{"id":14992,"date":"2021-09-02T15:00:56","date_gmt":"2021-09-02T13:00:56","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14992"},"modified":"2025-01-14T14:04:37","modified_gmt":"2025-01-14T13:04:37","slug":"digitale-bedrohungen-ransomware","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-bedrohungen-ransomware\/","title":{"rendered":"Digitale Bedrohungen: Ransomware"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-bedrohungen-ransomware\/#Ransomware_in_Zahlen\" >Ransomware in Zahlen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-bedrohungen-ransomware\/#Ransomware_Ablauf\" >Ransomware Ablauf<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/digitale-bedrohungen-ransomware\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<p>Um etwas Licht ins Dunkle zu bringen, wollen wir nachfolgend ein paar Zahlen und Fakten von Ransomware sowie einen typischen Angriffsverlauf betrachten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Ransomware_in_Zahlen\"><\/span>Ransomware in Zahlen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Auch wenn Ransomware in letzter Zeit vermehrt in den Fokus der \u00d6ffentlichkeit dr\u00e4ngt, gibt es diese Art von Malware schon seit knapp zwei Jahrzehnten. Zusammen mit dem Anstieg der Vernetzung von IT-Systemen kann auch ein Anstieg von Malware bzw. Ransomware Infektionen beobachtet werden. Im Jahr 2020 betrug die Anzahl der erfassten Ransomware Angriffe auf Privatpersonen oder Unternehmen 304 Millionen weltweit. Das entspricht einer Steigerung von 62% zum Vorjahr und ist die zweith\u00f6chste je erfasste Anzahl. Lediglich 2016 gab es mehr Angriffe mit insgesamt 638 Millionen weltweit<a href=\"#_ftn1\" name=\"_ftnref1\">[1]<\/a>. W\u00e4hrend einer Untersuchung von Sophos<a href=\"#_ftn2\" name=\"_ftnref2\">[2]<\/a> gaben 37% der Befragten Unternehmen an, schon einmal Ziel eines Ransomware-Angriffs gewesen zu sein. Zudem wurden die durchschnittlichen Kosten f\u00fcr das Unternehmen pro Ransomware Angriff auf 1,85 Million US$ gesch\u00e4tzt. Die hohen Kosten sind allerdings nicht die einzige Gefahr eines solchen Angriffs. Das Lahmlegen der kompletten IT-Infrastruktur und deren Wiederaufbau, sowie das Entwenden und Ver\u00f6ffentlichen von Unternehmensdaten, kann das betroffenen Unternehmen neben hohen Kosten mit einen gro\u00dfen Reputationsschaden belasten. Der Bericht zeigt jedoch auch, dass durch das Zahlen des L\u00f6segelds lediglich etwas \u00fcber 60% der verschl\u00fcsselten Daten wiederhergestellt werden kann. Die SECUINFRA GmbH empfiehlt neben weiteren Anbietern und Beh\u00f6rden im IT-Sicherheitsbereich keiner L\u00f6segeld-Forderung nachzukommen. Es gibt keine Garantie, dass Daten \u00fcberhaupt entschl\u00fcsselt oder entwendete Daten gel\u00f6scht werden! Zudem kann ein Unternehmen, das erfolgreich erpresst wurde, in den Fokus andere Ransomware-Gruppen geraten und sich selbst somit zur Zielscheibe machen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Ransomware_Ablauf\"><\/span>Ransomware Ablauf<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Der grobe Ablauf einer Ransomware-Infektion ist meist sehr \u00e4hnlich und unterscheidet sich lediglich bei der Gr\u00f6\u00dfe des Unternehmens. Besonders lukrative Ziele werden dabei nicht nur durch automatische Werkzeuge angegriffen, sondern bekommen die ganze Aufmerksamkeit der Hackergruppe und somit meist einen intelligenten Angreifer, der dynamisch auf neue Szenarien reagieren kann.<\/p>\n<h3>1. Der Einfallsvektor<\/h3>\n<p>E-Mails gelten immer noch als der beliebtester Einfallsvektor f\u00fcr Ransomware-Angriffe. Im vergangenen Jahr erfolgte mit 54 % mehr als jede zweite Ransomware-Infektion \u00fcber E-Mails. Dabei erhalten die Mitarbeiter des Unternehmens Spam-E-Mails oder gezielte und zugeschnittene Phishing E-Mails. Meist enthalten diese pr\u00e4parierte Links oder Anh\u00e4nge, welche beim \u00d6ffnen die Malware auf dem System platzieren. Alternativ gelangen die Angreifer \u00fcber gestohlene Anmeldedaten oder so genannte Drive-by-Angriffe auf die Systeme der Opfer. Letzteres sind speziell pr\u00e4parierte Webseiten, die ein Angestellter aufruft und dadurch Malware auf sein System heruntergeladen wird. Zuletzt gibt es noch den Einfallvektor Zero-Day. Zero-Day bezieht sich dabei weniger auf die Angriffstechnik per se, sondern darauf, wie lange eine Sicherheitsl\u00fccke dem betroffenen Softwarehersteller bekannt ist. N\u00e4mlich null Tage &#8211; Zero Days. Diese Methode ist also sehr gef\u00e4hrlich und ist so gut wie immer von Erfolg gekr\u00f6nt, da au\u00dfer dem Angreifer niemand wei\u00df, dass solch eine L\u00fccke existiert. Im Allgemeinen werden Zero-Days jedoch sparsam eingesetzt und kommen lediglich bei sehr gro\u00df angelegten Operationen zum Einsatz (siehe: <a href=\"https:\/\/testing.secuinfra.com\/news\/kaseya-supply-chain-angriff\/\">Kaseya: Supply-Chain-Angriff<\/a>). Neben den genannten Methoden gibt es noch zahlreiche weitere M\u00f6glichkeiten, ein Unternehmen zu kompromittieren. In der Statistik von Statista sind die Top 10 der Einfallstore aus dem Jahr 2020 abgebildet.<\/p>\n<h3>2. Malware beginnt zu arbeiten<\/h3>\n<p>Ist der Angreifer auf das System gelangt, versucht sich dieser auf m\u00f6glichst viele andere Systeme im Netzwerk zu verbreiten (Lateral Movement). Wird im System ein Domain Controller verwendet, kann sich der Angreifer im schlimmsten Fall durch das Kompromittieren eines Domain Administrator Accounts ein so genanntes &#8222;Golden Ticket&#8220; ausstellen. Mit diesem &#8222;Golden Ticket&#8220; kann der Angreifer sich administrativen Zugang zu fast jedem System im Netzwerk verschaffen. Dieser Freifahrtschein wird anschlie\u00dfend genutzt, um m\u00f6glichst viele Systeme zu befallen und den Schaden zu maximieren. Parallel dazu wird die Exfiltration von Daten durchgef\u00fchrt. Dabei nehmen Angreifer in der Regel alles mit, was dem Unternehmen \u00f6ffentlich oder wirtschaftlich Schaden k\u00f6nnte. Hat der Angreifer die Daten bekommen, beginnt die Ransomware damit alle befallenen Systeme zu verschl\u00fcsseln.<\/p>\n<h3>3. Die Erpressung<\/h3>\n<p>Ist der Schaden angerichtet, werden Ransomnotes auf den Systemen verteilt, die dem Opfer das offensichtliche mitteilen: Er wurde verschl\u00fcsselt. Meist enthalten diese Nachrichten ebenfalls ein Hinweis auf die Angreifer-Gruppe und neben der geforderten L\u00f6segeldsumme auch gleich eine Anleitung, wie und an welche Adresse dieses zu bezahlen ist. Ist das Unternehmen besonders gro\u00df, treten die Angreifer unter Umst\u00e4nden auch direkt mit diesem in Kontakt, um eine entsprechende Summe auszuhandeln. Um zu beweisen, dass Daten abgeflossen sind, wird dem Opfer meist eine Stichprobe zugeschickt oder diese direkt in einem entsprechenden Untergrundforum ver\u00f6ffentlicht. Das soll den Druck auf das Unternehmen erh\u00f6hen und dieses somit dazu bewegen, dass geforderte L\u00f6segeld zu bezahlen.<\/p>\n<h3>4. Schutz<\/h3>\n<p>Durch die enorme Vielfalt der Angriffsvektoren ist ein vollst\u00e4ndiger Schutz vor Ransomware oder Malware-Angriffen im Allgemeinen schwierig bis unm\u00f6glich. Durch geeignete Ma\u00dfnahmen kann die Wahrscheinlichkeit, dass solch ein Angriff erfolgreich verl\u00e4uft, jedoch drastisch reduziert werden. Schulung f\u00fcr Mitarbeiter sind ein erster Schritt, dies muss aber immer durch technische Sicherheitsl\u00f6sungen erg\u00e4nzt werden. Unsere Erfahrung hat gezeigt, dass Compromise Assesment ein wertvolles Instrument zur Erkennung von Angriffen darstellt. Durch das Scannen der gesamten Infrastruktur k\u00f6nnen etwaige Angriffsspuren erkannt und analysiert werden. Dies sollte im besten Fall nicht nur einmalig, sondern auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverl\u00e4ssig entdeckt wird. Die SECUINFRA bietet einen entsprechenden \u201eContinuous Compromise Assessment\u201c Service an. Hierbei wird ein initialer Scan inklusive Auswertung durchgef\u00fchrt, um eine erste Einsch\u00e4tzung \u00fcber die generelle Lage der Infrastruktur zu erhalten. Somit k\u00f6nnen die Spuren von Cyberangriffen entdeckt und im Idealfall hoher Schaden verhindert werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ransomware ist zu einer der gr\u00f6\u00dften digitalen Bedrohungen f\u00fcr Unternehmen geworden. Einmal erfolgreich befallen, k\u00f6nnen Millionensch\u00e4den entstehen und Daten entwendet werden, die nicht nur wirtschaftliche, sondern auch \u00f6ffentliche Auswirkung auf ein Unternehmen haben. Durch geeignete Ma\u00dfnahmen kann die Wahrscheinlichkeit auf Erfolg eines solchen Angriffs drastisch reduziert werden. Die SECUINFRA unterst\u00fctzt Sie gerne bei der Entwicklung eines geeigneten Sicherheitskonzepts und dem Einsatz von pr\u00e4ventiven Ma\u00dfnahmen.<\/p>\n<p>Weiterf\u00fchrende Informationen finden Sie dazu in unserem Artikel <a  href=\"https:\/\/www.it-daily.net\/it-sicherheit\/cloud-security\/den-schaden-moderner-ransomware-angriffe-minimieren\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Den Schaden moderner Ransomware-Angriffe minimieren<\/a>. Falls Sie schon betroffen sind, bieten wir umgehende Hilfe an, um den Schaden zu begrenzen und zuk\u00fcnftige Angriffe zu vermeiden.<\/p>\n<p><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> <a href=\"https:\/\/www.statista.com\/statistics\/494947\/ransomware-attacks-per-year-worldwide\/\">https:\/\/www.statista.com\/statistics\/494947\/ransomware-attacks-per-year-worldwide\/<\/a> 23.08.2021<\/p>\n<p><a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a> <a href=\"https:\/\/secure2.sophos.com\/en-us\/content\/state-of-ransomware.aspx\">https:\/\/secure2.sophos.com\/en-us\/content\/state-of-ransomware.aspx<\/a> 23.08.2021<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um etwas Licht ins Dunkle zu bringen, wollen wir nachfolgend ein paar Zahlen und Fakten von Ransomware sowie einen typischen Angriffsverlauf betrachten.<\/p>\n","protected":false},"author":6,"featured_media":27631,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14992","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14992"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14992\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27631"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14992"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}