
Ransomware ist nicht nur ein Sicherheitsproblem, sondern auch ein Geschäftsproblem, das zu groß geworden ist, um es zu ignorieren. Was in den 1980er Jahren als Diskettenangriff begann, hat sich inzwischen zu etwas weitaus Gefährlicherem entwickelt – Ransomware-as-a-Service (RaaS).
RaaS hat die Ransomware-Landschaft grundlegend verändert. Angreifer müssen nun keine Malware-Experten mehr sein. Mit RaaS ist das Starten eines Angriffs auch für Personen ohne tiefgreifende technische Kenntnisse möglich, was Ransomware zu einer noch allgegenwärtigeren Bedrohung macht. Cyberkriminelle abonnieren einfach einen Dienst, ähnlich wie bei der Nutzung einer Softwareplattform. Der einfache Zugang hat die Häufigkeit und Schwere von Ransomware-Angriffen drastisch erhöht, da immer mehr Angreifer die Gelegenheit nutzen, Angriffe zu starten, ohne über fortgeschrittene technische Kenntnisse verfügen zu müssen.
Die Entwicklung von Ransomware: Von Scareware zu einem vollwertigen kriminellen Unternehmen
Ransomware hat einen langen Weg hinter sich. Was als Locker-Ransomware begann – das Aussperren von Benutzern aus ihren Computern – hat sich zu einer kriminellen Industrie mit einem Umsatz von mehreren Milliarden Dollar entwickelt. Bei der heutigen Ransomware geht es nicht nur darum, Ihre Daten zu sperren, sondern um doppelte Erpressung, bei der die Kriminellen Ihre Dateien stehlen und damit drohen, sie zu veröffentlichen, oder sogar um dreifache Erpressung, bei der sie auch Ihre Partner und Kunden ins Visier nehmen.
Schlimmer noch, Ransomware-as-a-Service hat Ransomware zu einer weit verbreiteten, leicht zugänglichen Bedrohung gemacht, die die Zahl der Angriffe in die Höhe treibt und immer mehr Organisationen gefährdet. RaaS hat einen Marktplatz geschaffen, auf dem Cyberkriminelle für ruchlose Gewinne zusammenarbeiten, was die Bedrohung verschärft und Sicherheitsexperten in ständiger Alarmbereitschaft hält.
Bedeutende Momente in der Entwicklung von Ransomware.
So verursachte beispielsweise der WannaCry-Ransomware-Angriff von 2017 weitreichende Schäden und betraf über 200.000 Computer in 150 Ländern. Bei diesem Angriff wurden Schwachstellen im weit verbreiteten SMB-Protokoll ausgenutzt, wodurch er sich schnell ausbreiten und großen Schaden anrichten konnte. Heutzutage ist eine kontinuierliche Überprüfung die einzige Möglichkeit, um sicherzustellen, dass diese Schwachstellen entdeckt werden, bevor Angreifer sie ausnutzen.
Wenn Ihre Organisation sich nur auf Backups verlässt, um Ransomware zu bekämpfen, unterschätzen Sie, wie ernst die Lage inzwischen ist. Außerdem machen Sie Ihr Unternehmen verwundbar. Es geht nicht mehr nur darum, „bereit“ zu sein, sondern darum, mit automatisierten Ransomware-Abwehrtests und Echtzeit-Ransomware-Teststrategien bereit zu bleiben.
Drei Phasen eines Ransomware-Angriffs: Was Sie wissen müssen
Ein Ransomware-Angriff erfolgt nicht auf einmal. Er durchläuft drei verschiedene Phasen:
- Vor der Verschlüsselung: Bevor die Verschlüsselung beginnt, bereiten die Angreifer die Umgebung vor. Um eine Wiederherstellung der Dateien zu verhindern, löschen sie Schattenkopien, erstellen Mutexe, um sicherzustellen, dass die Ransomware ungestört ausgeführt wird, oder schleusen ihre Malware in vertrauenswürdige Prozesse ein, um verborgen zu bleiben. Diese frühen Schritte – auch als „Indicators of Compromise (IOCs)“ bekannt – sind Ihre ersten Warnsignale, dass etwas nicht stimmt.
- Verschlüsselung: Sobald alles vorbereitet ist, wird die Ransomware aktiviert und verschlüsselt Ihre Dateien. Einige Ransomware-Angriffe erfolgen schnell und sperren Sie innerhalb von Minuten aus , andere arbeiten verdeckter und entziehen sich sorgfältig der Erkennung durch Sicherheitstools, bis die Verschlüsselung abgeschlossen ist.
- Nach der Verschlüsselung: Nach Abschluss der Verschlüsselung hinterlassen die Angreifer eine Lösegeldforderung, in der sie ihre Forderungen deutlich machen, entweder auf Ihrem Bildschirm oder in Ihren Dateien versteckt. Sie verlangen eine Zahlung, in der Regel in Kryptowährung, und überwachen Ihre Reaktion über ihre Befehls- und Kontrollkanäle.
Wenn Sie nicht auf die IoCs achten, die in jeder dieser Phasen auftreten, setzen Sie sich ernsthaften Störungen aus. Aus diesem Grund benötigen Sie eine kontinuierliche Ransomware-Validierung, um diese Indikatoren zu erkennen, bevor ein Angriff vollständig ausgeführt werden kann.
Indikatoren für eine Kompromittierung (IOCs): Die ersten Warnzeichen
Einer der wichtigsten Schritte bei der Abwehr von Ransomware ist das Erkennen der Indikatoren für eine Kompromittierung (IOCs), bevor der Angriff vollständig Fuß fasst. Wenn Sie Löschungen von Schattenkopien oder Prozessinjektionen feststellen, befinden Sie sich bereits in der Phase vor der Verschlüsselung. Hier sind einige Beispiele, auf die Sie achten sollten:
- Löschen von Schattenkopien: Dies ist ein früher Schritt von Angreifern, um sicherzustellen, dass Sie Ihre Dateien später nicht wiederherstellen können.
- Mutex-Erstellung: Mutexe verhindern, dass mehrere Ransomware-Instanzen auf demselben Computer ausgeführt werden, und stellen so sicher, dass der Angriff reibungslos abläuft.
- Prozessinjektion: Hierbei wird Ransomware in vertrauenswürdige Prozesse injiziert und versteckt sich in den legitimen Vorgängen Ihres Systems, um nicht entdeckt zu werden.
- Beendigung von Diensten: Angreifer können Ihre Sicherheitsdienste wie EDR oder Antivirus-Software beenden, um sicherzustellen, dass sie nicht unterbrochen werden.
IOCs wie das Löschen von Schattenkopien oder das Einschleusen von Prozessen bleiben oft unbemerkt. Ein SOC, das mit fortschrittlichen Erkennungswerkzeugen ausgestattet ist, kann diese frühen Anzeichen erkennen und es Unternehmen ermöglichen, den Angriff abzuwehren, bevor er eskaliert. Mit einer kontinuierlichen Ransomware-Validierung können diese Anzeichen in Echtzeit erkannt werden, wodurch Verteidiger die Oberhand gewinnen.
Warum jährliche Tests nicht ausreichen
Hier ist die unangenehme Wahrheit: Es reicht nicht aus, Ihre Abwehr einmal im Jahr zu testen. Wenn Sie nur einmal im Jahr testen, sind Sie die restlichen 364 Tage des Jahres ungeschützt. Ransomware entwickelt sich ständig weiter, und bis Sie Ihren nächsten Test durchführen, könnte sich die Bedrohung in etwas verwandelt haben, auf das Ihr System nicht vorbereitet ist.
Deshalb benötigen Sie Echtzeit-Ransomware-Teststrategien. Mit automatisierten Ransomware-Abwehrtests stellen Sie immer sicher, dass Ihre Umgebung einem Angriff standhält. Sie können sich nicht darauf verlassen, dass Sie sicher sind; Sie müssen es beweisen, und das regelmäßig.
Es herrscht die Auffassung, dass kontinuierliche Ransomware-Validierungen kostspielig oder zeitaufwendig sind. Mit dem Aufkommen automatisierter Testplattformen kann die kontinuierliche Validierung jedoch reibungslos und ohne großen Mehraufwand in Ihren Sicherheits-Workflow integriert werden. Dies entlastet nicht nur die IT-Teams, sondern stellt auch sicher, dass Ihre Abwehrmaßnahmen auf dem neuesten Stand sind und den neuesten Bedrohungen standhalten.
Wichtige Schritte zum kontinuierlichen Schutz vor neuen Ransomware-Bedrohungen.
Auf Ransomware vorbereitete Organisation: Es geht um Sorgfalt
Betrachten Sie Sicherheit wie Hygiene. Sie putzen sich ja auch nicht nur einmal im Jahr die Zähne und denken, das reicht. Sie tun es täglich, um sich zu schützen. Genauso ist es mit der Überprüfung auf Ransomware. Sie können nicht nur einmal testen und davon ausgehen, dass alles in Ordnung ist. Sie müssen Ihre Abwehr kontinuierlich überprüfen, Schwachstellen finden und beheben, bevor Angreifer sie ausnutzen.
Wenn Sie nicht regelmäßig testen, sind Sie nicht auf Ransomware vorbereitet. Sie brauchen eine Denkweise, die kontinuierliche Validierung und regelmäßige Tests in den Vordergrund stellt. Dies ist keine einmalige Aufgabe – es ist eine Hygienemaßnahme, die in Ihre Routine integriert werden muss.
Ein gut funktionierendes SOC ist das Rückgrat jeder Ransomware-Abwehrstrategie. SOC-Teams sind nicht nur für die Erkennung von Angriffen verantwortlich, sondern auch für deren Analyse und Reaktion in Echtzeit. Ein proaktives SOC, das aktiv auf Bedrohungen reagiert, kann Unternehmen ein Gefühl der Sicherheit in Bezug auf ihre Ransomware-Bereitschaft und -Widerstandsfähigkeit vermitteln.
Die praktische Schlussfolgerung: Nicht davon ausgehen, sondern überprüfen
Das Fazit lautet: Gehen Sie nicht davon aus, dass Sie bereit sind – überprüfen Sie es. Wenn Sie sich auf Backups oder jährliche Tests verlassen, sind Sie nicht vorbereitet. Ransomware entwickelt sich täglich weiter, und der einzige Weg, um immer einen Schritt voraus zu sein, ist eine kontinuierliche Ransomware-Überprüfung.
Um mehr darüber zu erfahren, wie eine kontinuierliche Ransomware-Überprüfung Ihre Organisation schützen kann, besuchen Sie unsere RansomwareReady-Seite.
Ihr Kontakt zu uns:
Matan Katz, Regional Development
Hier direkt einen Termin buchen:
https://pentera.oramalthea.com/c/MatanKatz
Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera
Hanspeter Karl, Area Vice President DACH, Pentera
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel

Zusammenfassung des Webinars „Let’s Encrypt“: Eine neue Ära der Zertifikatsüberwachung

Messung des ROI in der Cybersicherheit

Quantifizierung des Risikos von ERP-Ausfallzeiten und das Streben nach betrieblicher Ausfallsicherheit

Spionieren Chrome-Erweiterungen von AI Sie aus?

Die Rolle von DMARC in der E-Mail-Sicherheit
Studien

IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern

Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1

GenAI: Wirtschaft in Deutschland vernachlässigt Transformation der Geschäftsmodelle

Studie zu Security in Kubernetes
