Go to Top

Cyberkriminalität ist auf dem Vormarsch – wie kann man sich 2018 gegen Ransomware schützen?

Das Jahr 2017 ist nur ein paar Tage vorbei und man muss feststellen, dass dies das schrecklichste Jahr in Bezug auf Ransomware war – mit schweren Angriffen weltweit. Es gab noch nie ein Jahr, in dem Angriffe so viele Probleme für so viele Privatpersonen, Firmen und Bundesorganisationen verursacht haben. Malwarebytes Labs, ein Datensicherheitsunternehmen, gibt in seinem aktuellen Report an, dass Ransomware-Angriffe im Jahr 2017 im Vergleich zum Jahr 2015 um 2000% (!) gestiegen sind. Wobei die Angriffe des letzten Jahres die schlimmsten darstellten, die jemals vorgekommen sind.

Die zwei schlimmsten Ransomware-Varianten, die Unternehmen und Organisationen im Jahr 2017 weltweit angegriffen haben, waren NotPetya und WannaCry:

Der WannaCry-Angriff verursachte im Mai 2017 weltweit ernste Schäden, als die Ransomware vermutlich 300.000 Computer in 150 Ländern infizierte. Der Angriff zielte auf Windows-Betriebssysteme ab, die nicht richtig gepatcht wurden oder zu alt waren, um gepatcht zu werden. Die Ransomware verschlüsselte die Daten und verlangte eine Zahlung von Bitcoin. Eine weitere Verbreitung der Malware konnte nur durch einen neuen Microsoft-Patch und das Vorhandensein eines implementierten Kill-Switches gestoppt werden, wodurch eine weitere Verbreitung verhindern werden sollte. Warum der Kill Switch überhaupt verfügbar war, ist immer noch unbekannt. WannaCry basierte stark auf einem Exploit, der von den Shadow Brokers veröffentlicht wurde (die zuvor die NSA gehackt und ihre 0-Tage-Exploits öffentlich gemacht hatten). Eines der Opfer war die Deutsche Bahn, die dann Probleme mit ihren Informationsterminals hatte und keine Ankünfte oder Abfahrten anzeigte, sondern nur den Bildschirm von WannaCry, der die Lösegeldsumme für jeden sichtbar in Bitcoin verlangte.

NotPetya startete nur einen Monat später im Juni als Update für eine ukrainische Steuer-Software und infizierte in nur wenigen Tagen hunderttausende von Computern in mehr als 100 Ländern auf der ganzen Welt. Die finanziellen Auswirkungen waren enorm, zum Beispiel verlor das globale Pharmaunternehmen Merck allein im dritten Quartal dieses Jahres durch diesen Angriff mehr als 300 Millionen Dollar.

Wie kommt es, dass Ransomware einen so großen “Erfolg” hat?

Carbon Black, ein Anbieter von Anti-Malware-Softwarelösungen, veröffentlichte im vergangenen Oktober eine Studie, die einen Anstieg von  Ransomware-Softwareverkäufen in den wichtigsten Darknet Märkten zwischen 2016 und 2017 um 2500% ergab. Ihnen zufolge bieten derzeit mehr als 6300 Sites Ransomware-Lösungen an, um eigene Angriffe durchzuführen.

Angesichts der vielen verfügbaren Tools im Darknet ist es kein Wunder, dass Sophos Labs, ein Anbieter von Datensicherheitssoftware mit Sitz in Großbritannien, in seiner jährlichen Sicherheitsprognose für 2018 eine Zunahme von Ransomware-Angriffen im Jahr 2018 prognostiziert. Sie erklären, dass “es eine sichere Wette ist, dass Android und Windows weiterhin stark mit Ransomware und anderer Malware angegriffen werden, angesichts des Erfolgs, den Angreifer bisher hatten”.

Und laut dem Datensicherheits-Analysten und Softwareanbieter Kapersky Lab werden noch mehr Ransomware-Angriffe auf Unternehmen zielen. Von diesen Angriffen, gegen die sie erfolgreich angehen konnten, waren 26.2% gegen Firmen gerichtet. Dies ist ein Plus von 3.6% gegenüber 2016. Die Experten von Kapersky gaben zudem an, dass 65% der betroffenen Unternehmen einen schweren Datenverlust erlitten oder nicht mehr auf ihre Dateien zugreifen konnten. Obwohl Kaspersky für dieses Jahr keine weiteren Ransomware-Angriffe voraussagt, warnen sie vor komplexeren Angriffen auf Mobilgeräte und einer Zunahme von sogenannten destruktiven Angriffen.

Was sind destruktive Angriffe?

Eine neue Art von Ransomware ist letztes Jahr auf der Bildfläche erschienen: Ransomware, die eigentlich keine echte Ransomware ist, sondern eher ein Zerstörungswerkzeug. Die ExPetr / NonPetya Ransomware Ende letzten Jahres erschien als eine Ransomware, zielte aber eigentlich darauf ab, die Daten des Opfers komplett zu löschen. Kaspersky glaubt, dass mehr dieser Angriffe in diesem Jahr passieren werden. Und da die Angreifer offensichtlich nicht gezielt auf die Opfer abzielen, ist jeder in Gefahr, von solch einer “Wiper-Ransomware” getroffen zu werden.

Wie schützt man sich effektiv vor Ransomware, Malware und anderen Viren?

Es gibt viele Dinge, die man in Erwägung ziehen könnte, um Ransomware zu bekämpfen. Da es – wie bereits erwähnt – viele verschiedene Arten dieser Viren gibt, sollten Sie die folgenden drei Tipps beachten und entsprechend ausführen:

  1. E-Mail-Sicherheit ist das Wichtigste! Laut Sophos und anderen Experten wird “E-Mail der primäre Angriffsvektor bleiben, der die Cyber-Sicherheit von Unternehmen bedroht, insbesondere bei gezielten Angriffen”. Daher ist die Sicherung dieses hauptsächlichen Anfälligkeitsfaktors für jeden wichtig, der ein Netzwerk betreibt oder mit dem Internet verbunden ist.

Denken Sie daran: Die meisten Ransomware-Angriffe werden durch eine normale E-Mail mit einem infizierten Anhang ausgelöst, z. B. einem Dokument, einem Foto, einer Animation, einem Video oder einer anderen Datei. Es ist nicht viel Wissen erforderlich, um eine Malware in eine Datei einzufügen. In vielen Fällen gibt es viele How-To-Artikel oder Videos auf Youtube, die zeigen, wie man Code versteckt, so dass selbst ein Schulkind das heutzutage tun kann

In diesem Sinne ist das Öffnen eines E-Mail-Anhangs von einem unbekannten Absender EIN ABSOLUTES NO-NO! Wenn Sie sicher sind, dass diese E-Mail nicht an Sie adressiert ist, löschen Sie diese sofort!!! Informieren Sie anschließend auch sofort Ihren Datensicherheitsberater. Wenn Sie sich nicht sicher sind, öffnen Sie es erst, nachdem Sie einen Anruf getätigt oder den Absender auf andere Weise erreicht haben, um seine Identität zweifelsfrei zu prüfen. Denken Sie daran, auch wenn Sie vielleicht mal falsch liegen, die IT Ihres Unternehmens sicher und intakt zu halten, ist immer die richtige und beste Entscheidung.

  1. Machen Sie Ihr Netzwerk und Ihre IT-Umgebung sicher! Dass ein einziger Computer durch eine Ransomware verschlüsselt wird, ist definitiv ein schlimmer Vorfall, aber wenn sich eine Ransomware im gesamten Netzwerk verbreitet, kann dies nicht nur ein Albtraum für die IT-Abteilung werden, sondern das gesamte Unternehmen und sein Geschäft gefährden!

Unternehmen, die dies noch nicht getan haben, sollten sich überlegen, eine Datensicherheits-Softwarelösung zu implementieren, die speziell dafür entwickelt wurde, alle eingehenden E-Mails zu überprüfen, bevor sie von ihrem Exchange-Server an den vorgesehenen Empfänger geliefert werden. Mit einer solchen Lösung wird das Risiko, dass sich ein Virus in einem Unternehmensnetzwerk ausbreitet, drastisch reduziert. Darüber hinaus sollten die IT-Administratoren und das Management erwägen, eine andere Netzwerksicherheitssoftware zu implementieren, die das Netzwerk und seine Dateien automatisch überwacht. Solch eine Lösung würde einen Alarm senden, wenn eine Ransomware versuchen würde, Dateien in großen Mengen über das Netzwerk zu verschlüsseln. Diese Lösungen überprüfen auch ständig den ausgehenden Datenverkehr. Wenn die Ransomware versucht, sich mit ihrem externen Server zu verbinden, um den Verschlüsselungsprozess zu starten, könnte dies in einem ziemlich frühen Zustand beendet werden.

Und last but not least: Aktualisieren Sie Ihre Software und Betriebssysteme immer mit den neuesten Patches, sobald diese verfügbar sind. Wie schon so oft betont, werden Hacker nur dann erfolgreich, wenn das Opfer Lücken in seinem Sicherheitskonzept bietet!

  1. Machen Sie Ihre Mitarbeiter schlau! Wir haben bereits oft in unserem Blog über Ransomware und Malware geschrieben, aber was wir feststellen, ist, dass im Falle eines Verschlüsselungsangriffs selbst die erfahrensten Computerbenutzer in Panik geraten. Deshalb sollte JEDER Mitarbeiter in einer Firma genau wissen, was zu tun ist, wenn er angegriffen wird.

Ein Ransomware-Angriff sollte nicht nur Teil eines Business-Continuity-Plans für das höhere Management oder die IT-Experten sein, sondern präzise Tipps, was zu tun ist, wenn man getroffen wird, sollten in jedem Büro auf einem Stück Papier an der Wand hängen.

Einfache Tipps – wie zum Beispiel folgende …

– Trennen Sie die Verbindung zum Internet und zum internen Netzwerk

– Versuchen Sie das Gerät ordnungsgemäß herunterzufahren oder

– Rufen Sie sofort IT-Sicherheit / IT-Administration an

… werden dann in ein paar Sekunden nur durch einen Blick auf die Wand verfügbar sein. Und sie können jeden Tag gesehen und gemerkt werden.

Vor allem IT-Security- und Administration-Mitarbeiter sollten sich stets über die neuesten Entwicklungen im Bereich Cyber Security und Hacking informieren. Das Lesen der neuesten Blog-Nachrichten über Ransomware, das Aufspüren neuer Entwicklungen in dieser Szene und über Schlupflöcher bei Netzwerk- oder Softwarelösungen sollten daher für diese Mitarbeiter eine Notwendigkeit sein. (Das Unternehmen zu schützen ist das, wofür diese Mitarbeiter bezahlt werden, also keine Ausreden hier, bitte…)

Was, wenn Ihre Daten trotzdem von einer Ransomware getroffen wurden?

Wenn aus dem einen oder anderen Grund eine Ransomware durch Ihre Verteidigungslinie kam und Daten verschlüsselt wurden, sollten Sie Folgendes tun:

  • Zahlen Sie niemals das Lösegeld! Wir sagen das nicht, weil die Strafverfolgungsbehörde es uns gesagt hat, sondern aufgrund der einfachen Tatsache, dass Sie keine Garantie haben, dass Sie überhaupt einen Entschlüsselungsschlüssel von den Kriminellen bekommen werden. In vielen Fällen – und ganz sicher, wenn es sich um eine Ranscam oder einen Wiper handelt, von dem Sie getroffen wurden – erhalten Sie Ihre Daten nicht zurück, sondern verlieren nur noch eine zusätzliche Geldsumme.
  • Versuchen Sie nicht, Ihre Daten selbst zu entschlüsseln, wenn Sie damit nicht vertraut sind. Für einige ältere Versionen sind im Internet bereits Entschlüsselungstools verfügbar. Während es für einige Computerspezialisten möglich ist, ihre Daten wiederherzustellen, müssen Sie etwas Erfahrung mitbringen. Und es ist riskant – wenn etwas schief geht, könnten Sie Ihre Daten für immer zerstören.

Setzen Sie sich lieber mit einem Datenrettungsspezialisten wie Ontrack in Verbindung. Sie verfügen über alle erforderlichen Tools, um Ihre Daten nach Möglichkeit zu retten. Und wenn es ein einfacher Fall ist, dauert es nicht so lange und ist daher viel billiger, als Daten ein zweites Mal zu verlieren.

Wie können Datenrettungsexperten bei einem Ransomware-Fall helfen?

Aus der Perspektive eines Datenrettungsspezialisten ist jeder Fall von Ransomware anders. Es gibt nicht nur einen großen Unterschied darin, wie die Ransomware-Varianten – die derzeit verfügbar sind – die Daten verschlüsseln und sich über die Netzwerk- und Technologiebasis verbreiten, sondern auch in ihren Zielen, z.B.  die Computer- oder Netzwerkumgebung. Für den Angreifer ist es dabei unerheblich, welches System die Ransomware verschlüsselt, wenn es nur erfolgreich ist und das Opfer das Lösegeld bezahlt. Für den Datenwiederherstellungsexperten ist dies jedoch nicht der Fall. Einige Systeme und Datenstrukturen sind schwieriger und benötigen mehr Zeit für die Wiederherstellung als andere. Und Zeit bedeutet Geld, insbesondere bei der Datenwiederherstellung. Also passen sie vor Ransomware-Angriffen im Jahr 2018 auf, ansonsten bezahlen Sie einen hohen (oder noch höheren) Preis.

Mit all diesen Angriffen im Jahr 2017 wird Ransomware höchstwahrscheinlich sowohl für Privatpersonen als auch für Unternehmen auch im Jahr 2018 eine ernsthafte Bedrohung darstellen! Unabhängig davon, ob der Angreifer versucht, Geld aus diesem “Geschäft” herauszuschlagen oder Infrastrukturen oder Unternehmen zu zerstören, die Kriminellen werden Lücken in Ihrem Netzwerk, Betriebssystem oder Ihren Datensicherheitsprozessen finden. Die beste Verteidigung besteht also darin, ein ausgereiftes Backupverfahren so einzurichten, damit Ihre Infrastruktur im Fall der Fälle so schnell wie möglich wieder ausgeführt werden kann.

Daher ist es absolut notwendig, Backups Ihrer geschäftskritischen Daten auf externen Speichergeräten zu speichern, die nicht mit Ihrem Netzwerk verbunden sind und zu jeder Zeit funktionieren.

Falls Ihr Backup nicht funktioniert oder von einem Ransomware-Virus befallen ist, wenden Sie sich am besten an einen professionellen Datenwiederherstellungsanbieter wie Ontrack, der sowohl Ransomware-verschlüsselte als auch beschädigte Backups wiederherstellen kann.

Seit über 30 Jahren ist Ontrack auf die Wiederherstellung von Daten von allen wichtigen Backup-Lösungen sowie aus Ransomware-infizierten Speichern spezialisiert. In den letzten Jahren haben die Spezialisten das notwendige Know-how gesammelt und neue Tools entwickelt, um derzeit 225 verschiedene Arten von Ransomware zu entschlüsseln und die Daten wiederherzustellen. Darüber hinaus entwickeln wir ständig neue Werkzeuge und Methoden für neu hinzugekommene und weiterentwickelte Arten von Ransomware.

Wenn Sie also von einem Ransomware-Angriff betroffen sind, sollten Sie das System herunterfahren und sich sofort mit Ontrack in Verbindung setzen. Unsere Experten geben Ihnen den besten Rat, wie Sie Ihre wertvollen Daten in Ihrem speziellen Ransomware-Fall wiederherstellen können.

Mehr Informationen zur Datenrettung bei Ransomware finden Sie hier: https://www.krollontrack.de/unternehmen/pressemitteilung/hilfe-bei-ransomware/

Bildnachweis: Antje Delater  / pixelio.de

https://www.pixelio.de/media/274830