Eine Ransomware ist eine böswillige Schadfunktion in Malware, die wichtige Daten auf dem kompromittierten IT-System (Notebooks, PCs, Smartphone, …) verschlüsselt.
Ziel des Angreifers ist es, die Nutzung der Daten oder des ganzen IT-Systems durch die Verschlüsselung zu unterbinden. Dadurch kann der Angreifer vom Besitzer des IT-Systems oder der IT-Systeme für den Schlüssel, mit dem die Daten entschlüsselt werden können oder/und das IT-System wieder freigegeben wird, Lösegeld verlangen.
Das Lösegeld wird in der Regel über digitale Währungen wie Bitcoin oder andere Kryptowährungen bezahlt. Eine Möglichkeit zur Festlegung der Lösegeldforderung ist, dass die Angreifer dafür öffentlich verfügbare Informationen wie etwa der Unternehmensgröße, Umsatz und Gewinn nutzen. Bei Privatleuten wird in der Regel ein fester Betrag, oftmals 500 Euro, festgelegt.
Ransomware wird auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner genannt.
Bewertung von Ransomware
Die Angriffsvektoren, mit denen Ransomware-Angriffe umgesetzt werden, sind momentan sehr aktuell und werden zunehmend von Angreifergruppen erfolgreich umgesetzt. Die Angreifer können mit Ransomware-Angriffen sehr viel Geld mit Erpressung erzielt und die Angegriffenen haben einen sehr hoher Schaden auf unterschiedlichen Ebenen.
Beispiele von Vorfällen von Ransomware
Im Folgenden werden ein paar wenige Beispiele von erfolgreichen Ransomware-Angriffen dargestellt.
Benzinpipeline in den USA Der Betreiber Colonial Pipeline mit der größten Benzinpipeline in den USA zahlte Hackern ein Lösegeld von 4,4 Millionen Dollar. Durch die Ransomware war Kraftstoffversorgung in den USA vorübergehend eingeschränkt.
Uniklinikum Düsseldorf Den Angreifern gelang es, 30 Server des Uniklinikums zu verschlüsseln, dadurch konnte das Klinikum die zentrale Notversorgung nicht mehr sicherstellen, sodass Patienten auf umliegende Krankenhäuser verteilt werden mussten. Eine Notfallpatientin, die in ein anderes, weiter entferntes Krankenhaus gebracht wurde, verstarb kurze Zeit später.
Funke Mediengruppe Angreifer verschlüsseln IT-Systeme des Verlags im gesamten Bundesgebiet. Die Zeitungen „Westdeutsche Allgemeine Zeitung“, „Hamburger Abendblatt“ und „Berliner Morgenpost“ konnten nur mit einer Notausgabe erscheinen.
Kammergericht Berlin Mehr als 500 Computer und über hundert Server mussten wegen einer Ransomware-Attacke vom Netz genommen werden und das Kammergericht war über mehrere Monate nur per Telefon, Fax oder Brief erreichbar.
Landkreisverwaltung in Sachsen-Anhalt Mit dem folgenschweren Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt wurde wegen eines Ransomware-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar.
Zahlen von Ransomware-Angriffen
24 Mrd. Euro Schaden nur Ransomware in DE in 2021
Durchschnittliche Lösegeldzahlung in allen Bereichen liegt bei 812.360 Dollar.
Durchschnittliche Lösegeldzahlung bei Fertigungsunternehmen liegt bei 2.036.189 Dollar.
90 Prozent der Unternehmen wurden durch einen Ransomware-Angriff in ihrer Betriebsfähigkeit beeinträchtig.
1,4 Mio. durchschnittliche Kosten für die Behebung der Angriffs-Folgen.
1 Monat durchschnittlich benötigte Zeit bis zur kompletten Wiederherstellung nach einem Angriff.
Bei Fertigungsunternehmen sehen wir einen mindestens zweimonatigen Produktionsstillstand (bis zu 12 Monaten).
Planung von Gegenmaßnahmen zur Verhinderung von Ransomware
Dazu gehören unter anderem bereits getestete Reaktionskonzepte (Notfallplanungen), in denen sowohl die richtige Vorgehensweise für den Angriffsfall definiert ist als auch, bestimmten Personen die entsprechenden Rechte zuzuweisen, um die notwendigen Maßnahmen zu ergreifen. Besonders relevant ist dabei, alle definierten Reaktionen gemeinsam im Detail zu trainieren, damit im Ernstfall schnell und erfolgreich agiert werden kann. Siehe auch: Cyber-Sicherheitsstrategien Daneben lässt sich durch ein vollständiges, und auf Wiederherstellung geprüftes, Backup der IT-Systeme in vielen Fällen ein Schaden verhindern oder zumindest minimieren. Es werden zwei unterschiedliche Erpressungsmethoden bei Ransomware unterschieden, die einzeln oder zusammen (Double Extation) Anwendung finden werden.
Lösegelderpressung Cyber-Erpresser verschlüsseln IT-Systeme und fordern Lösegeld für die Schlüssel, damit durch eine Entschlüsselung, dass IT-System wieder nutzbar ist.
Schweigegelderpressung Dies ist eine erweiterte Angriffsstrategie dahingehend, dass vor der Verschlüsselung von Daten diese zunächst unrechtmäßig entwendet wurden. Unternehmen, die über funktionierende Backups verfügten und sich von daher theoretisch nicht auf Lösegeldverhandlungen einlassen müssten, wird dann mit der Veröffentlichung der entwendeten Daten gedroht, um so das Schweigegeld zu erpressen.
Dies bedeutet, im Fall eines Ransomware-Angriffs muss nunmehr grundsätzlich auch davon ausgegangen werden, dass die Daten dauerhaft kompromittiert sind und zwar auch dann, wenn ein Lösegeld oder/und Schweigegeld gezahlt worden ist. Aus diesem Grund ist der beste Schutz vor Ransomware, alle IT-Systeme mit einer modernen und sicheren Anti-Malware Lösungen auszustatten und alle Mitarbeiter/Nutzer dahingehend zu schulen, dass sie aufgrund ihres Sicherheitsbewusstseins nicht auf gängige Angriffsvektoren reinfallen – also weder auf Anhänge von unbekannten/unaufgefordert zugesandten E-Mails noch auf Links von manipulierten Webseiten klicken. Aber auch das systematische Überwachen des Datentransfers hilft, ungewöhnliche Aktivitäten zu erkennen und so das Stehlen von Daten zu verhindern. Dies ist ein essenzieller Schritt, um das Risiko zu minimieren, Opfer einer Schweigegelderpressung zu werden.
Angriffsstruktur einer Ransomware
Die Erpressungssoftware-Schadfunktion ist im Prinzip ein 1:N-Angiff, bei dem der Botmaster die Daten in kompromittierten IT-Systemen (Bots) verschlüsselt.
Der eine Angreifer ist zum Beispiel ein Botmaster, der ein Botnetz unter zentraler Kontrolle hat und dieses für Angriffe nutzt. Die Opfer sind die kompromittierten IT-Systeme (Bots), die mit Malware identifiziert sind und angegriffen werden sollen.
Advanced Ramsomware-Angriffe
Bei Advanced Ramsomware-Angriffe wird in der Regel ein 1:1-Angriff umgesetzt. Bei einem 1:1-Angriff gibt es einen Angreifer und ein Opfer. Der eine Angreifer ist zum Beispiel professioneller Hacker, der einen gezielten Angriff durchführen möchte, um auf einem bestimmten Notebook Ransomware zu installieren.
Ransomware ist eine böswillige Schadfunktion in Malware, die wichtige Daten auf einem kompromittierten IT-System wie Notebooks verschlüsselt. Ziel ist, die Nutzung des IT-Systems durch die Verschlüsselung zu unterbinden, um für die Entschlüsselung Lösegeld verlagern zu können.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Ransomware Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten