Schutz vor Ransomware

Warum Ransomware so gefährlich ist und wie man sich davor schützen kann.

Jetzt Demo anfragen!

Was ist Ransomware?

Das Wort Ransomware setzt sich aus den englischen Begriffen „Ransom“ (Lösegeld) und Software zusammen. Ransomware, oder auch Kryptotrojaner, Verschlüsselungstrojaner, Erpressungstrojaner oder Erpressungssoftware sind Schadprogramme, die zu dem Zweck entwickelt wurden Eindringlingen Zugriff auf die Daten eines Computers zu ermöglichen.

Der Zugriff auf die Daten des Rechners wird entweder gesperrt oder es werden alle Daten verschlüsselt und nur gegen eine Lösegeldzahlung wieder freigeschaltet. Hierzulande dürften die bekanntesten Schreckgespenster Locky, BKA Trojaner, WannaCry sowie Emotet sein.

"Bei Ransomware handelt es sich nicht bloß um Schadcode, der Dateien zerstört; Es wurde eine komplette kriminelle Wertschöpfungskette geschaffen."

Matthias Kess, CTO Pointsharp GmbH

Wie läuft eine Ransomware-Infektion ab?

E-Mail ist das häufigste Einfallstor für Ransomware

Phase 1: Infektion

Wie gelangt Ransomware in ein Unternehmen?

Ransomware kann über Dateitypen einfallen, bei denen es möglich ist, aktiven Code zu hinterlegen. Zum Beispiel in Office Macros oder eingebettet in PDF Dateien. Häufig werden diese Dateien als E-Mail-Anhang versendet. Möglich ist die Infektion aber auch über den Besuch einer infizierten Webseite, d.h. auch über einen angeklickten Link kann man sich Emotet einfangen.

Die Programmierer der Schadcodes machen sich dabei häufig Schwachstellen in Betriebssystemen, Browsern oder E-Mail-Clients zu Nutze, die den Software-Herstellern selbst noch nicht bekannt oder zumindest noch nicht geschlossen sind (sogenannte Zero-Day-Lücken).

Phase 2: Einnistung

Zunächst macht sich Ransomware nicht bemerkbar und nistet sich auf dem Rechner ein. Wenn beispielsweise Emotet einen Rechner befällt, auf dem Outlook installiert ist, schneidet er die Kommunikation mit. Er merkt sich also, mit wem man zu welchen Themen E-Mails austauscht. Er generiert dann aus dem eigenen Postfach eine E-Mail mit einem Text und einem Thema, über das man sich mit bekannten Empfänger vorher bereits Austausch hatte. Für den Empfänger sieht das dann nach einer legitimen E-Mail vom Absender Hand aus.

E-Mail ist also das riskanteste Einfallstor für Ransomware.

Phase 3: Ausbreitung und Sammlung von Daten

Emotet versucht sich horizontal auf andere Rechner zu verbreiten. Dazu verwendet er Brute-Force-Attacken mit bekannten Passwörtern. Besonders hilfreich ist es für Emotet natürlich, wenn ein Rechner oder Benutzer mit administrativen Rechten befallen werden kann. Mit den administrativen Rechten verbreitet er sich dann horizontal auf so viele Maschinen wie möglich und hält Kontakt mit dem Command and Control Center von den Angreifern. Auf den Maschinen, die er befallen hat, werden möglichst viele Accountdaten, Passwörter (gerade auch von administrativen Accounts) und personenbezogene Daten gesammelt und an die Angreifer geschickt. 

Phase 4: Sperrung und Erpressung

Die Angreifer sammeln Informationen und warten dann auf den geeigneten Moment, um das Unternehmen anzugreifen.

So können sie zum Beispiel am Wochenende

  • alle Back-Ups löschen
  • Maschinen verschlüsseln
  • und anschließend eine Nachricht hinterlassen mit ihren Forderungen.

Eine Ransomware-Infektion kann also schon monatelang vorliegen, bevor man davon etwas mitkriegt. Deswegen ist es sehr schwer nachzuverfolgen, woher die Ransomware kam und auf welchem Weg sie sich verteilt. 

Phase 5: Verhandlung, Bezahlung und Freigabe der Daten

Häufig wird zur Verhandlung des Lösegeldes der Instant-Messaging-Dienst Telegram verwendet, da die sichere Architektur dieses Dienstes eine Rückverfolgung erschwert. Einige Ransomware haben eine entsprechende Verhandlungs-Funktionalität inzwischen bereits integriert. Sofern man sich mit den Erpressern auf eine Summe einigt wird das Lösegeld in der Regel in Form von Bitcoins bezahlt.

Experten und Ermittlungsbehörden raten jedoch häufig davon ab, einer entsprechenden Lösegeldforderung nachzukommen; Zu häufig werden die Daten trotz Zahlung nicht entschlüsselt und die Rechner sind weiterhin gesperrt.

 

30 %

aller Geschäftsmails enthalten Anhänge

75 %

aller Cyber-Attacken finden via E-Mail statt

40 %

Wachstum an Cyber-Attacken in den letzten zwei Jahren

8,4 Mio. EUR

durchschnittlicher Schaden bei betroffenen Unternehmen in der EU


Quellen: Arizton, Gartner, Statista, Statista

Wie kann man sich vor Ransomware schützen?

Kann man Ransomware gar verhindern?

Verhindern kann man Ransomware nicht, aber es gibt ganz unterschiedliche Methoden, um sich davor zu schützen und darauf zu reagieren.  

Tipps zum Schutz vor Ransomware

Um sich vor Ransomware zu schützen, kann man versuchen, so viele Einfallstore wie möglich zu schließen:

  1. Gar keine Dateien mehr per E-Mail annehmen, in denen Schadcode enthalten sein könnte.
  2. Die Ausführung von jeglichem Code unterbunden oder limitieren, bei Dateitypen, die betroffen sein könnten.
  3. Empfang und Versand aller Dateien unterbinden, die ausführbaren Code enthalten.
  4. Unternehmensweite Sperrung von USB-Ports an Rechnern und Verbot von USB-Sticks
  5. Alternative Kanäle zur konventionellen E-Mail nutzen

Außerdem ist es sehr wichtig, dass die Mitarbeiter informiert werden, dass sie vorsichtig sein sollten, wenn Dateien Makros ausführen wollen. Im Zweifel sollte Rücksprache gehalten werden mit dem Autor der Datei. Gleiches gilt beim Klicken auf Links

Back-Up-Strategie anpassen

Eine mögliche Reaktion auf Emotet ist zum Beispiel Back-Up Software, die feststellt wenn sehr viele Dateien auf dem Rechner verändert werden. Diese Software sperrt dann den Rechner und bietet an, das Back-Up wiederherzustellen. Allerdings kann es passieren, dass die "schlafende" Ransomware bereits im Back-Up mitgesichert ist, man infizierte Dateien wiederherstellt und nach einiger Zeit der Angriff erneut ausgelöst wird. Hilfreich sind hier nur Backups, die offline sind und möglichst einen langen Zeitraum zurückreichen (mehrere Monate).

Wie kann Ransomware mit Cryptshare vorgebeugt werden?

Alternativer Übertragungsweg

Cryptshare verwendet einen Weg anbieten um Dateien und Nachrichten zu übertragen, den Ransomware im Moment nicht automatisiert angreifen kann. Da Angreifer mit möglichst wenig Aufwand Geld verdienen möchten, werden Sie als Erpressungsopfer eher uninteressant.

Passwort-Schutz

Zum Schutz vor Ransomware sollte außerdem die Option „ohne Passwort versenden“ deaktiviert werden. Denn wenn ein Passwortaustausch zwischen Sender und Empfänger erforderlich ist, hat man die Chance festzustellen, dass der Absender nicht echt ist.

Protokollierung aller Vorgänge

Mit Cryptshare werden viel mehr Informationen geloggt, denn der Cryptshare Server protokoliert, wer wann etwas versendet hat. Daher verliert der Angreifer ein Stück weit seine Anonymität und geht ein größeres Risiko bezüglich der Rückverfolgung ein.

Jede Hürde reduziert die Wahrscheinlichkeit mittels Ransomware erpresst zu werden

Es ist wie beim Einbruchschutz an Häusern: Je schwieriger man es den Angreifern macht, desto unwahrscheinlicher ist es, dass sie diesen Weg gehen. Letztlich gibt es beliebig viele Angriffsziele, daher wählen sich die Angreifer natürlich die aus, die möglichst lukrativ und zugleich möglichst einfach zu erobern sind.

Es gibt also nicht DAS eine System, um Ransomware zu verhindern, man kann nur verschiedenen Schutzmaßnahmen vornehmen. Cryptshare ist eine von vielen möglichen Schutzmaßnahmen und ein guter Weg die elektronische Kommunikation sicherer zu gestalten.