Der richtige Umgang mit Ransomware-Angriffen

Ransomware ist zweifellos eine der größten Cyberbedrohungen, denen Unternehmen auf der ganzen Welt heutzutage ausgesetzt sind.

Hacker haben ihre Taktik geändert: Anstatt gewöhnliche Verbraucher anzugreifen, folgen sie dem Geld und konzentrieren sich auf Unternehmen, bei denen ein wesentlich höherer Investitionsertrag winkt.

Die Zahl der Ransomware-Angriffe hat im letzten Jahr um 363 % zugenommen. Der Sicherheitsstudie „Roundup Report“ von Trend Micro zufolge wurden 2019 mehr als 61 Millionen Ransomware-Angriffe erkannt.

Die am stärksten betroffenen Branchen sind Regionalbehörden, akademische Einrichtungen, der Technologiesektor, das Gesundheitswesen, die Fertigung, Finanzdienstleister und Medienunternehmen. Doch jede Branche und jedes Unternehmen ist ein potenzielles Angriffsziel und sollte alle notwendigen Maßnahmen zur Abwehr möglicher Angriffe ergreifen.

Leider nehmen viele Unternehmen die Bedrohung nicht ernst genug. Erst wenn sie von einem Ransomware-Angriff betroffen sind, investieren sie genügend Zeit und Ressourcen in die Verbesserung ihrer Cyber Security. Dann ist es aber oft zu spät und der Schaden ist bereits angerichtet.

Was ist Ransomware?

Ransomware ist eine Art von Malware, die Benutzern den Zugriff auf ihr System verwehrt, indem sie Dateien verschlüsselt und eine Lösegeldzahlung für die Entsperrung des Systems verlangt. Die Lösegeldzahlung wird in der Regel in Bitcoin oder anderen Kryptowährungen gemacht, die schwer zu verfolgen sind. Die Cyberkriminellen setzen in der Regel eine Frist für die Zahlung des Lösegelds. Wenn die Frist verstreicht, wird das Lösegeld verdoppelt oder die Dateien werden dauerhaft gesperrt.

Manche Ransomware-Varianten sind so programmiert, dass sie sich blitzschnell auf den anderen Rechnern im Netzwerk ausbreiten. Genau dies geschah 2017 beim WannaCry-Angriff, als die Ransomware Hunderttausende von Computern in mehr als 150 Ländern verschlüsselte. Innerhalb weniger Stunden richtete sie großes Chaos auf der ganzen Welt an und legte ein Drittel der NHS-Trusts, die im britischen Gesundheitswesen eine wichtige Rolle spielen, praktisch vollständig lahm.

Wie wird Ransomware eingesetzt?

Es gibt mehrere Wege, wie Ransomware einen Computer infizieren kann. Meistens geschieht dies über Phishing-E-Mails, die Schadlinks oder -anhänge enthalten. Sie geben vor, aus einer seriösen Quelle zu stammen, doch sobald der Link angeklickt bzw. der Anhang geöffnet wird, installiert sich die Malware im System und beginnt mit der Verschlüsselung der Dateien.

Ransomware kann auch per RDP-Kompromittierung (Remote Desktop Connection), durch bösartige Webseiten, infizierte Wechseldatenträger und sogar über Messaging-Apps von sozialen Netzwerken übertragen werden.

Gegenmaßnahmen bei einem Ransomware-Angriff

1. Infizierte Rechner isolieren

Wenn Ransomware zuschlägt, kommt es auf Schnelligkeit an. Wenn Sie den Verdacht haben, dass Ihr Rechner infiziert wurde, müssen Sie ihn sofort vom Netzwerk trennen, indem Sie das Ethernetkabel abziehen und WLAN, Bluetooth sowie alle anderen Netzwerkfunktionen deaktivieren. Ransomware verbreitet sich über Ihre Netzwerkverbindung. Wenn Sie den infektierten Rechner isolieren können, verhindern Sie damit die Verbreitung und die Infektion der anderen Rechner im Netzwerk. Wenn Sie den Verdacht haben, dass mehr als ein Rechner betroffen ist, gehen Sie ebenso vor.

2. Das IT-Sicherheitsteam benachrichtigen

Ihr IT-Team sollte sofort benachrichtigt werden, um die Verbreitung der Ransomware zu verhindern und das richtige Verfahren für den Umgang mit dem Angriff einzuleiten. An dieser Stelle kommt Ihr Krisenbewältigungsplan zur Geltung. Er sorgt für eine angemessene Reaktion auf den Vorfall, die Erfassung, Aufzeichnung und Aufbewahrung der Beweismittel und einen zügigen und effizienten Umgang mit der Situation. Mit einer genauen Zeitleiste für den Vorfall können Sie gegebenenfalls Schwachstellen in Ihren Verfahren ermitteln und die Sicherheitsvorkehrungen für zukünftige Fälle verbessern.

3. Die Art der Ransomware ermitteln

Wenn Sie herausfinden, welche Art von Ransomware bei dem Angriff eingesetzt wurde, verstehen Sie besser, wie sie sich ausbreitet, welche Art von Dateien sie verschlüsselt und wie sie beseitigt werden kann. Es gibt viele verschiedene Ransomware-Erreger, doch am weitesten verbreitet sind solche, die den Bildschirm sperren oder die Dateien verschlüsseln. Erstere sind leichter zu beseitigen. Obwohl das gesamte System lahmgelegt wird, sind die Dateien bis zur Zahlung des Lösegelds in Sicherheit. Bei Letzteren ist die Wiederherstellung wesentlich komplizierter. Anstatt dem Benutzer den Zugriff zu verweigern, sucht diese Variante alle relevanten Daten, verschlüsselt sie und verlangt dann eine Zahlung für ihre Entschlüsselung und Wiederherstellung.

4. Die Mitarbeiter informieren

Sie müssen Ihre Mitarbeiter unverzüglich über den Vorfall informieren, ihnen erklären, was er für das Unternehmen bedeutet, und die Maßnahmen zur Eindämmung des Problems schildern. Unabhängig davon, ob ihre Computer direkt betroffen sind, werden die mit dem Vorfall verbundenen Ermittlungen wahrscheinlich ziemlich viel Wirbel verursachen. Natürlich werden sich die Mitarbeiter Sorgen über die Auswirkungen des Angriffs auf ihre Arbeit machen. Daher sollten Sie transparent vorgehen und sie voll und ganz über die Entwicklungen auf dem Laufenden halten.

5. Die Anmeldedaten ändern

Ransomware kann sich durch das Sammeln immer weiterer IP-Adressen und Anmeldedaten schnell ausbreiten. Wenn Hacker an die Anmeldedaten eines Administrators gelangen, können sie lateral das Netzwerk abgrasen und dabei weitere Dateien verschlüsseln und Backups löschen. Um Ihr System abzusichern und die Hacker an der Ausbremsung Ihrer Wiederherstellungsversuche zu hindern, müssen Sie sofort die Anmeldedaten aller Administratoren und Benutzer ändern.

6. Den Lösegeldbrief fotografieren

Sie sollten möglichst den Lösegeldbrief mit Ihrem Handy fotografieren. Er dient als Beweismittel, wenn Sie den Vorfall der Polizei melden. Sie brauchen diesen Nachweis, wenn Sie den Cybervorfall bei Ihrer Versicherung geltend machen. Außerdem kann das Foto weitere Hinweise zur Angriffsmethode enthalten.

7. Die Behörden benachrichtigen

Es ist wichtig, bei einem Angriff die Polizei zu benachrichtigen, um eine vollständige Untersuchung des Vorfalls zu ermöglichen und andere Unternehmen vor einem ähnlichen Schicksal zu bewahren. Wenn Ihr Unternehmen Daten von EU-Bürgern verarbeitet, sind Sie gemäß DSGVO rechtlich verpflichtet, die ICO innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren. Wenn dies nicht geschieht, können Strafzahlungen in Höhe von 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) fällig werden.

8. Das Lösegeld nicht zahlen

Die National Crime Agency rät Unternehmen dringend von einer Zahlung des Lösegelds ab. Dadurch werden die Cyberkriminellen nur zu weiteren Angriffen ermutigt und der Teufelskreis setzt sich fort. Wenn Sie das Lösegeld zahlen, ist nicht garantiert, dass Sie Ihre Dateien zurückerhalten. Sie vergrößern dadurch nur die Wahrscheinlichkeit eines weiteren Angriffs in der Zukunft.

9. Sicherheitssysteme aktualisieren

Wenn der Vorfall vorbei ist, müssen Sie eine Sicherheitsprüfung durchführen und alle Systeme aktualisieren. Updates sollten installiert werden, sobald sie erhältlich sind, damit Hacker nicht die Schwachstellen in älteren Versionen der Software ausnutzen können. Sie sollten mit regelmäßigen Patches dafür sorgen, dass die Rechner auf dem neuesten Stand bleiben, stabil laufen und vor Malware geschützt sind.

10. Wiederherstellung mit Backups durchführen

Entscheidend für die schnelle Erholung von einem Ransomware-Angriff ist es, aktuelle Backups aller wichtigen Dateien zu besitzen. Die 3-2-1-Regel ist ein bewährtes Verfahren für Backup und Wiederherstellung. Diese Regel besagt, dass Sie drei Kopien Ihrer Daten in zwei verschiedenen Speicherformaten haben sollten, wobei mindestens eine Kopie an einem anderen Ort gespeichert wird. Auf diese Weise können Sie Ihre Daten schnell wiederherstellen, ohne auf die Lösegeldforderung einzugehen.

Präventivmaßnahmen gegen Ransomware-Angriffe

• Die Mitarbeiter sollten regelmäßig im achtsamen Umgang mit Cyberbedrohungen geschult, mit neuen Cyberbedrohungen bekanntgemacht und informiert werden, wie sie Angriffe schon im Frühstadium erkennen.
• Sichern Sie regelmäßig Ihre Daten.
• Beschränken Sie die Berechtigungen der Benutzer zur Installation und Ausführung von Software. Dadurch schränken Sie die Verbreitung der Malware im System ein.
• Aktualisieren Sie regelmäßig die Software und sorgen Sie dafür, dass Patches sofort installiert werden, sobald sie erhältlich sind.
• Installieren Sie Antivirensoftware auf allen Geräten.
• Scannen Sie alle ein- und ausgehenden E-Mails, damit Bedrohungen erkannt werden.
• Befolgen Sie geeignete Sicherheitsverfahren, um die Infektionsgefahr zu minimieren – vermeiden Sie das Anklicken von Links bzw. das Herunterladen von Anhängen aus unbekannten Quellen.
• Konfigurieren Sie die Firewalls so, dass IP-Adressen von böswilligen Akteuren geblockt werden.
• Erstellen Sie starke Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung als zusätzlichen Schutz für Ihre Konten.

Phishing ist die Ursache Nummer Eins für Cyberangriffe und erweist sich immer wieder als eine der einfachsten Methoden, um wichtige Daten zu stehlen und Ransomware zu installieren. MetaPhish wurde als leistungsstarker Schutz gegen derartige Bedrohungen entwickelt, mit dem Unternehmen herausfinden können, wie anfällig sie für Phishing sind. Gerne informieren wir Sie auf Anfrage genauer, wie Sie mit MetaPhish Ihr Unternehmen schützen.