Beim Thema Cybersicherheit denkt ihr wahrscheinlich zuerst an die Bedrohung durch Ransomware. Ransomware scheint allgegenwärtig zu sein – und ist es tatsächlich auch. Ransomware gehört heute zu den wichtigsten Cyber-Sicherheitsbedrohungen, die sich Tag für Tag auf Einzelpersonen, Unternehmen und Organisationen auswirken. In letzter Zeit hat die Zahl der Ransomware-Angriffe enorm zugenommen und belief sich allein im Jahr 2022 auf mehr als 2,3 Milliarden. Statistiken zeigen, dass:
Es ist daher nicht verwunderlich, dass euer Unternehmen die verschiedenen Arten von Ransomware und deren Verhalten kennen muss, um sie stoppen oder abwehren zu können. In diesem Blog erläutere ich die verschiedenen Arten von Ransomware sowie einige bekannte Beispiele für diese Cyberbedrohung. Außerdem findet ihr hier auch Hinweise, wie ihr euch und euer Unternehmen vor Ransomware-Angriffen schützen könnt.
(Dieser Artikel wurde von Shanika Wickramasinghe verfasst. Weitere Splunk Learn-Beiträge von Shanika findet ihr hier.)
Sehen wir uns zunächst die formale Definition dieser Bedrohung an.
Bei Ransomware handelt es sich um Malware, die über verschiedene Wege, wie etwa Phishing, schädliche Websites und bösartige Downloads, Computersysteme infiltriert. Das hat Ransomware mit vielen anderen Arten von Malware gemeinsam. Das Besondere ist jedoch: Sobald Ransomware in euer System eingedrungen ist, verhindert sie den Zugriff auf eure Dateien oder sperrt den Bildschirm eures Computers und droht, euch so lange auszusperren, bis ihr Lösegeld zahlt (engl. „ransom“, daher die Bezeichnung „Ransomware“).
Bei modernen Ransomware-Angriffen wird die Lösegeldzahlung in Form von Kryptowährungen wie Bitcoin gefordert. Das Lösegeld kann sich auf Millionen von Dollar belaufen, je nachdem, um welche Art von Ransomware es sich handelt und auf welches Unternehmen oder welche Person der Angriff zielt. Im Gegensatz zu anderen Cyber-Bedrohungen geht es bei Ransomware um Kontrolle.
Unglücklicherweise für uns alle entwickelt sich Ransomware täglich weiter und wird dies auch in Zukunft tun. Bei Splunk gibt es mehrere Security-Teams, die sich ausschließlich mit diesen Bedrohungen befassen, damit jeder – nicht nur unsere Kunden – sie bekämpfen kann. Im Jahr 2021 befassten wir uns mit der Ransomware-as-a-Service (RaaS) von REvil und entwickelten entsprechende Tools, Anleitungen und Unterstützung für die Branche. (Splunk selbst war von diesem Ransomware-Angriff nicht betroffen.)
Letztes Jahr untersuchte unser internes SURGe-Team, wie schnell Ransomware die Daten auf einem Rechner verschlüsseln kann. Sie wollten damit die Frage beantworten, wie viel Zeit man noch hat, bis die Systeme nicht mehr zugänglich sind. Hier ist ein kurzer Auszug aus den Ergebnissen:
Ransomware-Familie |
Mittlere Dauer |
LockBit |
00:05:50 |
Babuk |
00:06:34 |
Avaddon |
00:13:15 |
Ryuk |
00:14:30 |
REvil |
00:24:16 |
BlackMatter |
00:43:03 |
DarkSide |
00:44:52 |
Conti |
00:59:34 |
Maze |
01:54:33 |
Mespinoza (PYSA) |
01:54:54 |
Durchschnitt des Mittelwerts |
00:42:52 |
Mittlere Ransomware-Geschwindigkeit für 10 Ransomware-Familien
Ihr könnt den Blog oder die gesamte Studie lesen. Weitere Studien zur Bedrohungslandschaft findet ihr in den Beiträgen unseres Threat Research Teams. Als Nächstes sehen wir uns die verschiedenen Arten sowie Beispiele für Ransomware an.
Lange Zeit gab es im Wesentlichen nur zwei Arten von Ransomware: Crypto- und Locker-Ransomware. Leider sind inzwischen weitere Ransomware-Typen aufgetaucht, die Benutzer und Unternehmen mit unterschiedlichen Ansätzen ins Visier nehmen. Weltweit gibt es derzeit folgende Arten von Ransomware:
Sehen wir uns diese Ransomware-Arten an und wie sie euer Computersystem für euch unzugänglich machen.
Diese Art von Ransomware verhindert den Zugriff auf wichtige Dateien und Daten, einschließlich Dokumenten und Multimedia, indem sie diese verschlüsselt und den Entschlüsselungsschlüssel entfernt. Davon abgesehen bleiben die Computer der Opfer funktionsfähig.
Die Angreifer fordern dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Oft blenden sie einen Countdown-Zähler und die Warnung ein, dass die Dateien gelöscht werden, wenn das Lösegeld nicht gezahlt wird. Je nachdem, wie sensibel und wichtig die verschlüsselten Daten sind, neigen die Opfer dazu, das Lösegeld zu zahlen. Es gibt jedoch keine Garantie dafür, dass die Angreifer den Entschlüsselungsschlüssel nach der Bezahlung auch wirklich übergeben.
(Hier findet ihr unsere Einführung in das Thema Verschlüsselung.)
Locker-Ransomware, auch „Screenlocker“ oder „Bildschirmsperre“ genannt, sperrt euren Computer nach einem Angriff und verhindert den Zugriff auf alle oder einige der Systemdaten und -funktionen. So könnte es beispielsweise sein, dass ihr zwar nicht mehr auf den Desktop des Computers zugreifen, aber die Maus und die Tastatur noch eingeschränkt nutzen könnt.
Bei dieser Art von Ransomware lassen die Angreifer euch nur mit dem Bildschirm interagieren, der die Lösegeldforderung zeigt. Da die wichtigen Daten unverschlüsselt bleiben, werden sie nicht vollständig zerstört. Auch diese Art von Ransomware beinhaltet oft einen Countdown-Zähler, um den Benutzer zu zwingen, das Lösegeld so schnell wie möglich zu zahlen.
Der Begriff „Scareware“ enthält das englische Wort „scare“ für „erschrecken“ und dieser Name ist Programm: Scareware erschreckt Opfer mit der Mitteilung, dass ihre Computer mit Malware infiziert sind. Sie verleitet sie dazu, eine Gebühr zu bezahlen oder Antivirus-Software zu kaufen, um das Problem zu beheben. Scareware zeigt sich in der Regel in Form von Pop-up-Fenstern, wenn ihr eine damit infizierte Website besucht oder Software installiert. Das Gemeine daran: Euer Computer ist noch gar nicht mit Malware infiziert – aber die Antivirus-Software, die ihr kaufen sollt, ist bösartig.
Die Malware kann euren Computer nur infizieren, wenn ihr die Software kauft. Andernfalls werden die Daten nicht beeinträchtigt – allerdings wird euer Computer weiterhin mit Pop-up-Fenstern bombardiert.
Scareware wird manchmal auch über Spam-E-Mails verbreitet, die den Benutzer dazu verleiten, etwas zu kaufen, das keinerlei Wert hat. Diese Käufe können Malware enthalten, die sensible Benutzerinformationen stehlen kann.
Bei Leakware handelt es sich um Ransomware, die über die Verschlüsselung eurer sensiblen Daten hinausgeht. Sie droht, eure Daten an die Öffentlichkeit oder an Dritte weiterzugeben, wenn ihr nicht das geforderte Lösegeld bezahlt. Leakware ist daher gefährlicher als herkömmliche Crypto-Ransomware.
Genau wie Crypto-Ransomware verschlüsselt Leakware das Datenset, sodass es unzugänglich wird, und hält den Entschlüsselungsschlüssel zurück. Die Angreifer zielen auf vertrauliche Daten ab, deren Offenlegung dem Opfer schaden könnte.
Wie bei Software-as-a-Service handelt es sich bei Ransomware-as-a-Service (RaaS) um ein Geschäftsmodell, das Ransomware Angreifern zur Verfügung stellt, die nicht die Zeit oder das Know-how haben, diese selbst zu entwickeln. Stattdessen können Cyberkriminelle Ransomware von diesen „Unternehmen“ kaufen oder mieten.
Für RaaS wird im Darknet auf dieselbe Weise geworben wie für Waren und Dienstleistungen im echten Internet. Die RaaS-Kunden können über ein Online-Abonnement auf diese Software zugreifen. Ein solches Abonnement kann auch die üblichen Software-as-a-Service-Funktionen wie 24/7-Support und andere Angebote umfassen.
Dieses Geschäftsmodell ermöglicht es RaaS-Kunden, die keine oder nur geringe Ransomware-Kenntnisse haben, schnell und kostengünstig einen Ransomware-Angriff zu starten. RaaS hat die Zunahme von Ransomware-Angriffen daher erheblich begünstigt. Außerdem hat sich daraus ein eigenständiges Ökosystem aus Ransomware-Entwicklern, -Betreibern und anderen Bedrohungsakteuren entwickelt.
Als Nächstes sehen wir uns einige dieser Angriffsarten in Aktion an. Im folgenden Abschnitt stellen wir einige aktuelle Ransomware-Angriffe vor, die aus verschiedenen Gründen berüchtigt sind.
(Wenn ihr mehr über solche Geschichten erfahren wollt, könnten euch diese Bücher zum Thema Security gefallen, die von Sicherheitsprofis empfohlen werden.)
Die im September 2013 entdeckte Ransomware CryptoLocker wurde hauptsächlich über das Gameover Zeus-Botnet und E-Mail-Anhänge verbreitet. Um ihre Spuren zu verwischen, forderten die Angreifer ihre Opfer auf, das Lösegeld in Kryptowährung zu bezahlen. Diese Ransomware zielte auf Microsoft Windows-Geräte ab und verschlüsselte Dateien mithilfe des am häufigsten verwendeten Public-Key-Verschlüsselungsverfahrens RSA.
Man wird die gesamten Auswirkungen dieses Angriffs zwar nie ganz genau kennen, doch Experten bestätigen, dass CryptoLocker innerhalb von vier Monaten über 250.000 Computersysteme attackierte. Damit erpressten die Angreifer innerhalb von 9 Monaten mindestens 3 Millionen US-Dollar.
Die 2017 entdeckte WannaCry-Ransomware zielte auf Windows-Systeme mit veralteten Versionen ab, die die EternalBlue-Schwachstelle im SMB-Protokoll aufwiesen. Sie infizierte die Systeme als eigenständige Software, die die ins Visier genommenen Dateien verschlüsseln und den Zugriff der Benutzer darauf verhindern konnte. WannaCry verursachte Schäden von rund 4 Milliarden US-Dollar und verbreitete sich in knapp 150 Ländern.
(Wie immer ging Splunk vom ersten Moment an gegen WannaCry vor.)
Im März 2016 wurde die Ransomware Petya entdeckt, die eine komplette Festplatte verschlüsseln konnte. Sie wurde hauptsächlich über gefälschte, mit Malware infizierte Bewerbungen verbreitet. Petya greift den Master Boot Record (MBR) eines Computers an und verschlüsselt dann die Master-Dateitabelle des NTFS-Dateisystems.
Petya gehört zur gleichen Ransomware-Familie wie NotPetya, die kommerzielle und staatliche Organisationen in der Ukraine und anderen Ländern angriff.
Bei diesen Scareware-Angriffen im Jahr 2017 wurden wichtige US-Steuerdokumente, sogenannte W-2-Formulare, von Unternehmen gestohlen. Dazu schickten die Angreifer Mitarbeitern in Buchhaltungs- oder Personalabteilungen Spam-E-Mails und forderten sie auf, W-2-Formulare zu übermitteln.
Im Anschluss sendeten die Angreifer eine dringende E-Mail mit der Aufforderung, Geld zu überweisen, was zu Verlusten in mindestens vierstelliger Höhe führte.
Maze ist eine Ransomware, die wir als Leakware einordnen können. Ihr fielen seit 2019 viele Unternehmen zum Opfer. Nach der Datenverschlüsselung droht Maze damit, die Daten weiterzugeben, wenn die Opfer das Lösegeld nicht bezahlen.
Cerber ist eine beliebte Ransomware-as-a-Service. Nach der Infektion wird sie unauffällig im Hintergrund ausgeführt und verschlüsselt Dateien. Sie versucht zudem, Windows-Sicherheitsfunktionen, einschließlich Antivirenprogrammen, zu stoppen, damit sie sich weiter im System verbreiten kann.
Dharma wurde 2016 entdeckt und ist eine weitere Ransomware nach dem RaaS-Modell. Angreifer können diese Ransomware über Spam-E-Mails verbreiten, indem sie Schwachstellen im Remote Desktop Protocol (RDP) und beschädigte Setup-Dateien ausnutzen. Die primären Ziele dieser Ransomware sind die Verzeichnisse von Windows-Systemen.
DarkSide ist ebenfalls eine Ransomware vom Typ RaaS, die zunächst auf Windows-Rechner abzielte, später jedoch auch Linux-Rechner ins Visier nahm. DarkSide wird der Verbrechergruppe Carbon Spider zugeschrieben und greift nicht gepatchte VMware an oder stiehlt vCenter-Anmeldeinformationen.
(Hier erfahrt ihr mehr über DarkSide und den Angriff auf Colonial Pipeline, den Betreiber einer der größten Treibstoffpipelines in den USA)
Bad Rabbit ist eine Ransomware, die im Oktober 2017 entdeckt wurde und vor allem russische Medienagenturen angriff. Sie wurde über kompromittierte Websites mit gefälschten Adobe Flash-Updates verbreitet. Nach einem Angriff verschlüsselt sie die Dateisysteme mit RSA-2048-Bit-Schlüsseln und fordert eine Lösegeldzahlung in Kryptowährung.
Angreifer entwickeln ihre Strategien zwar ständig weiter, doch mithilfe von Best Practices für Sicherheit könnt ihr es ihnen zumindest erschweren, euren Computer und eure Daten zu kapern.
Wenn ihr mehr erfahren möchtet, besucht StopRansomware.gov, die Haupt-Website der US-Regierung mit Hinweisen zur effektiven Bekämpfung von Ransomware.
Da täglich neue Varianten auftauchen, bleibt Ransomware eine der größten Sicherheitsbedrohungen. Unternehmen und Einzelpersonen müssen daher unbedingt wachsam bleiben.
Derzeit gibt es fünf verschiedene Arten von Ransomware: Crypto-Ransomware, Locker-Ransomware, Scareware, Leakware und RaaS. RaaS setzt sich immer mehr durch, da dieser Ransomware-Typ es selbst Angreifern mit geringen Ransomware-Kenntnissen problemlos ermöglicht, einen Angriff durchzuführen.
Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.