Cyber Threat: Ransomware Attack
Ransomware ist eine Art Schadsoftware, die Daten verschlüsselt und Systeme so lange blockiert, bis ein Lösegeld gezahlt wird. Cyberkriminelle fordern in der Regel die Zahlung in Kryptowährung im Austausch für einen Entschlüsselungsschlüssel. Die Zahlung des Lösegelds garantiert jedoch nicht, dass die Cyberkriminellen ihr Versprechen, Ihre Daten zurückzugeben, auch einhalten. Das FBI rät von einer Zahlung ab, da diese keine Datenwiederherstellung garantiert und zu zukünftigen Cyberangriffen oder Rechtsverstößen führen kann.
Selbst wenn der Zugriff wiederhergestellt ist, können sensible Daten weiterhin im Dark Web verkauft werden. In vielen Fällen erhalten Ransomware-Opfer einen fehlerhaften Entschlüsselungsschlüssel, sehen sich zusätzlichen Forderungen gegenüber oder werden Ziel zukünftiger Cyberangriffe.
Unabhängig von der Größe einer Organisation haben Ransomware-Angriffe schwerwiegende Folgen, darunter finanzielle Verluste, Betriebsstörungen, Reputationsschäden und Datenpannen.
Cyberkriminelle infizieren Systeme durch Phishing-E-Mails, bösartige Anhänge oder durch Ausnutzung von Sicherheitslücken wie gestohlenen Anmeldeinformationen. Oft bewegen sie sich seitlich durch das Netzwerk, bevor sie den Angriff starten, um den Schaden zu maximieren.
Sobald sie sich Zugang verschafft haben, spüren Cyberkriminelle wertvolle Daten auf und verschlüsseln Dateien mithilfe von Algorithmen auf Militärniveau. Sie könnten Sicherheitswerkzeuge deaktivieren, Backups löschen und weitere Systeme gefährden.
Die Dateien sind gesperrt und es wird eine Lösegeldforderung mit kurzer Frist zugestellt, die eine erhebliche Zahlung in Kryptowährung verlangt – verbunden mit der Drohung, Ihre sensiblen Daten zu verkaufen, zu veröffentlichen oder zu löschen.
Crypto-Ransomware verschlüsselt Dateien mit starken Verschlüsselungsalgorithmen und verlangt Kryptowährung im Austausch gegen einen Entschlüsselungsschlüssel. Es blockiert den Zugriff auf sensible Daten und stört den Geschäftsbetrieb, ohne dass eine vollständige Datenwiederherstellung garantiert werden kann, selbst wenn das Lösegeld gezahlt wird.
Im Gegensatz zu Krypto-Ransomware, die einzelne Dateien verschlüsselt, sperrt Locker-Ransomware den Benutzer von seinem gesamten Gerät oder System aus. Oft wird eine gefälschte Polizeimeldung eingeblendet, um die Opfer einzuschüchtern und zur Zahlung des Lösegelds zu zwingen. Diese Art von Ransomware legt die Produktivität vollständig lahm, bis das System wiederhergestellt ist.
Bei einem Ransomware-Angriff mit doppelter Erpressung extrahiert der Cyberkriminelle sensible Daten und verschlüsselt diese anschließend. Er fordert die Zahlung nicht nur für die Entschlüsselung, sondern auch, um ein Durchsickern der Daten zu verhindern. Selbst wenn das Lösegeld gezahlt wird, können die Daten immer noch im Darknet veröffentlicht oder verkauft werden.
Dreifache Erpressungs-Ransomware baut auf Double Extortion Ransomware auf, indem sie eine weitere Druckebene hinzufügt. Der Cyberkriminelle stiehlt sensible Daten, verschlüsselt sie und startet weitere Cyberangriffe, wie zum Beispiel DDoS-Angriffe (Distributed Denial-of-Service) oder Bedrohungen gegen Kunden – was zu verstärkten Geschäftsstörungen und Reputationsschäden führt.
RaaS macht Ransomware auch für weniger erfahrene Cyberkriminelle zugänglich, indem es sie als kostenpflichtigen Dienst anbietet. Die eigentlichen Angriffe werden von verbundenen Cyberkriminellen durchgeführt, während die Entwickler der Ransomware einen Teil des gezahlten Lösegelds einbehalten.
Um Ransomware zu entfernen, müssen Organisationen sorgfältig und methodisch vorgehen, um die Auswirkungen von Reputationsschäden zu minimieren und den Betrieb sicher wiederherzustellen.
Benachrichtigen Sie gegebenenfalls die Sicherheitsteams Ihrer Organisation und die Strafverfolgungsbehörden. Durch die frühzeitige Meldung des Ransomware-Angriffs können die Behörden bei der Koordinierung der Gegenmaßnahmen und der Bewältigung von Problemen im Zusammenhang mit der Einhaltung gesetzlicher Bestimmungen helfen.
Um zu verhindern, dass sich Ransomware auf andere Geräte ausbreitet, sollten betroffene Computer oder Server vom Internet und Netzwerk getrennt werden.
Obwohl einige Arten von Ransomware weiterhin funktionieren können, lässt sich die meiste Ransomware durch einen Neustart der infizierten Geräte im abgesicherten Modus stoppen. Dadurch haben Sie auch Zeit, eine vertrauenswürdige Antivirensoftware zu installieren.
Sichern und schützen Sie Ihre cloud-basierten Apps, internen Webanwendungen und persönliche Endnutzergeräte vor Schadsoftware, verhindern Sie unerlaubte Datenextraktionen und steuern Sie Browser-Sitzungen mit vollständiger Überprüfbarkeit, Sitzungsaufzeichnung und automatischer Passwortausfüllung.
Erreichen Sie Zero-Standing-Berechtigungen und ermöglichen Sie Just-in-Time-Zugriff (JIT) über alle Windows-, Linux- und macOS-Endpunkte hinweg, mit optionalen Genehmigungsworkflows und MFA-Durchsetzung.
Verwenden Sie nach Möglichkeit legitime Entschlüsselungstools, wie beispielsweise die auf No More Ransom aufgeführten, um verschlüsselte Dateien zu entsperren. Vermeiden Sie verdächtige Drittanbieter-Tools, die die Situation durch Diebstahl oder Veränderung Ihrer Daten verschlimmern könnten.
Häufige, automatische Datensicherungen sind der wirksamste Schutz vor Ransomware. Stellen Sie sicher, dass alle Backups offline gespeichert und regelmäßig getestet werden, um die Datenwiederherstellung ohne Lösegeldzahlung zu ermöglichen.
Phishing-E-Mails sind ein häufig genutzter Angriffsvektor für Cyberkriminelle, um Ransomware-Angriffe zu starten. Zu den bewährten Methoden gehören der Einsatz von simulierten Phishing-Tests, regelmäßige Sicherheitsschulungen und eine solide Cyberhygiene, um Mitarbeitern zu helfen, verdächtige E-Mails zu erkennen und zu melden.
Cyberkriminelle nutzen häufig ungepatchte Software-Schwachstellen in Betriebssystemen, Software oder Geräten aus, um sich Zugang zu verschaffen. Um geschützt zu bleiben und die regulatorischen Standards einzuhalten, sollten Sie regelmäßig Sicherheitsupdates auf allen Systemen anwenden.
Cyberkriminelle verkaufen Mitarbeiter-Anmeldeinformationen häufig im Darknet. Tools wie BreachWatch® alarmieren IT-Teams in Echtzeit, wenn Unternehmens-Anmeldeinformationen offengelegt wurden, sodass sie schnell reagieren und kompromittierte Konten sichern können. Führen Sie noch heute einen kostenlosen Dark-Web-Scan durch, um zu prüfen, ob die Zugangsdaten Ihres Unternehmens offengelegt wurden.
Cyberkriminelle nutzen häufig kompromittierte, schwache oder wiederverwendete Passwörter aus, um sich unbefugten Zugriff zu verschaffen. Ein Business-Passwortmanager wie Keeper® hilft dabei, starke und einzigartige Passwörter durchzusetzen, unterstützt Multi-Faktor-Authentifizierung (MFA) und reduziert das Risiko passwortbasierter Cyberangriffe. Für privilegierte Konten und kritische Systeme empfiehlt sich der Einsatz einer PAM-Lösung wie KeeperPAM®, um volle Transparenz darüber zu gewährleisten, wer Zugriff auf sensible Daten hat und was diese Personen mit diesem Zugriff tun können.
Sie müssen Cookies aktivieren, um den Live-Chat zu nutzen.