Bei dreifachen Erpressungsangriffen kommt die Bedrohung hinzu, dass die gestohlenen Daten verwendet werden, um auch die Kunden oder Geschäftspartner des Opfers anzugreifen.

Warum Ransomware eine große Cyberbedrohung ist 

Ransomware ist eine der häufigsten Formen von Schadsoftware, und Ransomware-Angriffe können die betroffenen Unternehmen Millionen von Dollar kosten. 

20 % aller 2023  vom IBM® X-Force® Threat Intelligence Index registrierten Cyberangriffe betrafen Ransomware. Und diese Angriffe geschehen schnell. Wenn Hacker Zugriff auf ein Netzwerk erhalten, dauert es weniger als vier Tage, bis Ransomware eingesetzt wird. Diese Geschwindigkeit gibt Unternehmen wenig Zeit, um potenzielle Angriffe zu erkennen und zu vereiteln.

Die Opfer von Ransomware und die Verhandlungsführer zögern, Lösegeldzahlungen zu veröffentlichen, aber die Bedrohungsakteure verlangen oft sieben- und achtstellige Beträge. Und Lösegeldzahlungen sind nur ein Teil der Gesamtkosten einer Ransomware-Infektion. Laut dem IBM-Bericht zu den Kosten eines Datenschutzverstoßes belaufen sich die durchschnittlichen Kosten eines Ransomware Verstoßes auf 5,13 Millionen USD, wobei Ransom-Zahlungen nicht enthalten sind. 

Dennoch werden Cybersicherheitsteams immer geschickter bei der Bekämpfung von Ransomware. Der X-Force Threat Intelligence Index stellt fest, dass Ransomware-Infektionen zwischen 2022 und 2023 um 11,5 % zurückgehen, was wahrscheinlich auf Verbesserungen bei der Erkennung und Abwehr von Bedrohungen zurückzuführen ist.  

Das definitive Ransomware-Handbuch von IBM

Erweitern Sie Ihr Wissen und überdenken Sie Ihren Notfallplan, um die Abwehrkräfte Ihres Unternehmens gegen Ransomware zu stärken.

Ähnliche Inhalte Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Arten von Ransomware

Es gibt zwei allgemeine Arten von Ransomware. Der häufigste Typ, verschlüsselnde Ransomware oder Krypto-Ransomware genannt, nimmt die Daten des Opfers als Geisel, indem er sie verschlüsselt. Der Angreifer verlangt dann ein Lösegeld als Gegenleistung für die Bereitstellung des zum Entschlüsseln der Daten erforderlichen Verschlüsselungsschlüssels.

Die weniger verbreitete Form von Ransomware, die so genannte nicht verschlüsselnde Ransomware oder bildschirmsperrende Ransomware, sperrt das gesamte Gerät des Opfers, üblicherweise indem sie den Zugriff auf das Betriebssystem blockiert. Anstatt wie gewohnt zu starten, zeigt das Gerät einen Bildschirm an, auf dem die Lösegeldforderung angezeigt wird.

Diese beiden allgemeinen Typen lassen sich in diese Unterkategorien einteilen:

Leakware oder Doxware

Leakware bzw. Doxware ist Ransomware, die vertrauliche Daten stiehlt oder ausliest und mit deren Veröffentlichung droht. Während frühere Formen von Leakware oder Doxware oft Daten stahlen, ohne sie zu verschlüsseln, tun die heutigen Varianten meist beides.

Ransomware für Mobilgeräte

Mobile Ransomware umfasst alle Ransomware, die Mobilgeräte betrifft. Bei der meisten mobilen Ransomware, die über bösartige Apps oder Drive-by-Downloads verbreitet wird, handelt es sich um nicht-verschlüsselnde Ransomware. Hacker bevorzugen Screen-Lockers für mobile Angriffe, weil automatische Cloud-Datensicherungen, die bei vielen mobilen Geräten Standard sind, es leicht machen, Verschlüsselungsangriffe rückgängig zu machen.

Wipers

Wiper oder destruktive Ransomware drohen damit, Daten zu zerstören, wenn das Opfer das Lösegeld nicht zahlt. In einigen Fällen zerstört die Ransomware die Daten, selbst wenn das Opfer bezahlt. Es wird oft vermutet, dass die letztgenannte Art von Wiper nicht von gewöhnlichen Cyberkriminellen, sondern von nationalstaatlichen Akteuren oder Hacktivisten eingesetzt wird. 

Scareware

Scareware ist genau das, wonach es klingt — Ransomware, die versucht, Benutzer zu erschrecken, damit sie ein Lösegeld zahlen. Scareware könnte sich als Nachricht einer Strafverfolgungsbehörde ausgeben, in der das Opfer einer Straftat beschuldigt und eine Geldstrafe gefordert wird. Alternativ könnte es eine legitime Warnung vor einer Virusinfektion fälschen und das Opfer dazu ermutigen, als Antivirensoftware getarnte Ransomware zu kaufen.

Manchmal handelt es sich bei der Scareware um Ransomware, die Daten verschlüsselt oder das Gerät sperrt. In anderen Fällen handelt es sich um den Ransomware-Vektor, der nichts verschlüsselt, aber das Opfer dazu nötigt, Ransomware herunterzuladen. 

So infiziert Ransomware ein System oder Gerät  

Ransomware-Angriffe können verschiedene Methoden bzw. Vektoren verwenden, um ein Netzwerk oder Gerät zu infizieren. Zu den bekanntesten Ransomware-Infizierungsvektoren zählen:

Phishing und andere Social Engineering-Angriffe

Social-Engineering- Angriffe verleiten Opfer dazu, ausführbare Dateien herunterzuladen und auszuführen, die sich als Ransomware herausstellen. Beispielsweise kann eine Phishing-E-Mail einen bösartigen Anhang enthalten, der als harmlos aussehende PDF-Datei, als Microsoft Word-Dokument oder eine andere Datei getarnt ist. 

Social-Engineering-Angriffe können Benutzer auch dazu verleiten, eine bösartige Website zu besuchen oder bösartige QR-Codes zu scannen, die die Ransomware über den Webbrowser des Benutzers weiterleiten.

Sicherheitslücken in Betriebssystemen und Software

Cyberkriminelle nutzen häufig vorhandene Sicherheitslücken aus, um schädlichen Programmcode in ein Gerät oder Netzwerk einzuschleusen. 
 
Zero-Day-Schwachstellen, d. h. Schwachstellen, die der Sicherheitsgemeinschaft entweder unbekannt sind oder zwar erkannt, aber noch nicht gepatcht wurden, stellen eine besondere Bedrohung dar. Einige Ransomware-Gruppen kaufen Informationen über Zero-Day-Schwachstellen von anderen Hackern, um ihre Angriffe zu planen. Hacker haben auch gepatchte Sicherheitslücken effektiv als Angriffsvektoren genutzt, wie bei dem im Jahr 2017 aufgezeichneten WannaCry-Angriff.

Diebstahl von Berechtigungsnachweisen

Cyberkriminelle können die Berechtigungsnachweise autorisierter Benutzer stehlen, im Dark Web kaufen oder durch einen Brute-Force-Angriff knacken. Mit diesen Berechtigungsnachweisen melden sie sich dann bei einem Netzwerk oder Computer an und setzen Ransomware direkt ein. 

Das Remote Desktop Protocol (RDP), ein proprietäres Microsoft-Protokoll, das Benutzern den Fernzugriff auf einen Computer ermöglicht, ist ein beliebtes Ziel für den Diebstahl von Berechtigungsnachweisen unter Ransomware-Angreifern.

Andere Malware

Hacker verwenden oft Malware, die für andere Angriffe entwickelt wurde, um Ransomware auf ein Gerät zu bringen. Bedrohungsakteure nutzten den Trojaner Trickbot, der ursprünglich entwickelt wurde, um Bankdaten zu stehlen, um die Conti-Ransomware-Variante im Jahr 2021 zu verbreiten.

Drive-by-Downloads

Hacker können Websites verwenden, um Ransomware ohne das Wissen der Benutzer auf Geräte zu übertragen. Exploit-Kits verwenden manipulierte Websites, um die Browser von Besuchern nach Sicherheitslücken bei Webanwendung zu durchsuchen, mit denen sie Ransomware auf ein Gerät einfügen können. 

Malvertising – legitime digitale Anzeigen, die von Hackern manipuliert wurden – kann Ransomware auf Geräte übertragen, selbst wenn der Benutzer nicht auf die Anzeige klickt.

Ransomware as a Service

Cyberkriminelle müssen nicht unbedingt ihre eigene Ransomware entwickeln, um diese Vektoren auszunutzen. Einige Ransomware-Entwickler geben ihren Malware-Code über RaaS-Vereinbarungen (Ransomware as a Service) an Cyberkriminelle weiter. 

Der Cyberkrimineller oder „Partner“ nutzt den Code, um einen Angriff durchzuführen, und teilt dann die Lösegeldzahlung mit dem Entwickler. Diese Beziehung ist für beide Seiten von Vorteil. Die Partner können von der Erpressung profitieren, ohne ihre eigene Malware entwickeln zu müssen, und die Entwickler können ihre Gewinne steigern, ohne zusätzliche Cyberangriffe durchzuführen.

Ransomware-Distributoren können Ransomware über digitale Marktplätze im Dark Web verkaufen. Sie können Partner auch direkt über Online-Foren oder ähnliche Wege anwerben. Große Ransomware-Gruppen haben erhebliche Summen investiert, um Partner zu gewinnen.

Phasen einer Ransomware Attacke

Eine Ransomware-Attacke durchläuft normalerweise die folgenden Phasen.

Phase 1: Erstzugriff

Laut dem Definitiven Handbuch zu Ransomware von IBM Security® sind die häufigsten Vektoren für Ransomware-Angriffe Phishing, die Ausnutzung von Schwachstellen und die Kompromittierung von Fernzugriffsprotokollen wie RDP. 

Phase 2: Post Exploitation

Je nach ursprünglichem Zugangsvektor können Hacker ein zwischengeschaltetes Fernzugriffstool (Remote Access Tool, RAT) oder andere Malware einsetzen, um im Zielsystem Fuß zu fassen. 

Phase 3: Verstehen und erweitern

In dieser dritten Phase konzentrieren sich die Angreifer darauf, das lokale System und die Domäne, auf die sie derzeit Zugriff haben, zu verstehen. Außerdem arbeiten die Angreifer daran, sich Zugang zu weiteren Systemen und Domains zu verschaffen – die sogenannte Lateralbewegung.

Phase 4: Erfassung und Exfiltration von Daten

In dieser Phase konzentrieren sich die Ransomware-Akteure darauf, wertvolle Daten zu identifizieren und diese zu exfiltrieren (zu stehlen), normalerweise indem sie eine Kopie für sich selbst herunterladen oder exportieren. 

Angreifer können zwar alle Daten, auf die sie zugreifen können, exfiltrieren, konzentrieren sich aber in der Regel auf besonders wertvolle Daten – Anmeldeberechtigungsnachweise, persönliche Daten von Kunden, geistiges Eigentum –, die sie für eine doppelte Erpressung nutzen können.

Phase 5: Bereitstellung und Versand der Notiz

Krypto-Ransomware beginnt mit der Identifizierung und Verschlüsselung von Dateien. Manche Krypto-Ransomware deaktiviert zudem die Funktionen zur Systemwiederherstellung oder löscht oder verschlüsselt Backups auf dem Computer oder im Netzwerk des Opfers, um den Druck zu erhöhen, für den Entschlüsselungsschlüssel zu zahlen.

Nicht verschlüsselnde Ransomware sperrt den Bildschirm des Geräts, überflutet das Gerät mit Pop-ups oder hindert das Opfer anderweitig an der Verwendung des Geräts.

Nachdem die Dateien verschlüsselt wurden oder das Gerät unbrauchbar gemacht wurde, macht die Ransomware das Opfer auf die Infektion aufmerksam. Diese Benachrichtigung erfolgt häufig über eine .txt- Datei, die auf dem Desktop des Computers abgelegt wird, oder über ein Popup-Fenster.

Die Lösegeldforderung enthält Anweisungen zur Zahlung des Lösegelds, in der Regel in einer Kryptowährung oder einer ebenso wenig zurückverfolgbaren Methode, im Austausch für einen Entschlüsselungsschlüssel oder die Wiederherstellung der normalen Funktionsweise. Die Zahlung erfolgt im Austausch für einen Entschlüsselungsschlüssel oder die Wiederherstellung der normalen Funktionsweise.

Bekannte Ransomware Varianten

Bis heute haben Cybersicherheits-Forscher Tausende von verschiedenen Ransomware-Varianten oder „Familien“ identifiziert – einzigartige „Stämme“ mit eigenen Codesignaturen und Funktionen. 

Dabei sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert. 

CryptoLocker


CryptoLocker erschien erstmals im September 2013 und wird weithin dafür verantwortlich gemacht, das moderne Zeitalter der Ransomware eingeläutet zu haben. 

CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. USD erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten. 

Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya.

WannaCry


Der erste aufsehenerregende Kryptowurm – eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann – wurde mit WannaCry auf über 200.000 Computern in 150 Ländern eingeschleust. Die betroffenen Computer waren anfällig, weil die Administratoren es versäumt hatten, Patches für die EternalBlue-Sicherheitslücke in Microsoft Windows zu installieren. 

Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Betroffenen nicht innerhalb von sieben Tagen eine Zahlung leisten würden. Mit geschätzten Kosten von bis zu 4 Mrd. USD handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.

Petya und NotPetya


Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann. 

Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wischer, der nicht in der Lage war, Systeme zu entsperren, selbst nachdem die Opfer bezahlt hatten.

Ryuk


Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Sicherungsdateien und Systemwiederherstellungsfunktionen finden und deaktivieren. Eine neue Sorte mit Kryptowurm-Funktionen erschien 2021.

DarkSide


DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff. In einer Aktion, die von vielen als der bisher schlimmste Cyberangriff auf kritische US-Infrastrukturen angesehen wird, legte DarkSide vorübergehend die Pipeline lahm, die 45 % des Treibstoffs für die US-Ostküste liefert.

Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.

Locky


Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die sich als legitime Rechnungen ausgeben. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.

REvil


REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen. 

REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Millionen USD, nachdem die Hacker den gesamten US-Rindfleischverarbeitungsbetrieb unterbrochen hatten. Mehr als 1.000 Software-Kunden von Kaseya waren von erheblichen Ausfallzeiten betroffen.

Der russische Föderale Sicherheitsdienst berichtete, er habe REvil demontiert und Anfang 2022 mehrere seiner Mitglieder angeklagt.

Conti


Die Conti-Bande wurde erstmals im Jahr 2020 beobachtet und betrieb ein umfangreiches RaaS-System, bei dem sie Hackern ein regelmäßiges Gehalt für die Nutzung ihrer Ransomware zahlte. Conti wandte eine einzigartige Form der doppelten Erpressung an, bei der die Bande drohte, den Zugang zum Netzwerk des Opfers an andere Hacker zu verkaufen, wenn das Opfer nicht zahlte.

Conti löste sich auf, nachdem die internen Chatprotokolle der Bande im Jahr 2022 durchsickerten, aber viele ehemalige Mitglieder sind immer noch in der Welt der Cyberkriminalität aktiv. Laut dem X-Force Threat Intelligence Index wurden ehemalige Conti-Mitarbeiter mit einigen der heute am weitesten verbreiteten Ransomware-Varianten in Verbindung gebracht, darunter BlackBasta, Royal und Zeon. 

LockBit


LockBit ist laut X-Force Threat Intelligence Index eine der häufigsten Ransomware-Varianten im Jahr 2023 und zeichnet sich durch das sachliche Verhalten seiner Entwickler aus. Die LockBit-Gruppe ist dafür bekannt, dass sie andere Malware-Stämme auf die gleiche Art und Weise übernimmt wie seriöse Unternehmen andere Firmen. 

Obwohl die Strafverfolgungsbehörden im Februar 2024 einige Websites von LockBit beschlagnahmten und die US-Regierung Sanktionen gegen einen der führenden Köpfe der Bande verhängte, greift LockBit weiterhin Opfer an. 

Lösegeldzahlungen

Die Lösegeldforderungen variieren stark, und viele Opfer geben nicht bekannt, wie viel sie gezahlt haben, sodass es schwierig ist, einen durchschnittlichen Betrag für Lösegeldzahlungen zu ermitteln. Die meisten Schätzungen gehen jedoch von einem hohen sechsstelligen bis niedrigen siebenstelligen Betrag aus. Laut dem Definitiven Handbuch zu Ransomware von IBM haben die Angreifer Lösegeldzahlungen in Höhe von bis zu 80 Millionen USD gefordert.

Wichtig ist, dass der Anteil der Opfer, die überhaupt ein Lösegeld zahlen, in den letzten Jahren stark zurückgegangen ist. Nach Angaben des auf Cyber-Erpressung spezialisierten Unternehmens Coveware haben im Jahr 2023 nur 37 % der Opfer ein Lösegeld gezahlt, verglichen mit 70 % im Jahr 2020.1

Experten verweisen auf eine bessere Vorbereitung auf Cyberkriminalität - einschließlich erhöhter Investitionen in Datensicherungen, Pläne zur Reaktion auf Vorfälle und Technologien zur Verhinderung und Erkennung von Bedrohungen – als mögliche Ursache für diese Trendwende.

Leitlinien für die Strafverfolgung


US-amerikanische Vollzugsbehörden raten Ransomware-Opfern einstimmig davon ab, Lösegeldforderungen zu zahlen. So erläutert die National Cyber Investigative Joint Task Force (NCIJTF), ein Zusammenschluss von 20 US-Bundesbehörden, die mit der Untersuchung von Cyberbedrohungen betraut sind:

„Das FBI ermutigt nicht dazu, Lösegeld an kriminelle Akteure zu zahlen. Die Zahlung eines Lösegelds kann Angreifer ermutigen, weitere Organisationen ins Visier zu nehmen, andere kriminelle Akteure zur Verbreitung von Ransomware ermutigen und/oder illegale Aktivitäten finanzieren. Die Zahlung des Lösegelds ist zudem keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden.“

Die Strafverfolgungsbehörden empfehlen den Opfern von Ransomware, Angriffe bei den zuständigen Behörden, wie dem Internet Crime Complaint Center (IC3) des FBI, zu melden, bevor sie Lösegeld zahlen. 

Einige Opfer von Ransomware-Angriffen sind gesetzlich verpflichtet, Ransomware-Infektionen zu melden, unabhängig davon, ob ein Lösegeld gezahlt wird. Zum Beispiel verlangt die HIPAA-Compliance im Allgemeinen, dass Gesundheitseinrichtungen jede Datenschutzverletzung, einschließlich Ransomware-Angriffen, dem Department of Health and Human Services melden.

Unter bestimmten Umständen kann die Zahlung eines Lösegelds illegal sein. 

Das US Office of Foreign Assets Control (OFAC) hat erklärt, dass die Zahlung von Lösegeld an Angreifer aus Ländern, die unter US-Wirtschaftssanktionen stehen – wie Nordkorea oder Iran – gegen OFAC-Vorschriften verstößt. Bei Verstößen drohen zivilrechtliche Sanktionen, Geldstrafen oder Strafanzeigen. 

Einige US-Bundesstaaten, wie Florida und North Carolina, haben die Zahlung von Lösegeld durch staatliche Behörden für illegal erklärt.

Schutz vor und Reaktion auf Ransomware

Cybersicherheitsexperten und Bundesbehörden wie die Cybersecurity and Infrastructure Security Agency (CISA) und der US-Geheimdienst empfehlen Unternehmen, Vorsichtsmaßnahmen zur Abwehr von Ransomware-Bedrohungen zu treffen. Diese Maßnahmen können Folgendes umfassen:

  • Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die im Falle eines Ransomware-Angriffs vom Netz getrennt werden können.  

  • Regelmäßiges Anwenden von Patches, um Ransomware-Angriffe abzuwehren, die Sicherheitslücken in Software und Betriebssystemen ausnutzen. 

  • Cybersecurity-Tools wie Antimalware-Software, Netzwerküberwachungs-Tools, Endpoint Detection and Response (EDR)-Plattformen und Security Information and Event Management (SIEM)-Systeme können Sicherheitsteams dabei helfen, Ransomware in Echtzeit abzufangen.

  • Cybersicherheitsschulungen für Mitarbeiter helfen den Benutzern, Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.

  • Die Implementierung von Richtlinien zur Zugriffskontrolle, einschließlich Multi-Faktor-Authentifizierung, Netzwerksegmentierung und ähnlicher Maßnahmen kann verhindern, dass Ransomware an besonders vertrauliche Daten gelangt. Identity und Access Management (IAM)-Kontrollen können ebenfalls verhindern, dass sich Kryptowürmer auf andere Geräte im Netzwerk ausbreiten.

  • Formale Pläne zur Reaktion auf Vorfälle ermöglichen es Sicherheitsteams, Verstöße in kürzerer Zeit zu erkennen und zu beheben. Der Bericht über die Kosten einer Datenschutzverletzung hat ergeben, dass Unternehmen mit formalen Plänen und engagierten Notfallteams Datenschutzverletzungen 54 Tage schneller erkennen als Unternehmen, die über keines von beiden verfügen. Diese schnellere Entdeckung senkt die Kosten für die Behebung und spart Unternehmen durchschnittlich 1,49 Millionen USD pro Verstoß.  

Während Entschlüsselungs-Tools für einige Ransomware-Varianten über Projekte wie No More Ransom2 öffentlich verfügbar sind, erfordert die Behebung einer aktiven Ransomware-Infizierung oft einen vielschichtigen Ansatz. 

Ein Beispiel für einen nach dem Incident Response Life Cycle des National Institute of Standards and Technology (NIST) modellierten Ransomware-Interventionsplan finden Sie im definitiven Ransomware-Handbuch von IBM Security. 

Eine kurze Zeitleiste der Ransomware

1989: Die erste dokumentierte Ransomware, bekannt als „AIDS-Trojaner“ oder „P.C. Cyborg“-Angriff, wird über Disketten verbreitet. Das Programm versteckt Dateiverzeichnisse auf dem Computer des Opfers und verlangt 189 USD, um sie wieder freizugeben. Da diese Malware die Dateinamen und nicht die Dateien selbst verschlüsselt, ist es für Benutzer einfach, den Schaden ohne Zahlung eines Lösegelds rückgängig zu machen.

1996: Während sie den AIDS-Trojaner analysieren, warnen die Computerwissenschaftler Adam L. Young und Moti Yung vor zukünftigen Formen von Malware, die eine ausgefeiltere Kryptographie verwenden könnten, um sensible Daten als Geiseln zu nehmen.

2005: Nach relativ wenigen Ransomware-Attacken in den frühen 2000er Jahren kommt es zu einem Anstieg der Infizierungen, vor allem in Russland und Osteuropa. Es erscheinen erste Varianten, die asymmetrische Verschlüsselung nutzen. Da neue Ransomware effektivere Möglichkeiten zur Erpressung von Geld bietet, beginnen mehr Cyberkriminelle damit, Ransomware weltweit zu verbreiten.

2009: Die Einführung von Kryptowährungen, insbesondere von Bitcoin, bietet Cyberkriminellen eine Möglichkeit, nicht nachverfolgbare Lösegeldzahlungen zu erhalten, was den nächsten Anstieg der Ransomware-Aktivitäten auslöst. 

2013: Mit CryptoLocker beginnt die moderne Ära der Ransomware und damit die aktuelle Welle hochentwickelter verschlüsselungsbasierter Ransomware-Attacken, bei denen eine Zahlung in einer Kryptowährung verlangt wird.

2015: Die Tox-Ransomware-Variante führt das Ransomware-as-a-Service-Modell (RaaS) ein.

2017: WannaCry, der erste weit verbreitete selbstreplizierende Kryptowurm, erscheint.

2018: Ryuk macht die Ransomware-Jagd auf hochkarätige Ziele populär. 

2019: Ransomware-Angriffe mit doppelter und dreifacher Erpressung werden immer beliebter. Bei fast jedem Ransomware-Vorfall, auf den das IBM Security® X-Force® Incident Response Team seit 2019 reagiert hat, ging es um doppelte Erpressung.

2022: Thread-Hijacking, bei dem sich Cyberkriminelle in legitime Online-Konversationen von Zielen einmischen, um Malware zu verbreiten, entwickelt sich zu einem wichtigen Ransomware-Vektor.

2023: Da die Abwehrmaßnahmen gegen Ransomware immer besser werden, beginnen viele Ransomware-Banden, ihr Arsenal zu erweitern und ihre Ransomware durch neue Erpressungstaktiken zu ergänzen. Insbesondere Gangs wie LockBit und einige Überbleibsel von Conti verwenden Infostealer-Malware, die es ihnen ermöglicht, vertrauliche Daten zu stehlen und als Geiseln zu halten, ohne die Systeme der Opfer sperren zu müssen.

Weiterführende Lösungen
Lösungen zum Schutz vor Ransomware

Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht und stellen Sie sich schnell wieder her, wenn Angriffe auftreten, um die Auswirkungen von Ransomware-Bedrohungen zu minimieren. 

Ransomware-Schutzlösungen erkunden
IBM Storage FlashSystem®

Das FlashCore-Modul 4 (FCM4) der nächsten Generation stellt im Falle eines Cyberangriffs einen resilienten Datenspeicher bereit. Überwachen Sie kontinuierlich die von jeder einzelnen E/A gesammelten Statistiken mit Hilfe maschineller Lernmodelle, um Anomalien wie Ransomware in weniger als einer Minute zu erkennen.

IBM Storage FlashSystem entdecken
IBM Storage Defender

Schützen Sie die primären und sekundären Speichersysteme Ihres Unternehmens proaktiv vor Ransomware, menschlichem Versagen, Naturkatastrophen, Sabotage, Hardwareausfällen und anderen Risiken des Datenverlusts.

IBM Storage Defender erkunden
Ressourcen Ransomware-Bekämpfung mit IBM Storage Defender und IBM Storage FlashSystem

Registrieren Sie sich für das Webinar, um zu erfahren, wie Sie die Leistungsfähigkeit von IBM Storage Defender und IBM FlashSystem zur Bekämpfung von Ransomware kombinieren können.

Backup reicht nicht aus – es ist an der Zeit für Datenresilienz

Schauen Sie sich die On-Demand-Aufzeichnung an, in der Sie praktische Schritte zum Aufbau eines widerstandsfähigeren Betriebs und zur Sicherung Ihrer Daten erfahren.

X-Force Threat Intelligence Index

Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.

Machen Sie den nächsten Schritt

IBM Cybersecurity Services bieten Beratung, Integration und Managed Security Services sowie offensive und defensive Funktionen. Wir kombinieren ein globales Expertenteam mit eigenen und Partnertechnologien, um maßgeschneiderte Sicherheitsprogramme für das Risikomanagement mitzugestalten.

Mehr über Cybersicherheitsservices Think-Newsletter abonnieren
Fußnoten

Alle Links befinden sich außerhalb von ibm.com

1 Neue Anforderungen an die Meldung von Ransomware treten in Kraft, da die Opfer zunehmend die Zahlung vermeidenCoveware. 26. Januar 2024.

2 Entschlüsselungstools. Kein Lösegeld mehr.