Was ist Ransomware?

Die ersten Ransomware-Angriffe verlangten einfach ein Lösegeld im Austausch für den Verschlüsselungsschlüssel, der benötigt wurde, um den Zugriff auf die betroffenen Daten oder die Nutzung des infizierten Geräts wiederherzustellen. Durch regelmäßige oder kontinuierliche Datensicherungen kann ein Unternehmen die Kosten für diese Art von Ransomware-Angriffen begrenzen und oft die Zahlung des geforderten Lösegelds vermeiden.

In den letzten Jahren haben sich Ransomware-Angriffe dahingehend weiterentwickelt, dass sie auch Taktiken der doppelten und dreifachen Erpressung umfassen, was den Einsatz erheblich erhöht. Selbst Opfer, die rigoros Daten-Backups durchführen oder die ursprüngliche Lösegeldforderung bezahlen, sind gefährdet.

Bei Doppelerpressungsangriffen besteht zusätzlich die Gefahr, dass die Daten des Opfers gestohlen und online preisgegeben werden. Bei dreifachen Erpressungsangriffen kommt die Bedrohung hinzu, dass die gestohlenen Daten verwendet werden, um auch die Kunden oder Geschäftspartner des Opfers anzugreifen.

Ransomware ist eine der häufigsten Formen von Schadsoftware, und Ransomware-Angriffe können die betroffenen Unternehmen Millionen von Dollar kosten.

20 % aller 2023  vom IBM® X-Force® Threat Intelligence Index registrierten Cyberangriffe betrafen Ransomware. Und diese Angriffe geschehen schnell. Wenn Hacker Zugriff auf ein Netzwerk erhalten, dauert es weniger als vier Tage, bis Ransomware eingesetzt wird. Diese Geschwindigkeit gibt Unternehmen wenig Zeit, um potenzielle Angriffe zu erkennen und zu vereiteln.

Die Opfer von Ransomware und die Verhandlungsführer zögern, Lösegeldzahlungen zu veröffentlichen, aber die Bedrohungsakteure verlangen oft sieben- und achtstellige Beträge. Und Lösegeldzahlungen machen nur einen Teil der Gesamtkosten einer Ransomware-Infizierung aus. Laut dem Data Breach Kostenreport von IBM belaufen sich die durchschnittlichen Kosten eines Ransomware-Verstoßes auf 5,68 Millionen USD, wobei Ransom-Zahlungen nicht berücksichtigt sind.

Cybersicherheitsteams werden immer geschickter bei der Bekämpfung von Ransomware. Der X-Force Threat Intelligence Index stellt fest, dass Ransomware-Infektionen zwischen 2022 und 2023 um 11,5 % zurückgingen, was wahrscheinlich auf Verbesserungen bei der Erkennung und Abwehr von Bedrohungen zurückzuführen ist.

Es gibt zwei allgemeine Arten von Ransomware. Der häufigste Typ, verschlüsselnde Ransomware oder Krypto-Ransomware genannt, nimmt die Daten des Opfers als Geisel, indem er sie verschlüsselt. Der Angreifer verlangt dann ein Lösegeld als Gegenleistung für die Bereitstellung des zum Entschlüsseln der Daten erforderlichen Verschlüsselungsschlüssels.

Die weniger verbreitete Form von Ransomware, die so genannte nicht verschlüsselnde Ransomware oder bildschirmsperrende Ransomware, sperrt das gesamte Gerät des Opfers, üblicherweise indem sie den Zugriff auf das Betriebssystem blockiert. Anstatt wie gewohnt zu starten, zeigt das Gerät einen Bildschirm an, auf dem die Lösegeldforderung angezeigt wird.

Diese beiden allgemeinen Typen lassen sich in diese Unterkategorien einteilen:

Leakware bzw. Doxware ist Ransomware, die vertrauliche Daten stiehlt oder ausliest und mit deren Veröffentlichung droht. Während frühere Formen von Leakware oder Doxware oft Daten stahlen, ohne sie zu verschlüsseln, tun die heutigen Varianten meist beides.

Mobile Ransomware umfasst alle Ransomware, die Mobilgeräte betrifft. Bei der meisten mobilen Ransomware, die über bösartige Apps oder Drive-by-Downloads verbreitet wird, handelt es sich um nicht-verschlüsselnde Ransomware. Hacker bevorzugen Screen-Lockers für mobile Angriffe, weil automatische Cloud-Datensicherungen, die bei vielen mobilen Geräten Standard sind, es leicht machen, Verschlüsselungsangriffe rückgängig zu machen.

Wiper, also destruktive Ransomware, drohen damit, Daten zu zerstören, wenn das Opfer das Lösegeld nicht zahlt. In einigen Fällen zerstört die Ransomware die Daten, selbst wenn das Opfer bezahlt. Diese letztere Art von Wiper wird häufig von staatlichen Akteuren oder Hacktivisten eingesetzt und nicht von gewöhnlichen Cyberkriminellen.

Scareware ist genau das, wonach es sich anhört: Ransomware, die versucht, Benutzern Angst zu machen und sie so zur Zahlung eines Lösegelds zu bewegen. Scareware kann als Nachricht einer Strafverfolgungsbehörde getarnt sein, die das Opfer eines Verbrechens beschuldigt und eine Geldstrafe fordert. Oder die Malware täuscht eine legitime Warnung vor einer Vireninfektion vor und fordert das Opfer dazu auf, als Antivirensoftware getarnte Ransomware zu kaufen.

Manchmal handelt es sich bei der Scareware um Ransomware, die Daten verschlüsselt oder das Gerät sperrt. In anderen Fällen handelt es sich um den Ransomware-Vektor, der nichts verschlüsselt, aber das Opfer dazu nötigt, Ransomware herunterzuladen.

Ransomware-Angriffe können verschiedene Methoden bzw. Vektoren verwenden, um ein Netzwerk oder Gerät zu infizieren. Zu den bekanntesten Ransomware-Infizierungsvektoren zählen:

Social-Engineering-Angriffe verleiten Opfer dazu, ausführbare Dateien herunterzuladen und auszuführen, die sich als Ransomware herausstellen. So kann beispielsweise eine Phishing-E-Mail einen bösartigen Anhang enthalten, der als harmlos aussehende PDF-Datei, Microsoft Word-Dokument oder eine andere Datei getarnt ist.

Social-Engineering-Angriffe können Benutzer auch dazu verleiten, eine bösartige Website zu besuchen oder bösartige QR-Codes zu scannen, die die Ransomware über den Webbrowser des Benutzers weiterleiten.

Cyberkriminelle nutzen häufig vorhandene Sicherheitslücken aus, um schädlichen Programmcode in ein Gerät oder Netzwerk einzuschleusen.

Zero-Day-Schwachstellen, d. h. Schwachstellen, die der Sicherheitsgemeinschaft entweder unbekannt sind oder zwar erkannt, aber noch nicht gepatcht wurden, stellen eine besondere Bedrohung dar. Einige Ransomware-Gruppen kaufen Informationen über Zero-Day-Schwachstellen von anderen Hackern, um ihre Angriffe zu planen. Hacker haben auch gepatchte Sicherheitslücken effektiv als Angriffsvektoren genutzt, wie bei dem im Jahr 2017 aufgezeichneten WannaCry-Angriff.

Cyberkriminelle können die Zugangsdaten autorisierter Benutzer stehlen, im Dark Web kaufen oder durch einen Brute-Force-Angriff knacken. Mit diesen Zugangsdaten melden sie sich dann bei einem Netzwerk oder Computer an und setzen Ransomware direkt ein.

Das Remote Desktop Protocol (RDP), ein proprietäres Microsoft-Protokoll, das Benutzern den Fernzugriff auf einen Computer ermöglicht, ist ein beliebtes Ziel für den Diebstahl von Berechtigungsnachweisen unter Ransomware-Angreifern.

Hacker verwenden oft Malware, die für andere Angriffe entwickelt wurde, um Ransomware auf ein Gerät zu bringen. Bedrohungsakteure nutzten im Laufe des Jahres 2021 den Trickbot-Trojaner, der ursprünglich zum Diebstahl von Bankdaten entwickelt wurde, um die Conti-Ransomware-Variante zu verbreiten.

Hacker können Websites verwenden, um Ransomware ohne das Wissen der Benutzer auf Geräte zu übertragen. Exploit-Kits verwenden manipulierte Websites, um die Browser von Besuchern nach Sicherheitslücken bei Webanwendung zu durchsuchen, mit denen sie Ransomware auf ein Gerät einfügen können.

Malvertising – legitime digitale Anzeigen, die von Hackern manipuliert wurden – kann Ransomware auf Geräte übertragen, selbst wenn der Benutzer nicht auf die Anzeige klickt.

Cyberkriminelle müssen nicht unbedingt ihre eigene Ransomware entwickeln, um diese Vektoren auszunutzen. Einige Ransomware-Entwickler geben ihren Malware-Code über RaaS-Vereinbarungen (Ransomware as a Service) an Cyberkriminelle weiter.

Der Cyberkrimineller oder „Partner“ nutzt den Code, um einen Angriff durchzuführen, und teilt dann die Lösegeldzahlung mit dem Entwickler. Diese Beziehung ist für beide Seiten von Vorteil. Die Partner können von der Erpressung profitieren, ohne ihre eigene Malware entwickeln zu müssen, und die Entwickler können ihre Gewinne steigern, ohne zusätzliche Cyberangriffe durchzuführen.

Ransomware-Distributoren können Ransomware über digitale Marktplätze im Dark Web verkaufen. Sie können Partner auch direkt über Online-Foren oder ähnliche Wege anwerben. Große Ransomware-Gruppen haben erhebliche Summen investiert, um Partner zu gewinnen.

Eine Ransomware-Attacke durchläuft normalerweise die folgenden Phasen.

Bis heute haben Cybersicherheitsforscher Tausende von verschiedenen Ransomware-Varianten oder -„Familien“ identifiziert, einzigartige „Stämme“ mit eigenen Codesignaturen und Funktionen.

Dabei sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert.

CryptoLocker erschien erstmals im September 2013 und gilt allgemein als Auslöser des modernen Zeitalters der Ransomware.

CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. USD erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten.

Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya.

Der erste aufsehenerregende Kryptowurm, eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann, wurde mit WannaCry auf über 200.000 Computern in 150 Ländern eingeschleust. Die betroffenen Computer waren anfällig, weil die Administratoren es versäumt hatten, Patches für die EternalBlue-Sicherheitslücke in Microsoft Windows zu installieren.

Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Betroffenen nicht innerhalb von sieben Tagen eine Zahlung leisten würden. Mit geschätzten Kosten von bis zu 4 Mrd. USD handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.

Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann.

Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wischer, der nicht in der Lage war, Systeme zu entsperren, selbst nachdem die Opfer bezahlt hatten.

Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Backup-Dateien und Systemwiederherstellungsfunktionen finden und deaktivieren. Ein neuer Stamm mit Kryptowurm-Funktionen erschien 2021.

DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff. In einer Aktion, die von vielen als der bisher schlimmste Cyberangriff auf kritische US-Infrastrukturen angesehen wird, legte DarkSide vorübergehend die Pipeline lahm, die 45 % des Treibstoffs für die US-Ostküste liefert.

Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.

Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die als legitime Rechnungen getarnt sind. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.

REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen.

REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Millionen USD, nachdem die Hacker den gesamten US-Rindfleischverarbeitungsbetrieb unterbrochen hatten. Mehr als 1.000 Software-Kunden von Kaseya waren von erheblichen Ausfallzeiten betroffen.

Der russische Föderale Sicherheitsdienst berichtete, er habe REvil demontiert und Anfang 2022 mehrere seiner Mitglieder angeklagt.

Die Conti-Bande wurde erstmals im Jahr 2020 beobachtet und betrieb ein umfangreiches RaaS-System, bei dem sie Hackern ein regelmäßiges Gehalt für die Nutzung ihrer Ransomware zahlte. Conti wandte eine einzigartige Form der doppelten Erpressung an, bei der die Bande drohte, den Zugang zum Netzwerk des Opfers an andere Hacker zu verkaufen, wenn das Opfer nicht zahlte.

Conti löste sich auf, nachdem die internen Chatprotokolle der Bande im Jahr 2022 bekannt wurden, aber viele ehemalige Mitglieder sind immer noch in der Welt der Cyberkriminalität aktiv. Laut dem X-Force Threat Intelligence Index wurden ehemalige Conti-Mitarbeiter mit einigen der heute am weitesten verbreiteten Ransomware-Varianten in Verbindung gebracht, darunter BlackBasta, Royal und Zeon.

LockBit war laut X-Force Threat Intelligence Index eine der häufigsten Ransomware-Varianten im Jahr 2023 und zeichnet sich durch das geschäftsmäßige Verhalten seiner Entwickler aus. Die LockBit-Gruppe ist für die Übernahme anderer Schadsoftware-Stämme bekannt, ähnlich wie legitime Unternehmen andere Unternehmen erwerben.

Obwohl die Strafverfolgungsbehörden im Februar 2024 einige Websites von LockBit beschlagnahmten und die US-Regierung Sanktionen gegen einen der führenden Köpfe der Bande verhängte, greift LockBit weiterhin Opfer an. 

Die Lösegeldforderungen variieren stark, und viele Opfer geben nicht bekannt, wie viel sie gezahlt haben, sodass es schwierig ist, einen durchschnittlichen Betrag für Lösegeldzahlungen zu ermitteln. Die meisten Schätzungen gehen jedoch von einem hohen sechsstelligen bis niedrigen siebenstelligen Betrag aus. Laut dem Definitiven Handbuch zu Ransomware von IBM haben die Angreifer Lösegeldzahlungen in Höhe von bis zu 80 Millionen USD gefordert.

Wichtig ist, dass der Anteil der Opfer, die überhaupt ein Lösegeld zahlen, in den letzten Jahren stark zurückgegangen ist. Nach Angaben des auf Cyber-Erpressung spezialisierten Unternehmens Coveware haben im Jahr 2023 nur 37 % der Opfer ein Lösegeld gezahlt, verglichen mit 70 % im Jahr 2020.¹

Experten verweisen auf eine bessere Vorbereitung auf Cyberkriminalität - einschließlich erhöhter Investitionen in Datensicherungen, Pläne zur Reaktion auf Vorfälle und Technologien zur Verhinderung und Erkennung von Bedrohungen – als mögliche Ursache für diese Trendwende.

US-amerikanische Vollzugsbehörden raten Ransomware-Opfern einstimmig davon ab, Lösegeldforderungen zu zahlen. So erläutert die National Cyber Investigative Joint Task Force (NCIJTF), ein Zusammenschluss von 20 US-Bundesbehörden, die mit der Untersuchung von Cyberbedrohungen betraut sind:

„Das FBI ermutigt nicht dazu, Lösegeld an kriminelle Akteure zu zahlen. Die Zahlung eines Lösegelds kann Angreifer ermutigen, weitere Organisationen ins Visier zu nehmen, andere kriminelle Akteure zur Verbreitung von Ransomware ermutigen und/oder illegale Aktivitäten finanzieren. Die Zahlung des Lösegelds ist zudem keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden.“

Vollzugsbehörden empfehlen, dass Opfer von Ransomware Angriffe an die zuständigen Behörden wie das Internet Crime Complaint Center (IC3) des FBI melden, bevor sie ein Lösegeld bezahlen.

Einige Opfer von Ransomware-Angriffen sind gesetzlich verpflichtet, Ransomware-Infektionen zu melden, unabhängig davon, ob ein Lösegeld gezahlt wird. Zum Beispiel verlangt die HIPAA-Compliance im Allgemeinen, dass Gesundheitseinrichtungen jede Datenschutzverletzung, einschließlich Ransomware-Angriffen, dem Department of Health and Human Services melden.

Unter bestimmten Umständen kann die Zahlung eines Lösegelds illegal sein.

Das US Office of Foreign Assets Control (OFAC) hat erklärt, dass die Zahlung von Lösegeld an Angreifer aus Ländern, die unter US-Wirtschaftssanktionen stehen, wie Nordkorea oder Iran, gegen OFAC-Vorschriften verstößt. Bei Verstößen drohen zivilrechtliche Sanktionen, Geldstrafen oder Strafanzeigen.

Einige US-Bundesstaaten, wie Florida und North Carolina, haben die Zahlung von Lösegeld durch staatliche Behörden für illegal erklärt.

Cybersicherheitsexperten und Bundesbehörden wie die Cybersecurity and Infrastructure Security Agency (CISA) und der US-Geheimdienst empfehlen Unternehmen, Vorsichtsmaßnahmen zur Abwehr von Ransomware-Bedrohungen zu treffen. Diese Maßnahmen können Folgendes umfassen:

• Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die im Falle eines Ransomware-Angriffs vom Netz getrennt werden können.
  
  
• Regelmäßiges Anwenden von Patches, um Ransomware-Angriffe abzuwehren, die Sicherheitslücken in Software und Betriebssystemen ausnutzen.
  
  
• Cybersicherheits-Tools wie Antimalware-Software, Netzwerküberwachungstools, Endpoint Detection and Response (EDR)-Plattformen und Security Information and Event Management (SIEM)-Systeme können Sicherheitsteams dabei helfen, Ransomware in Echtzeit abzufangen.
  
  
• Cybersicherheitsschulungen für Mitarbeiter helfen den Benutzern, Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.
  
  
• Die Implementierung von Richtlinien zur Zugriffskontrolle, einschließlich Multi-Faktor-Authentifizierung, Netzwerksegmentierung und ähnlicher Maßnahmen kann verhindern, dass Ransomware an besonders vertrauliche Daten gelangt. Identity und Access Management (IAM)-Kontrollen können ebenfalls verhindern, dass sich Kryptowürmer auf andere Geräte im Netzwerk ausbreiten.
  
  
• Formale Notfallpläne ermöglichen es Sicherheitsteams, Verstöße in kürzerer Zeit zu erkennen und zu beheben. Der Data Breach Kostenreport stellt fest, dass Unternehmen mit formalen Plänen und dedizierten Notfallteams Datenschutzverletzungen 54 Tage schneller erkennen als Unternehmen, die über keines von beiden verfügen. Diese schnellere Entdeckung senkt die Kosten für die Behebung und spart Unternehmen durchschnittlich knapp 1 Million US-Dollar pro Verstoß.

Während Entschlüsselungs-Tools für einige Ransomware-Varianten über Projekte wie No More Ransom öffentlich verfügbar sind², erfordert die Behebung einer aktiven Ransomware-Infizierung oft einen vielschichtigen Ansatz.

Ein Beispiel für einen nach dem Incident Response Life Cycle des National Institute of Standards and Technology (NIST) modellierten Ransomware-Interventionsplan finden Sie im definitiven Ransomware-Handbuch von IBM Security. 

1989: Die erste dokumentierte Ransomware, bekannt als „AIDS-Trojaner“ oder „P.C. Cyborg“-Angriff, wird über Disketten verbreitet. Das Programm versteckt Dateiverzeichnisse auf dem Computer des Opfers und verlangt 189 USD, um sie wieder freizugeben. Da diese Malware die Dateinamen und nicht die Dateien selbst verschlüsselt, ist es für Benutzer einfach, den Schaden ohne Zahlung eines Lösegelds rückgängig zu machen.

1996: Während sie den AIDS-Trojaner analysieren, warnen die Computerwissenschaftler Adam L. Young und Moti Yung vor zukünftigen Formen von Malware, die eine ausgefeiltere Kryptographie verwenden könnten, um sensible Daten als Geiseln zu nehmen.

2005: Nach relativ wenigen Ransomware-Attacken in den frühen 2000er Jahren kommt es zu einem Anstieg der Infizierungen, vor allem in Russland und Osteuropa. Es erscheinen erste Varianten, die asymmetrische Verschlüsselung nutzen. Da neue Ransomware effektivere Möglichkeiten zur Erpressung von Geld bietet, beginnen mehr Cyberkriminelle damit, Ransomware weltweit zu verbreiten.

2009: Die Einführung von Kryptowährungen, insbesondere von Bitcoin, bietet Cyberkriminellen eine Möglichkeit, nicht nachverfolgbare Lösegeldzahlungen zu erhalten, was den nächsten Anstieg der Ransomware-Aktivitäten auslöst.

2013: Mit CryptoLocker beginnt die moderne Ära der Ransomware und damit die aktuelle Welle hochentwickelter verschlüsselungsbasierter Ransomware-Attacken, bei denen eine Zahlung in einer Kryptowährung verlangt wird.

2015: Die Tox-Ransomware-Variante führt das Ransomware-as-a-Service-Modell (RaaS) ein.

2017: WannaCry, der erste weit verbreitete selbstreplizierende Kryptowurm, erscheint.

2018: Ryuk macht die Ransomware-Jagd auf hochkarätige Ziele populär.

2019: Ransomware-Angriffe mit doppelter und dreifacher Erpressung werden immer beliebter. Bei fast jedem Ransomware-Vorfall, auf den das IBM Security® X-Force® Incident Response Team seit 2019 reagiert hat, ging es um doppelte Erpressung.

2022: Thread-Hijacking, bei dem sich Cyberkriminelle in legitime Online-Konversationen von Zielen einmischen, um Malware zu verbreiten, entwickelt sich zu einem wichtigen Ransomware-Vektor.

2023: Da die Abwehrmaßnahmen gegen Ransomware immer besser werden, beginnen viele Ransomware-Banden, ihr Arsenal zu erweitern und ihre Ransomware durch neue Erpressungstaktiken zu ergänzen. Insbesondere Gangs wie LockBit und einige Überbleibsel von Conti verwenden Infostealer-Malware, die es ihnen ermöglicht, vertrauliche Daten zu stehlen und als Geiseln zu halten, ohne die Systeme der Opfer sperren zu müssen.