Schweiz | Deutsch Standorte

080 088 01 00 Starten Sie Ihre Datenrettung
080 088 01 00
080 088 01 00
Starten Sie Ihre Datenrettung

Vollständiger Leitfaden für Datenrettung bei Ransomware

Written By: Ontrack

Date Published: 13. Dezember 2024 03:15:46 EST

Vollständiger Leitfaden für Datenrettung bei Ransomware

Arrow Left Zurück zur auflistung

  • Was ist Ransomware? Der vollständige Leitfaden

    Bei Ransomware handelt es sich um eine Form von Schadsoftware, die entweder den Zugriff auf ein Computersystem blockiert oder die Daten eines Nutzers online veröffentlicht. Der Angreifer fordert vom Opfer ein Lösegeld und verspricht - nicht immer wahrheitsgemäß -, den Zugriff auf die Daten bei Zahlung wiederherzustellen.

     

    ransomware-1

    Seit den 1980er Jahren sind im letzten Jahrzehnt vermehrt verschiedene Ransomware-Trojaner aufgetaucht, aber die wirkliche Chance für Angreifer hat sich mit der Einführung von Bitcoin erhöht. Mit dieser Kryptowährung können Angreifer auf einfache Weise Geld von ihren Opfern eintreiben, ohne den Umweg über traditionelle Kanäle zu gehen.

    Ransomware-Angriff: Wie kommt der Cyberkriminelle ins Spiel?

    Ein Ransomware-Angriff beginnt, wenn bösartige Software auf ein Gerät heruntergeladen wird. Beispiele für Gerätetypen sind Laptops, Smartphones oder Desktop-Computer. Die Schadsoftware wird normalerweise aufgrund von Benutzerfehlern oder unzureichenden Sicherheitsprotokollen heruntergeladen.

(Speer-)Phishing-Mails

Das häufigste Übermittlungssystem für Ransomware ist eine Phishing-E-Mail, die einen Anhang oder einen Link enthält.

Infizierte Webseiten und Malvertising/Adware

Infizierte URLs werden häufig verwendet, um Ransomware zu verbreiten. Wenn Sie auf einen dieser Links klicken, sei es in einer E-Mail oder auf einer nicht verifizierten Website, kann automatisch ein Ransomware-Download auf Ihre Festplatte ausgelöst werden, auch bekannt als Drive-by-Download". Auch der bloße Besuch einer Website, ohne etwas herunterzuladen, kann zu einem Ransomware-Angriff führen.

Fernzugriffspunkte (RDP)

Eine zunehmende Anzahl von Angriffen verschafft sich Zugang zu einem Unternehmen, das offene und ungeschützte Remote-Zugriffspunkte wie RDP und Virtual Network Computing (VNC) hat. RDP-Anmeldeinformationen können durch Brute-Force-Angriffe erlangt, durch Passwortlecks erhalten oder einfach auf Untergrundmärkten gekauft werden. Während frühere Ransomware-Kriminelle eine Befehls- und Steuerungsumgebung für die Ransomware und die Entschlüsselungsschlüssel einrichteten, wenden sich die meisten Kriminellen heute mit Lösegeldforderungen an ihre Opfer, die eine anonyme E-Mail-Dienstadresse enthalten, sodass die Kriminellen besser versteckt bleiben können.

Sobald Ransomware ein System infiziert hat, übernimmt sie den kritischen Prozess des Geräts. Auf der Suche nach zu verschlüsselnden Dateien verschlüsselt die Malware alle Daten auf dem Gerät oder löscht die Dateien, die sie nicht verschlüsseln kann. Sie kann alle externen Geräte infizieren, die an den Host-Computer angeschlossen sind. Bei ausgefeilteren Angriffen ist dies nur der Beginn einer Reihe von Ereignissen, wie im Lockheed Martin Cyber Kill Chain®-Framework und in der MITRE ATT&CK®-Wissensdatenbank beschrieben.

 

Verschiedene Ransomware-Taktiken

Ransomware wird auch als Erpressungssoftware bezeichnet. Cyber-Kriminelle verwenden verschiedene Taktiken, um an Geld zu kommen.

Verschlüsselung von Daten

In vielen Fällen sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf beruht, dass die Daten untrennbar verschlüsselt und für den Benutzer unzugänglich sind. Versprechen des Entschlüsselungsschlüssels im Austausch gegen Geld.

Datendiebstahl durch Exfiltration Leakware oder Doxware

Eine andere Art von Malware wird als Leakware oder Doxware bezeichnet. Hier droht der Angreifer damit, sensible Daten auf der Festplatte des Opfers freizugeben, wenn nicht ein Lösegeld gezahlt wird. Häufig sind E-Mails und Word-Dokumente das Ziel, aber es gibt auch Fälle von mobilen Varianten, bei denen private Nachrichten, Bilder und Kontaktlisten von den Telefonen der Benutzer freigegeben wurden.

Doxware gilt als effektivere Malware als Ransomware - wenn es darum geht, das Geld vom Opfer zu bekommen. Bei Ransomware können Sie Backups von Daten zurück spielen, auf die Sie nicht mehr zugreifen können. Sobald ein Angreifer jedoch in den Besitz von Informationen gelangt, die das Opfer nicht veröffentlichen möchte, kann dieses nichts weiter tun, als zu zahlen um der potentiellen Veröffentlichung zu entgehen.

Sperrung

Es sind auch Fälle bekannt, in denen Malware eine Meldung anzeigt, die behauptet, dass das "Windows" des Benutzers gesperrt ist. Der Benutzer wird dann aufgefordert, eine "Microsoft"-Telefonnummer anzurufen und einen sechsstelligen Code einzugeben, um das System wieder zu aktivieren. In der Nachricht wird behauptet, dass der Anruf kostenlos sei, was jedoch nicht stimmt. Während der Benutzer das gefälschte „Microsoft“ anruft, fallen hohe Gebühren für Ferngespräche an.

Wiper

Malware mit dem einzigen Ziel, den Zugang zu Daten dauerhaft zu zerstören.

Doppelte und dreifache Erpressung

Im Laufe der Zeit kamen neue Taktiken auf, bei denen Datenverschlüsselung mit Datendiebstahl (doppelte Erpressung) und der Durchführung eines verteilten Denial-of-Service-Angriffs (DDoS) (dreifache Erpressung) kombiniert wurden.

 

Ransomware-Bedrohungsgruppen und -Varianten

Die Bedrohung geht von verschiedenen Akteuren mit unterschiedlichen Motiven und Fähigkeiten aus, von staatlichen Akteuren, Kriminellen, Hacktivisten, Skript-Kiddies/Thrillseekern und Insidern. Verschiedene Bedrohungsgruppen haben viele verschiedene Varianten von Ransomware entwickelt, und es werden ständig neue geschaffen. Diese Gruppen spezialisieren sich oft und arbeiten zusammen.

Hier einige Beispiele für bekannte Ransomware-Varianten, die von diesen Gruppen in den letzten Jahren entwickelt wurden:
2024 AKIRA, SEXi-Ransomware
2023 Lockbit, AlpVM, Clop (manchmal auch "Cl0p" geschrieben), Royal
2022 BlackBasta
2021 BlackCat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker

Einen umfassenden Überblick über die Bedrohungsgruppen und Varianten finden Sie hier:
CERT Orangecyberdefense

Bin ich ein Ziel für Ransomware?

In der heutigen Online-Welt stellt sich nicht die Frage, ob eine Organisation angegriffen wird, sondern wann und wie gut sie darauf vorbereitet ist.

Wenn Sie die Nachrichten lesen, werden Sie bemerkt haben, dass Organisationen aus einer Vielzahl unterschiedlicher Sektoren und Branchen Opfer von Ransomware-Angriffen geworden sind. Vom Gesundheitswesen bis hin zu Fluggesellschaften - die Angreifer scheinen keine Präferenz zu haben, wen sie ins Visier nehmen, oder doch?

Ein Angreifer wählt normalerweise ein Unternehmen aus, das er angreift, und zwar aufgrund von zwei Faktoren:
1. Die Gelegenheit
2. Potenzieller finanzieller Gewinn

Gelegenheit
Wenn eine Organisation über ein kleines Sicherheitsteam verfügt, keine IT-Ressourcen hat und eine Benutzergruppe hat, die viele Dateien gemeinsam nutzt, z. B. eine Universität, dann könnte ein Angreifer dies als ein leichtes Ziel betrachten.

Potenzieller finanzieller Gewinn
Organisationen, die sofortigen Zugriff auf ihre Dateien benötigen, z. B. Anwaltskanzleien oder Behörden, sind möglicherweise eher bereit, schnell ein Lösegeld zu zahlen. Unternehmen mit sensiblen Daten sind möglicherweise auch bereit zu zahlen, um die Nachricht von der Datenpanne geheim zu halten.

Sollte ich das Lösegeld zahlen?

Man könnte meinen, dass die Zahlung eines Lösegelds, um Zugang zu Ihren Daten zu erhalten, schon schlimm genug ist, aber das kann im Vergleich zu den tatsächlichen Schadenskosten, die ein Angriff mit sich bringt, leicht verblassen. Weitere Folgen sind:
- Beschädigung und Zerstörung (oder Verlust) von Daten
- Produktivitätsverlust
- Unterbrechung bzw. Ausfall des normalen Geschäftsablaufs nach einem Angriff
- Forensische Untersuchungen durch Polizeibehörden oder zur Klärung ob eine Versicherung zahlen könnte
- Wiederherstellung und Löschung von Geiseldaten und -systemen
- Schädigung des Rufs
- Mitarbeiterschulung als direkte Reaktion auf die Angriffe

Wenn Sie die oben genannten Punkte berücksichtigen, ist es kein Wunder, dass die durch Ransomware verursachten Schäden den Prognosen zufolge steigen werden. Wenn Sie mit Experten für Cyberkriminalität sprechen, raten die meisten dringend davon ab, Lösegeld zu zahlen, da die Finanzierung von Ransomware-Angreifern nur dazu beiträgt, weitere Ransomware zu erschaffen, obwohl viele Unternehmen gegen diesen Ratschlag verstoßen, indem sie die Kosten der verschlüsselten Daten gegen das geforderte Lösegeld abwägen. Aber warum bezahlen Unternehmen ihre Angreifer?

Während die Verweigerung der Zahlung von Ransomware für die breitere Unternehmensgemeinschaft empfohlen wird, ist die Verweigerung der Zahlung möglicherweise nicht die beste Vorgehensweise für das Unternehmen selbst. Wenn die Möglichkeit besteht, dass das Unternehmen dauerhaft den Zugriff auf wichtige Daten verliert, Geldstrafen von Aufsichtsbehörden auferlegt werden oder das Unternehmen ganz vom Markt verschwindet, können die Optionen für Unternehmen trostlos erscheinen. Die Wahl zwischen der Zahlung eines relativ bescheidenen Lösegelds und dem Fortbestand des Unternehmens oder der Verweigerung der Zahlung unter Abwägung der Risiken für das Unternehmen, ist für die meisten eine eindeutige Entscheidung. In einigen Ransomware-Fällen wird das geforderte Lösegeld oft so hoch angesetzt, dass es sich für den Angreifer lohnt, aber so niedrig, dass es oft billiger ist, als wenn das Opfer für die Rekonstruktion seiner verlorenen Daten zahlt. Manchmal werden auch Rabatte angeboten, wenn das Opfer innerhalb eines bestimmten Zeitrahmens, z. B. innerhalb von 3 Tagen, zahlt.

Aus diesem Grund legen einige Unternehmen Bitcoin-Reserven speziell für Lösegeldzahlungen an.

Wie man einen Ransomware-Angriff verhindern kann

Ransomware-Varianten zielen auf unterschiedliche Geschäftsbereiche ab. Diejenigen, die gefährdet sind, sollten Vorkehrungen treffen, um ihr Risiko zu verringern und die Auswirkungen eines Angriffs abzumildern.Einer der wichtigsten Pläne, die Ihr Unternehmen haben sollte, ist ein Disaster Recovery Plan. Wenn Sie nicht über einen solchen Plan verfügen, kann das schwerwiegende Folgen haben. Viele Unternehmen, die Datenverluste und Ausfallzeiten von zehn oder mehr Tagen erleiden, müssen innerhalb von 12 Monaten Konkurs anmelden.

Disaster-Recovery-Plan

Ein Disaster-Recovery-Plan beschreibt verschiedene Szenarien für die schnelle Wiederaufnahme der Arbeit nach einer Katastrophe, z. B. einem Ransomware-Angriff. Er ist auch ein wichtiger Teil des Business-Continuity-Plans (BCM) eines Unternehmens und sollte eine ausreichende IT-Wiederherstellung und die Vermeidung von Datenverlusten ermöglichen. Ein Notfallwiederherstellungsplan beschreibt eine Reihe von Szenarien für die schnelle Wiederaufnahme der Arbeit nach einem Notfall, z. B. einem Ransomware-Angriff. 

Denken Sie daran, den Plan zu aktualisieren und auch einige gedruckte Versionen aufzubewahren. Denn wenn er sich auf einem verschlüsselten Server oder Laufwerk befindet, ist selbst der beste Notfallplan nutzlos. Wenn Sie noch keinen Notfallplan haben, können Sie unsere kostenlose Vorlage hier herunterladen.

Weitere Empfehlungen sind:

  1. Stellen Sie sicher, dass Sie über aktuelle Backups verfügen - falls etwas passiert, ist die Wiederherstellung Ihrer Dateien aus einer Sicherungskopie der schnellste Weg, um wieder auf Ihre Daten zugreifen zu können.

  2. Seien Sie vorbereitet, indem Sie Backups regelmäßig testen. Unternehmen müssen wissen, was in den Backup-Archiven gespeichert ist, und sicherstellen, dass die wichtigsten Daten zugänglich sind, falls Ransomware die Backups angreift.

  3. Führen Sie Benutzerschulungen durch, um sicherzustellen, dass alle Mitarbeiter einen potenziellen Angriff erkennen können. Vergewissern Sie sich, dass die Mitarbeiter die besten Praktiken kennen, damit sie nicht versehentlich Ransomware herunterladen oder das Netzwerk für Außenstehende öffnen.

  4. Implementieren Sie Sicherheitsrichtlinien. Verwenden Sie die neueste Antiviren-, Anti-Malware- und Endpunkt-Erkennungssoftware und überwachen Sie diese konsequent, um Infektionen zu verhindern.

  5. Stellen Sie sicher, dass Ihre Mailserver Inhalte scannen und filtern. Scannen Sie jede eingehende E-Mail auf bekannte Bedrohungen und blockieren Sie alle Arten von Anhängen, die eine Bedrohung darstellen könnten.

  6. Entwickeln Sie IT-Richtlinien, die Infektionen auf anderen Netzwerkressourcen einschränken. Unternehmen sollten Sicherheitsvorkehrungen treffen, damit eine Ransomware-Infektion auf einem Gerät nicht auf das gesamte Netzwerk übergreift z.B. Segmentierung.

  7. Sichern Sie sich bereits die in ruhigen Zeiten die Ressourcen von Incident Response Spezialistenteams und Ontrack-Datenrettungsspezialisten mit Rahmenverträgen für den Notfall.

  8. Kommunikation ist in Krisenzeiten entscheidend. Erstellen Sie E-Mail-Adressen für Notfälle (für die wichtigsten Entscheidungsträger), die von der Unternehmensumgebung getrennt sein könnten, z. B. bei einem kostenlosen Cloud-E-Mail-Anbieter wie gmx. yahoo etc. Tragen Sie diese, einschließlich der Anmeldedaten, in den Notfallplan ein. Eine unternehmensweite WhatsApp-Gruppe hat sich auch für betroffene Unternehmen als nützlich erwiesen. Ein externer Dateifreigabeserver ist ebenfalls hilfreich. Dies beschleunigt und erleichtert die Kommunikation nach einem Vorfall.

Reduzieren Sie die Gefahren der Cyberrisiken: Verwalten Sie Ihren Data Life Cycle

Die Verwaltung von Daten über ihren gesamten Lebenszyklus hinweg ist für viele Unternehmen oft kein Thema. Doch ohne eine Data Life Cycle Strategie von Daten setzt sich ein Unternehmen ernsthaften Sicherheitsrisiken und Kosten aus. Die Kosten für einen ineffektiven Schutz von Daten sind heutzutage zu hoch.

Es sind nicht nur Ransomware-Angriffe, vor denen sich Unternehmen in Acht nehmen müssen, auch Datenschutzverletzungen, Rufschädigung, Kundenverluste, Ausfallzeiten und hohe Geldstrafen sind potenzielle Risiken für ein Unternehmen, das den Lebenszyklus seiner Daten nicht effektiv verwaltet. Unternehmen, die sich die Zeit nehmen, die notwendigen Anstrengungen und Ressourcen in das Data-Life-Cycle-Management zu investieren, können die Risiken und Kosten ihrer geschäftskritischen Daten in allen Phasen minimieren.

In unserer Reihe, wie Ihre Organisation ihre Daten während des gesamten Lebenszyklus (Teil1) / (Teil2) schützen kann erfahren Sie mehr zum Thema.

Wie Ontrack Organisationen geholfen hat, die von Ransomware betroffen sind

Bei Ontrack verfolgen wir kontinuierlich verschiedene Arten von Ransomware. Ransomware verändert und entwickelt sich ständig weiter, daher wollen wir sicherstellen, dass wir die neuesten Veränderungen und Fortschritte beobachten und untersuchen. Das Studium von Ransomware und ihrer sich ständig verändernden Formen liefert zusätzliches Wissen und Erfahrung, was die Wahrscheinlichkeit erhöht, dass wir Daten wiederherstellen können, die infolge eines Angriffs verloren gegangen sind. Wenn es um unzugängliche Daten geht, ist es immer am besten, sich an einen Experten zu wenden. Wenn Sie Opfer eines Ransomware-Angriffs werden, wenden Sie sich an einen Experten wie Ontrack, der Ihnen dabei hilft, wieder auf Ihre Daten zuzugreifen.

Im Folgenden finden Sie einige Beispiele für erfolgreiche Ransomware-Datenrettungen, die wir durchgeführt haben:

Cyberangriff auf VMware-Datenspeicher und virtuelle Backups

Datenwiederherstellung von mit Ransomware infizierten virtuellen Dateien

Krankenhausdatenbanken vor Ransomware gerettet

Zusammenführen einer beschädigten Veeam VBK Sicherung und inkrementellen VIB Dateien

MS SQL-Datenbank aus verschlüsseltem virtuellem Backup auf QNAP gerettet

Hacker-Fehler ausgenutzt: Erfolgreiche Datenrettung nach Ransomware Angriff

 

Wenden Sie sich daher an Ihr Ontrack-Datenrettungsteam in der Schweiz, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.

Weitere Informationen zum Thema finden Sie unter:

Datenwiederherstellung nach einem Ransomware-Angriff

Datenrettung Tapes bei Ransomware

Bei weiteren Fragen:

Kontakt Ontrack Schweiz

 

Abonnieren

Verwandte Themen

6 einfache Tipps, um sich vor Ransomware zu schützen

Wie kann ein Unternehmen Datenverlust durch Ransomware verhindern?

Wie Sie Ihre Daten während ihres gesamten Lebenszyklus schützen können (Teil 1)
Dienstleistungen
Produkte
Ressourcen
Über Ontrack

KLDiscovery Ontrack (Switzerland) GmbH, Hertistrasse 25, 8304 Wallisellen, Schweiz (Alle standorte anzeigen)

© 2025 KLDiscovery Ontrack - All Rights Reserved.