Für Ransomware benötigen Kriminelle heute kaum noch Fachwissen. Die «Erpressungstrojaner» werden wie andere Software als buchbarer Dienst angeboten. Dadurch sind nun auch kleinere Organisationen zunehmend in Gefahr.
Ransomware ist eine Schadsoftware mit Geschäftsmodell: Erst verschlüsselt sie die Daten eines Unternehmens und macht sie damit unbrauchbar. Dann fordert sie ein Lösegeld, um den Prozess umzukehren.
Häufig kommt inzwischen ein zweites Druckmittel hinzu: Die Kriminellen drohen damit, sensible Informationen wie beispielsweise eine Kundendatenbank zu veröffentlichen oder meistbietend zu verkaufen. In manchen Fällen gehen die Erpresser gar soweit, auch von den Kunden des Unternehmens Lösegeld zu fordern.
Zugleich gilt: Hatten es die Angreifer bisher vor allem auf grosse Organisationen abgesehen, nehmen sie nun auch kleine und mittlere Unternehmen ins Visier. Besonderes Fachwissen ist dafür gar nicht mehr zwingend nötig: «Ransomware-as-a-Service» macht es möglich. So wie man heute mit ein paar Klicks für jeden Unternehmenszweck die passende Software finden kann, gilt das ähnlich für Schadsoftware wie solche «Erpressungstrojaner».
Die Ransomware-Gangs haben sich derweil professionalisiert. Manche bieten gar eine Belohnung an, falls jemand eine Sicherheitslücke in ihrer Schadsoftware findet. Solche «Bug Bounty»-Programme kennt man sonst nur von grossen Anbietern.
Genug Ressourcen haben die Kriminellen, denn die vergangenen Jahre waren für sie enorm einträglich. Offizielle Stellen wie beispielsweise das Nationale Zentrum für Cybersicherheit (NCSC) warnen zwar davor, das Lösegeld zu zahlen. Schliesslich zeige das den Kriminellen, dass sich ihre Machenschaften lohnen. Aber genügend Organisationen sahen das dennoch als besten Ausweg aus ihrer Situation.
«NCSC rät von der Zahlung eines Lösegeldes ab. Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.» – NCSC
Allein im Jahr 2021 haben Ransomware-Attacken mehr als 600 Millionen US-Dollar gefordert, schätzt Cybersecurity-Spezialist Sonicwall im «2022 Cyber Threat Report». Zwei Jahre zuvor waren es noch unter 200 Millionen US-Dollar.
Damit die Ransomware ihre Wirkung entfalten kann, müssen die Kriminellen sie zunächst auf einem Rechner innerhalb der anvisierten Organisation einschleusen. Das kann beispielsweise in Form eines harmlos scheinenden E-Mail-Anhangs geschehen. Andere Möglichkeiten sind Sicherheitslücken etwa in Funktionen für den Remote-Zugriff auf PCs – gerade in Zeiten des Home Office und hybrider Modelle ein wichtiges Thema. Bei besonders lohnenswerten Zielen kommen auch aufwändigere Methoden wie Spear Phishing zum Einsatz.
Ist diese Hürde genommen, versucht die Ransomware so unauffällig wie möglich ans Werk zu gehen. Moderne Varianten verschlüsseln die Dateien nur noch teilweise. Der Effekt ist für die Betroffenen derselbe, während sich die Aktivitäten der Schadsoftware dadurch beschleunigen und zugleich weniger verräterisch sind.
Ist dieses Werk getan, präsentiert die Ransomware meist einen bildschirmfüllenden Hinweis dazu, was passiert ist und wie die Lösegeldzahlung funktioniert.
Ein grundlegender Schutz vor Ransomware sind unter anderem Tipps, die wir bereits im Zusammenhang mit Schadsoftware allgemein geben. Dazu gehört es, die Mitarbeitenden entsprechend zu schulen und für das Thema zu sensibilisieren. Alle Systeme müssen ausserdem immer auf dem neuesten Stand der Dinge gehalten werden. Lesen Sie in einem weiteren Beitrag, welche Einfallstore besonders typisch sind.
Ein anderer Tipp sind Backups, die nicht dauerhaft an den betreffenden Rechner oder ein internes Netzwerk angeschlossen sind. Andernfalls würden sie im Fall der Fälle ebenfalls verschlüsselt und damit wertlos.
Wie oben erwähnt, raten Fachleute allgemein davon ab, das Lösegeld zu zahlen. Ein erster Schritt ist es, auf dieser Website herauszufinden, welche Ransomware der Übeltäter ist. Die Informationen stammen von der niederländischen Polizei und Europol. Mit ein wenig Glück ist der Erpressungstrojaner bereits geknackt und die Daten lassen sich wieder herstellen.
Darüber hinaus ist es wichtig, das Einfallstor zu finden: Wie hat es die Ransomware in die eigenen Systeme geschafft? Etwaige Sicherheitslücken sind hier zu schliessen, um weitere Angriffe auf demselben Weg zu verhindern. Ein generellerer IT-Sicherheits-Check ist ratsam, da es die Kriminellen nach einer erfolgreichen Attacke oftmals erneut versuchen.
Ist ein Backup vorhanden, sollte dies zunächst auf eine mögliche Komprimittierung durch die Ransomware hin untersucht werden. Denn eine solche Schadsoftware wird oft erst mit einer zeitlichen Verzögerung aktiv, um sich möglichst tief einzunisten.
Letztlich ist es darüber hinaus meist notwendig, betroffene Systeme neu aufzusetzen.
Weitere Informationen dazu finden sich hier beim NCSC.