Ransomware erklärt. Was es ist und wie es funktioniert

This post is also available in: Englisch

Jeden Tag entdecken Cybersicherheitsspezialisten über 200.000 neue Ransomware-Stämme. Das bedeutet, dass jede Minute nicht weniger als 140 Stämme auftauchen, die sich der Erkennung entziehen und irreparablen Schaden anrichten können. Aber was ist Ransomware eigentlich? Kurz gesagt: Ransomware ist eine der häufigsten und gefährlichsten Cyber-Bedrohungen der heutigen Zeit, die für Privatpersonen und Unternehmen gleichermaßen schädliche Folgen hat.

In diesem Artikel erkläre ich Ihnen, was Ransomware ist, wie sie funktioniert, welche ihre Top-Ziele sind, wie man sich davor schützen kann und was zu tun ist, wenn man angegriffen wird. Außerdem werden Ihnen aktuelle Statistiken und Ransomware-Beispiele die wahren Fakten zeigen, damit Sie verstehen, dass Ransomware wirklich passiert und wie!

Was ist Ransomware?

Ransomware ist eine ausgeklügelte Malware (bösartige Software), die alle Daten auf dem PC oder Mobilgerät eines Opfers verschlüsselt und den Zugriff des Datenbesitzers darauf blockiert. Nach der Infektion erhalten die Opfer eine Nachricht, in der ihnen mitgeteilt wird, dass ein bestimmter Geldbetrag (üblicherweise in Bitcoins) gezahlt werden muss, um den Entschlüsselungsschlüssel zu erhalten. Normalerweise gibt es auch eine Frist für für den Abschluss der Zahlung, andernfalls könnten die Dateien für immer verloren sein. Es sollte beachtet werden, dass es keine Garantie gibt, dass das Opfer den Entschlüsselungsschlüssel erhält, selbst wenn es das Lösegeld bezahlt.

Wie funktioniert Ransomware?

Jede Ransomware verhält sich anders. Es gibt 2 Arten von Ransomware: Locker-Ransomware und Verschlüsselungs-Ransomware. Die erste sperrt das Opfer aus dem Betriebssystem aus und macht es unmöglich, auf den Desktop und alle Anwendungen oder Dateien zuzugreifen, während die letztere die häufigste ist, die fortschrittliche Verschlüsselungsalgorithmen enthält und darauf ausgelegt ist, Systemdateien zu blockieren.

Das Ergebnis ist jedoch immer das gleiche. Das Sperren von Dateien oder Systemen und die Forderung eines Lösegelds für deren Wiederherstellung. Hier sind einige allgemeine Schritte, wie Ransomware funktioniert:

1. Verbreitung und Bereitstellung von Ransomware

Cyberkriminelle suchen lediglich nach dem einfachsten Weg, ein System oder Netzwerk zu infizieren, und nutzen diese Backdoor, um den bösartigen Inhalt zu verbreiten. Dennoch sind dies die häufigsten Infektionsmethoden, die von Cyberkriminellen verwendet werden:

• Phishing-E-Mail-Kampagnen, die bösartige Links oder Anhänge enthalten (es gibt viele Formen, die Malware zur Tarnung im Internet nutzen kann);
• Sicherheitslücken in anfälliger Software;
• Umleitung des Internetverkehrs auf bösartige Websites;
• Legitime Websites, in deren Webseiten bösartiger Code eingefügt wurde;
• Drive-by-Downloads;
• Malvertising-Kampagnen;
• SMS-Nachrichten (wenn sie auf mobile Geräte abzielen);
• Ausnutzung des anfälligen Remote Desktop Protocol.

2. Seitliche Ausbreitung

Nach dem ersten Zugriff breitet sich Ransomware durch seitliche Ausbreitungstaktiken auf alle Geräte in Ihrem Netzwerk aus und versucht, vollständigen Zugriff zu erhalten. Wenn keine Mikrosegmentierung oder Netzwerksegmentierung vorhanden ist, bewegt sich die Ransomware seitlich im Netzwerk, d. h. die Bedrohung breitet sich auf andere Endpunkte und Server in der gesamten IT-Umgebung aus und verbreitet sich somit selbst weiter. Auf diese Weise können Hacker Techniken zur Umgehung der Erkennung nutzen, um anhaltende Ransomware-Angriffe zu entwickeln.

3. Ausführung des Angriffs

DATENEXFILTRATION

Während Ransomware in der Vergangenheit Taktiken wie die schwache symmetrische Verschlüsselung nutzte, setzen Ransomware-Betreiber heute fortschrittlichere Methoden wie die Datenexfiltration ein. Im Grunde können Hacker sensible Geschäftsdaten vor der Verschlüsselung ausfiltern, was zu einer doppelten Erpressung führt: Auf diese Weise können Cyberkriminelle Unternehmen damit drohen, ihre privaten Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Daten als Geiseln zu nehmen, ist nicht mehr die einzige Methode.

BACKUPS ZERSTÖREN

Ransomware sucht nach Backups, um sie zu zerstören, bevor sie die Daten verschlüsselt. Diese Art von Malware kann Backups anhand der Dateierweiterung erkennen, und auch in der Cloud gespeicherte Dokumente könnten gefährdet sein. Die Offline-Speicherung von Backups oder schreibgeschützte Funktionen von Backup-Dateien können die Erkennung und Löschung von Backups verhindern.

DATENVERSCHLÜSSELUNG

Ransomware ist praktischerweise die Kombination von Kryptografie mit Malware. Die Betreiber von Ransomware verwenden asymmetrische Verschlüsselung, auch bekannt als Public-Key-Kryptografie, ein Verfahren, bei dem eine Reihe von Schlüsseln (ein öffentlicher und ein privater Schlüssel) verwendet wird, um eine Datei zu ver- und entschlüsseln und sie vor unbefugtem Zugriff oder unbefugter Nutzung zu schützen. Die Schlüssel werden einmalig für das Opfer generiert und erst nach Zahlung des Lösegelds zur Verfügung gestellt.

Ohne Zugang zu einem privaten Schlüssel ist es fast unmöglich, die Dateien zu entschlüsseln, für die Lösegeld gefordert wird. Bestimmte Arten von Ransomware können jedoch mit speziellen Ransomware-Entschlüsselungstools entschlüsselt werden.

LÖSEGELD ANFORDERN

Nach der Verschlüsselung erscheint eine Warnung auf dem Bildschirm mit Anweisungen, wie man für den Entschlüsselungsschlüssel bezahlen kann. Alles geschieht in nur wenigen Sekunden, so dass die Opfer völlig sprachlos sind, während sie ungläubig auf die Lösegeldforderung starren.

Bildquelle

Das Auftauchen von Bitcoin und die Entwicklung von Verschlüsselungsalgorithmen haben dazu beigetragen, dass sich Ransomware von einer unbedeutenden Bedrohung, die für Cyber-Vandalismus genutzt wurde, zu einer vollwertigen Geldmaschine entwickelt hat. In der Regel verlangen die Bedrohungsakteure eine Zahlung in Bitcoins, da diese Kryptowährung von Cyber-Sicherheitsforschern oder Strafverfolgungsbehörden nicht nachverfolgt werden kann.

Top-Ziele für Ransomware

Cyberkriminelle haben bald gemerkt, dass Unternehmen und Organisationen weitaus profitabler sind als Benutzer, und haben es daher auf die größeren Ziele abgesehen: Polizeidienststellen, Stadtverwaltungen und sogar Schulen und Krankenhäuser. Wenn der Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, im Jahr 2020 auf 26 % gestiegen ist und im Jahr 2021 auf 32 % ansteigt, ist der durchschnittliche Wert des in diesem Jahr gezahlten Lösegelds 170.404 US-Dollar. Aber jetzt wollen wir erst einmal herausfinden, was die Top-Ziele für Ransomware sind.

Öffentliche Einrichtungen

Öffentliche Einrichtungen, wie z. B. Regierungsbehörden, verwalten riesige Datenbanken mit persönlichen und vertraulichen Informationen, die Cyberkriminelle verkaufen können, was sie zu einem beliebten Ziel für Ransomware-Betreiber macht. Da die Mitarbeiter nicht darin geschult sind, Cyberangriffe zu erkennen und zu vermeiden, und öffentliche Einrichtungen häufig veraltete Software und Ausrüstung verwenden, sind ihre Computersysteme voller Sicherheitslücken, die nur darauf warten, ausgenutzt zu werden.

Leider hat eine erfolgreiche Infektion große Auswirkungen auf die Durchführung der üblichen Aktivitäten und verursacht enorme Störungen. Unter solchen Umständen erleiden Ransomware-Opfer finanzielle Schäden, da sie entweder hohe Ransomware-Zahlungen leisten oder die Kosten für die Wiederherstellung nach diesen Angriffen tragen müssen.

Unternehmen

Kurz gesagt, weil man dort das gute Geld finden kann. Bedrohungsakteure wissen, dass eine erfolgreiche Infektion größere Geschäftsunterbrechungen verursachen kann, was ihre Chancen auf Bezahlung erhöht. Da die Computersysteme in Unternehmen oft komplex und anfällig für Schwachstellen sind, können sie leicht mit technischen Mitteln ausgenutzt werden. Darüber hinaus stellt der Faktor Mensch immer noch ein großes Risiko dar, das auch durch Social-Engineering-Taktiken ausgenutzt werden kann. Es ist erwähnenswert, dass Ransomware nicht nur Computer, sondern auch Server und Cloud-basierte Dateifreigabesysteme befallen kann und damit tief in den Kern eines Unternehmens eindringt.

Cyberkriminelle wissen, dass Unternehmen eine Infektion lieber nicht melden, weil sie Rechtsfolgen und Markenschäden befürchten.

Heimanwender

Da sie in der Regel keine Datensicherungen haben, sind Privatanwender das Hauptziel für Ransomware-Betreiber. Sie haben nur wenig oder gar kein Wissen über Cybersicherheit, was bedeutet, dass sie auf fast alles klicken, was sie anfällig für Manipulationen durch Cyberangreifer macht. Außerdem investieren sie nicht in notwendige Sicherheitslösungen und halten ihre Software nicht auf dem neuesten Stand (auch wenn Fachleute sie immer wieder dazu auffordern). Und schließlich bedeuten mehr infizierte PCs mehr Geld für die Ransomware-Banden, da die schiere Menge der Internetnutzer zu potenziellen Opfern werden kann.

Ransomware-Beispiele

Inzwischen wissen Sie, dass es eine Vielzahl von Versionen gibt. Mit Namen wie CryptXXX, Troldesh oder Chimera klingen diese Stämme wie der Stoff, aus dem Hackerfilme gemacht sind. Während also Neuankömmlinge vielleicht einen Teil des Geldes abhaben wollen, hat eine Handvoll Ransomware-Familien ihre Vorherrschaft errichtet.

Conti-Ransomware

Die Ransomware namens Conti ist bekannt geworden, nachdem sie auf Einrichtungen des Gesundheitswesens abzielte. Ihre üblichen Methoden nutzen Phishing-Angriffe, um Fernzugriff auf einen Computer zu erlangen und sich seitlich im Netzwerk weiter auszubreiten, während sie gleichzeitig Anmeldeinformationen stiehlt und unverschlüsselte Daten sammelt.

Ein berühmter Angriff war der auf die irische Gesundheitsbehörde Health Service Executive (HSE) am 14. Mai 2021, als die Bande 20 Millionen Dollar verlangte, um die exfiltrierten Daten nicht freizugeben.

DarkSide Ransomware

DarkSide ist ein Ransomware-Programm, das als Ransomware-as-a-Service (RaaS)-Gruppe arbeitet. Es begann im August 2020, Organisationen weltweit anzugreifen, und wie andere ähnliche Bedrohungen, die bei gezielten Cyberangriffen eingesetzt werden, verschlüsselt DarkSide nicht nur die Daten der Opfer, sondern exfiltriert sie auch von den betroffenen Servern.

In nur 9 Monaten wurden mindestens 90 Millionen Dollar an Bitcoin-Lösegeldzahlungen an DarkSide geleistet, die aus 47 verschiedenen Wallets stammten. Die Ransomware-Bande erzielte rund 10 Millionen Dollar aus diesem Gewinn, indem sie die Chemiedistributionsorganisation Brenntag angriff, die 4,4 Millionen Dollar Lösegeld zahlte, und Colonial Pipeline, die ebenfalls 5 Millionen Dollar in Kryptowährung bezahlte.

Es handelt sich um ein gutes Beispiel für Ransomware, die eine doppelte Erpressung anwendet, da die Hacker normalerweise ein Lösegeld verlangen, um die von ihnen exfiltrierten Daten wiederherzustellen, daher ist der Zahlungsdruck höher.

REvil Ransomware

Revil Ransomware alias Sodinokibi wurde erstmals im April 2019 entdeckt und arbeitet als Ransomware-as-a-Service-Modell. Sie ist bekannt für ihre Angriffe auf JBS im Juni 2021 und Kaseya im Juli 2021.

Aufgrund einer Schwachstelle in der Kaseya-Software, die für SQL-Injection-Angriffe anfällig war, gelang es REvil Ransomware, die Server von Kaeya zu verschlüsseln. Dies führte zu einem Supply-Chain-Angriff, da die Kunden des Unternehmens infiziert wurden.

JBS, das weltweit größte Fleischverpackungsunternehmen, wurde am 30. Mai 2021 von REvil angegriffen und musste ein Lösegeld in Höhe von 11 Millionen Dollar zahlen, um zu verhindern, dass die Hacker ihre Daten online weitergeben.

Avaddon Ransomware

Avaddon Ransomware wurde über Phishing-E-Mails mit bösartigen JAVA-Script-Dateien verbreitet und ist für seinen Angriff auf das französische Unternehmen AXA im Mai 2021 bekannt. Seine Betreiber nutzen normalerweise Datenleck-Websites, um dort die Informationen der Opfer zu veröffentlichen, die das Lösegeld nicht zahlen.

QLocker Ransomware

Wie der Name schon sagt, funktioniert die Qlocker Ransomware wie ein Schließfach und kompromittiert die Speichergeräte der Benutzer. Daher werden die Opfer ausgesperrt, bis sie das Passwort eingeben. Seine Ziele sind QNAP-Geräte. Die Dateien auf diesen Netzwerkspeichergeräten werden in einem 7-Zip-Archivformat verschlüsselt, das ein Kennwort erfordert.

Ryuk Ransomware

Ryuk ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die seit August 2018 aktiv ist. Sie ist weithin dafür bekannt, ein privates Partnerprogramm zu betreiben, bei dem Partner Bewerbungen und Lebensläufe einreichen können, um sich für eine Mitgliedschaft zu bewerben. In den letzten Monaten des Jahres 2020 griffen die Partner der Gruppe jede Woche etwa 20 Unternehmen an, und ab November 2020 koordinierten sie eine massive Angriffswelle auf das US-Gesundheitssystem.

WannaCry Ransomware

Auch wenn es sich nicht um einen aktuellen Fall handelt, können wir diesen berühmten Fall natürlich nicht unerwähnt lassen. Am Freitag, den 12. Mai 2017, gegen 11 AM ET/3 PM GMT, begann ein Ransomware-Angriff von „noch nie dagewesenem Ausmaß“ (Europol) mit der Verbreitung von WannaCry auf der ganzen Welt. Die Ransomware nutzte eine Sicherheitslücke in Windows, die es ihr ermöglichte, die PCs der Opfer zu infizieren, ohne dass diese etwas unternahmen. Bis zum 24. Mai 2017 waren über 200.000 Opfer in 150 Ländern von der Infektion betroffen.

Ransomware-Statistiken

Von der ersten Ransomware aus dem Jahr 1989, die über Disketten verbreitet wurde und ein Lösegeld von 189 US-Dollar kostete, bis hin zu den heutigen Millionen-Dollar-Lösegeldern – hier finden Sie einige Statistiken, die Ihnen helfen werden, die Bedrohung von Ransomware besser zu verstehen.

• In der ersten Jahreshälfte 2021 verdoppelte sich die Zahl der Ransomware-Angriffe im Vergleich zu 2020.
• Datenexfiltration und Datenlecks waren gängige Praktiken, die eine doppelte Erpressung ermöglichten.
• Conti, Avaddon und REvil sind die Urheber von 60 % der Angriffe.
• Die USA verzeichneten 54,9 % der Opfer und ist damit ein Hauptziel für Ransomware-Angriffe.

Die wichtigsten Ransomware-Ziele nach Branche

#1. REGIERUNG

Laut dem SonicWall Cyber Threat Report 2021 gab es weit mehr Angriffe auf Regierungskunden als auf jede andere Branche. Im Juni wurden Regierungskunden „von etwa 10-mal mehr Ransomware-Versuchen getroffen als der Durchschnitt“.

Bildquelle

#2. BILDUNG

In der ersten Hälfte des Jahres 2021 gab es im Bildungsbereich noch mehr Ransomware-Angriffe als im Regierungssektor. Im März hat die Cyber-Abteilung des FBI eine Warnmeldung herausgegeben, um vor einer Zunahme von Ransomware-Angriffen zu warnen, die auf Regierungsstellen, Bildungseinrichtungen, Privatunternehmen und den Gesundheitssektor abzielten. Einen Monat später verschlüsselte die Conti-Ransomware-Bande die Systeme der Broward County Public Schools und drohte damit, sensible persönliche Daten von Schülern und Mitarbeitern freizugeben, falls der Bezirk nicht ein enormes Lösegeld in Höhe von 40 Millionen US-Dollar zahlen würde.

#3. GESUNDHEITSWESEN

Organisationen des Gesundheitswesens sind die neuen Lieblingsziele von Ransomware-Angriffen. Krankenhäuser sind immer wieder Ziel von Cyberangriffen, darunter UC San Diego Health, Scripps Health, SalusCare, New Hampshire Hospital und Atascadero State Hospital. Wie bereits erwähnt, verlieren Gesundheitsdienstleister nach einer Datenverletzung oder einem Ransomware-Angriff durchschnittlich 7 % ihrer Kunden, was im Vergleich zu anderen Branchen der höchste Wert ist.

#4. RETAIL

Ransomware-Betreiber scheinen es häufig auf Einzelhandelsunternehmen abgesehen zu haben, da diese selten gut gesichert sind und sich der Nutzen leicht monetarisieren lässt“. Die Sicherheitsspezialisten von SonicWall entdeckten erstaunliche Ransomware-Spitzen bei Einzelhandelsunternehmen (264 %). Im Juli musste die Supermarktkette Coop nach dem Ransomware-Angriff von Kaseya 500 ihrer Filialen schließen.

Bilddatenquellen: hier und hier

Wie man Ransomware verhindern kann

Nicht vertrauenswürdige Links und Anhänge sollten vermieden werden

Bösartige Links sind mit Sicherheit sehr beliebte Köder, die bei Social-Engineering-Taktiken eingesetzt werden und in SPAM-E-Mails oder -Nachrichten zu finden sind. Sie sollten jedoch niemals auf einen zweifelhaften Link klicken, da die Infektion im Handumdrehen erfolgen kann. Ein unrichtiger Klick und schon werden Ransomware-Payloads eingesetzt.

Das gilt auch für E-Mail-Anhänge mit bösartigen JavaScript-Dateien, zum Beispiel in Form von readme.txt.js. Anstatt unvertraute Anhänge sofort zu öffnen, sollten Sie einige grundlegende Überprüfungen vornehmen, z. B. den Absender und die E-Mail-Adresse überprüfen. Wenn Sie ein Makro aktivieren sollten, um zu sehen, was drin ist, handelt es sich höchstwahrscheinlich um einen Betrug. Deshalb sollten Sie Makros als Präventionsmaßnahme immer deaktivieren.

Laden Sie nur Dateien aus vertrauenswürdigen Quellen herunter und senden Sie sie im Verdachtsfall an das IT-Team, um sie mit Hilfe von Sandboxing zu überprüfen.

Halten Sie Ihre Software auf dem neuesten Stand

Dies mag wie eine sich wiederholende und triviale Aufforderung erscheinen, aber so einfach es auch sein mag, es ist in der Tat die grundlegende Lösung im Hinblick auf die Prävention. Denn Programme sind nicht perfekt, und aus diesem Grund werden sie von Sicherheitsforschern durch die Veröffentlichung von Patches ständig verbessert. Unternehmen und Einzelpersonen können also nur dann von den neuesten Patches profitieren, wenn sie ständig Aktualisierungen durchführen. Ein Patch-Management-Tool sorgt für die automatische Bereitstellung von Patches.

Das Prinzip der geringsten Privilegien

Das Prinzip der geringsten Privilegien (The principle of least privilege – POLP) ist ein Kernprinzip von Zero-Trust. Benutzern wird nur der minimal notwendige Zugang zu Anwendungen oder Systemen gewährt, um ihre Aufgaben erfolgreich zu erfüllen. Durch den eingeschränkten Zugang wird also niemand versehentlich oder unabsichtlich Dateien und andere sensible Daten manipulieren.

VPN auf öffentliches WLAN ist eine Notwendigkeit

Öffentliches WLAN ist nie sicher. Ein Hacker könnte zum Beispiel einen Man-in-the-Middle-Angriff durchführen. Stellen Sie sicher, dass Sie ein VPN verwenden, um Ihre Tätigkeiten zu schützen, während Sie mit öffentlichem WLAN verbunden sind.

Gute Cybersicherheitssoftware

Ein guter Cybersicherheitsschutz ist der Schlüssel. Verwenden Sie zuverlässige Cybersicherheitslösungen, die Ihre Endpunkte und Ihr Netzwerk schützen: ein Tool zum Schutz vor Ransomware-Verschlüsselung, eine Firewall, ein gute Antivirus-Software, E-Mail-Sicherheit, DNS-Filter, automatisiertes Software-Patching, PAM-Software, und die Liste ließe sich fortsetzen.

Mit dem richtigen Wissen und den richtigen Gewohnheiten sowie einem vertrauenswürdigen Lösungsportfolio ist es einfacher, sich vor Ransomware zu schützen. Wie immer kann Heimdal™ Security Ihnen bei letzterem helfen. Wenn Sie mehr darüber erfahren möchten, welche Produkte unseres Unternehmens am besten für Ihre Bedürfnisse geeignet sind, zögern Sie nicht, uns zu kontaktieren oder eine Demo zu buchen.

Netzwerksegmentierung

Durch die Netzsegmentierung wird das Netz in Teilnetze aufgeteilt, so dass man verschiedene Segmente hat. Dies ist vor allem dann nützlich, wenn wir über seitliche Ausbreitung sprechen. Wenn Ransomware Ihre Systeme infiziert, kann sie sich nicht auf andere Teile des Netzwerks ausbreiten, wenn es eine Abgrenzung gibt. Eine Lösung zur Überwachung des Netzwerkverkehrs wäre ebenfalls gut, da sie mit der Netzwerksegmentierung Hand in Hand geht.

Daten sichern und verschlüsseln

Back-up-Lösungen stellen heutzutage keine so praktikable Option mehr für Unternehmen dar, da fortschrittliche Ransomware die Daten exfiltriert und als doppelte Erpressungsmethode verwendet. Ein Backup sollte jedoch eingerichtet werden, wenn Sie es gut verwalten. Wie würden Sie sonst Ihre Daten wiederherstellen, wenn keiner Entschlüsselungsschlüssel verfügbar ist? Informationen in der Cloud sollten verschlüsselt gespeichert werden, und Backups sollten regelmäßig auf ihre Leistungsfähigkeit hin überprüft werden. Eine Offline-Sicherung, z. B. auf einer Festplatte, könnte nützlich sein. Eine unveränderliche Speicherlösung (WORM – Write-Once-Read-Many) speichert Ihre Daten in einem Bucket und sperrt sie, damit sie nicht verändert werden können. Sie können Ihr Backup auch mit einem Endpunktschutz auf Ihren Servern schützen.

Fördern Sie eine Kultur des Cybersecurity-Bewusstseins

Schulen Sie Ihre Mitarbeiter darin, bösartige E-Mails zu erkennen. Eine merkwürdige E-Mail-Adresse, eine Umleitung auf eine fremde Website, Grammatikfehler und eine unpersönliche Adressierung können Anzeichen für gefährdete E-Mails sein. Investieren Sie in Lösungen für die Schulung des Sicherheitsbewusstseins. Dies sind sehr gute Dienste mit praktischen Beispielen: Mitarbeiter können anhand von Phishing-Simulationen lernen, wie sie besser mit betrügerischen E-Mails umgehen können.

Sie sollten auch keine persönlichen Daten an nicht vertrauenswürdige Personen per Telefon, E-Mail oder Nachricht weitergeben.

Wie man auf einen Ransomware-Angriff reagiert

Warum ist ein Reaktionsplan notwendig? Ein Notfallplan sollte zu den bewährten Verfahren in allen Unternehmen gehören, denn:

• Wenn Sie über einen solchen Plan verfügen, weiß das IT-Team, wer welche Rolle spielt und wer im Falle eines Ransomware-Angriffs informiert werden muss, z. B. Partner und Anbieter.
• Sie können Ihre Daten leicht wiederherstellen und Ihr Unternehmen am Laufen halten, indem Sie Ausfallzeiten minimieren, denn verlorene Zeit bedeutet verlorenes Geld.

Wie also vorgehen?

Isolieren

Wenn Ihr System mit Ransomware infiziert wurde, ist der erste Schritt, es vom Rest des Netzwerks zu trennen.

Erkennen

Der nächste Schritt ist die Identifizierung des Ransomware-Stamms, d. h. welche Art von Ransomware Ihr Netzwerk kompromittiert hat.

Sich Melden

Wenden Sie sich an das FBI oder andere Behörden, da diese in der Vergangenheit ausdrücklich darum gebeten haben, über jeden Angriff informiert zu werden, um Statistiken zu erstellen und weil Ransomware ein Verbrechen ist. Und in Bezug auf die GDPR vermeiden Sie eine Geldstrafe.

Entfernen

Entfernen Sie die Ransomware. Wie? Wenn Ihr Computer gesperrt ist, öffnen Sie ihn im abgesicherten Modus und installieren Sie eine Anti-Malware-Lösung, um die Ransomware zu entfernen.

Verwenden Sie dann ein Ransomware-Entschlüsselungstool. Sehen Sie sich die Tools von NO MORE RANSOM oder lesen Sie unseren Artikel mit einer Liste kostenloser Entschlüsselungstools.

Wichtig ist: Das Entfernen der Malware entschlüsselt die Dateien nicht automatisch. Selbst wenn Sie die Ransomware entfernt haben, bleiben die Dateien verschlüsselt, sodass Sie sie mit einem bestimmten Tool oder dem Entschlüsselungsschlüssel entschlüsseln müssen.

Wiederherstellen

Stellen Sie die Daten aus Ihrem Backup wieder her. Das Bezahlen des Lösegelds ist keine Lösung.

Schlussfolgerung

Ransomware hat die Erpressung weltweit verbreitet, und es liegt an uns allen, Benutzern, Geschäftsinhabern und Entscheidungsträgern, sie zu unterbrechen.

Das wissen wir jetzt:

• Die Erstellung von Malware oder Ransomware-Bedrohungen ist jetzt ein Geschäft und sollte auch als solches behandelt werden;
• das Klischee des „einsamen Hackers im Keller“ ist schon lange überholt;
• die derzeitige Bedrohungslandschaft wird von gut definierten und gut finanzierten Gruppen beherrscht, die fortschrittliche technische Hilfsmittel und Social-Engineering-Fähigkeiten einsetzen, um sich Zugang zu Computersystemen und Netzwerken zu verschaffen;
• Mehr noch: cyberkriminelle Gruppen werden von großen Staaten angeheuert, um nicht nur finanzielle Ziele, sondern auch politische und strategische Interessen zu verfolgen.

Wir wissen auch, dass wir nicht machtlos sind, und es gibt eine Handvoll einfacher Dinge, die wir tun können, um Ransomware zu vermeiden. Cyberkriminelle haben so viel Einfluss auf Ihre Daten und Ihre Sicherheit, wie Sie ihnen zugestehen.