Leitfaden für Datenrettung bei Ransomware | Ontrack

Written By: Ontrack

Date Published: 5. August 2024 11:14:00 EDT

Leitfaden für Datenrettung bei Ransomware | Ontrack

  • ransomware-1

    Bei Ransomware handelt es sich um eine Form von Schadsoftware, die entweder den Zugriff auf ein Computersystem blockiert oder die Daten eines Nutzers online veröffentlicht. Der Angreifer fordert vom Opfer ein Lösegeld und verspricht - nicht immer wahrheitsgemäß -, den Zugriff auf die Daten bei Zahlung wiederherzustellen.

  • Was ist Ransomware?

  • Seit den 1980er Jahren sind im letzten Jahrzehnt vermehrt verschiedene Ransomware-Trojaner aufgetaucht, aber erfolgreich sind Ransomware Angriffe besonders seit der Einführung von Bitcoin . Diese Kryptowährung ermöglicht es Angreifern, auf einfache Weise Geld von ihren Opfern zu sammeln, ohne den Umweg über traditionelle Kanäle zu gehen.

Ein Ransomware-Angriff beginnt, wenn bösartige Software auf ein Gerät heruntergeladen wird. Beispiele für Gerätetypen sind Laptops, Smartphones oder Desktop-Computer. Die Schadsoftware wird normalerweise aufgrund von Benutzerfehlern oder unzureichenden Sicherheitsprotokollen heruntergeladen.

In den letzten Jahren haben sich Phishing-Angriffe zu einer beliebten Methode für die Verbreitung von Ransomware entwickelt. Bei einem Phishing-Angriff hängt ein Cyberkrimineller ein infiziertes Dokument oder eine URL an eine E-Mail an, die er als legitime E-Mail tarnt, in der Hoffnung, den Empfänger zum Öffnen der E-Mail zu verleiten. Sobald sie geöffnet wird, wird die Ransomware auf dem Gerät installiert.

Das "trojanische Pferd" ist eine weitere beliebte Angriffsart, bei der Ransomware als legitime Software getarnt wird und dann Geräte infiziert, nachdem Benutzer diese Software installiert haben.

Sobald Ransomware ein System infiziert hat, übernimmt sie die kritischen Prozesse des Geräts; sie sucht nach Dateien, die sie verschlüsseln kann; der Virus verschlüsselt alle Daten auf dem Gerät oder löscht die Dateien, die er nicht verschlüsseln kann. Er infiziert auch alle externen Geräte, die an den Host-Computer angeschlossen sind. Der Virus sendet auch Signale an andere Geräte im infizierten Netzwerk, um diese ebenfalls zu infizieren.

Es gibt viele verschiedene Varianten von Ransomware, und es werden ständig neue erstellt. Im Folgenden sind die häufigsten und bekanntesten Ransomware-Typen aufgeführt: 

Phishing

Das häufigste Übermittlungssystem für Ransomware ist Phishing-Spam - Anhänge, die in der E-Mail eines Opfers ankommen und sich als vertrauenswürdige Datei tarnen. Laut einer Studie des Sicherheitsunternehmens Trend Micro beginnen 91 % der Cyberangriffe und der daraus resultierenden Datenverletzungen mit einer Spear-Phishing-E-Mail.

Sobald der Anhang heruntergeladen und geöffnet wurde, kann die Malware den Computer des Opfers übernehmen und einige der Dateien des Benutzers verschlüsseln. In diesem Fall können die Dateien nur mit einem mathematischen Schlüssel entschlüsselt werden, den nur der Angreifer kennt.

Es sind auch Fälle bekannt, in denen Malware eine Meldung anzeigt, die behauptet, dass das "Windows" des Benutzers gesperrt ist. Der Benutzer wird dann aufgefordert, eine "Microsoft"-Telefonnummer anzurufen und einen sechsstelligen Code einzugeben, um das System wieder zu aktivieren. In der Meldung wird behauptet, dass der Anruf kostenlos ist, was jedoch nicht stimmt. Während des Telefonats mit dem gefälschten "Microsoft" fallen Gebühren für Ferngespräche an.

Doxware

Eine andere Malware wird Leakware oder Doxware genannt. Hier droht der Angreifer damit, sensible Daten auf der Festplatte des Opfers freizugeben, wenn kein Lösegeld gezahlt wird. Oftmals sind E-Mails und Word-Dokumente das Ziel, aber es gab auch Fälle von mobilen Varianten, bei denen private Nachrichten, Bilder und Kontaktlisten von den Telefonen der Benutzer freigegeben wurden.

Doxware gilt als effektivere Malware als Ransomware - wenn es darum geht, das Geld vom Opfer zu bekommen. Bei Ransomware können Sie separate Backups von Daten erstellen, auf die nicht mehr zugegriffen werden kann, aber bei Doxware kann ein Angreifer, sobald er über Informationen verfügt, die das Opfer nicht öffentlich machen möchte, nur noch wenig tun, außer zu zahlen.

Anatova

Eine Entdeckung für 2019 war die Ransomware Anatova. Diese neue, extrem fortschrittliche Art von Ransomware tarnt sich als das Symbol eines Spiels oder einer Anwendung, um den Benutzer zum Herunterladen zu verleiten. Diese extrem fortschrittliche Form von Malware passt sich schnell an und nutzt Ausweich- und Verbreitungsmethoden, um ihre Entdeckung zu verhindern. Aufgrund seines modularen Aufbaus kann er zusätzliche Funktionalitäten einbetten, die es ihm ermöglichen, Anti-Ransomware-Methoden zu umgehen. Glücklicherweise entdeckte das McAfee Advanced Threat Research-Team diese neue Ransomware-Familie Anfang 2019, bevor sie zu einer signifikanten Bedrohung wurde.

Dharma

Die Ransomware Dharma, eine Variante von CrySiS, gibt es seit 2018, aber die Cyberkriminellen veröffentlichen immer wieder neue Varianten, die nicht entschlüsselt werden können.

GandCrab

Bösartige Ransomware, die AES-Verschlüsselung verwendet und eine Datei namens "GandCrab.exe" auf dem System ablegt. GandCrab zielt auf Verbraucher und Unternehmen mit PCs unter Microsoft Windows ab. Am 31. Mai 2019 gaben die Cyberkriminellen, die hinter GandCrab stecken, bekannt, dass sie alle weiteren GandCrab-Ransomware-Angriffe stoppen und behaupten, sie hätten über 2 Milliarden US-Dollar an Lösegeldzahlungen geleistet und würden sich in den "wohlverdienten Ruhestand" begeben. 

Emotet

Emotet war ursprünglich eine Malware, die es auf Banken abgesehen hatte - sie schlich sich auf Ihren Computer und stahl sensible und private Informationen. Erstmals im Jahr 2014 aufgetaucht, hat Emotet eine Vielzahl von Versionen durchlaufen und sich zu einer Ransomware entwickelt, die sich sogar der Erkennung durch einige Anti-Malware-Produkte entziehen kann. Seit seiner Entstehung hat Emotet Bankanmeldungen, Finanzdaten und Bitcoin-Wallets von Einzelpersonen, Unternehmen und Regierungsstellen in ganz Europa und den USA gestohlen.

Die Hacker nutzen wurmähnliche Fähigkeiten, um sich auf andere Computer zu verbreiten, und schleusen Emotet in der Regel über Spam-E-Mails ein, die den Anschein erwecken, legitim zu sein, und das Opfer durch verlockende Formulierungen zum Klicken auf den Link verleiten.

Laut dem US Department of Homeland Security ist Emotet eine der kostspieligsten und zerstörerischsten Malware. Die geschätzten Kosten für die Beseitigung eines durchschnittlichen Emotet-Angriffs belaufen sich auf über 1 Million US-Dollar.

Ryuk

Ryuk zielt speziell auf große Organisationen ab, um eine hohe finanzielle Rendite zu erzielen. Laut CrowdStrike erbeutete Ryuk zwischen August 2018 und Januar 2019 über 705,80 Bitcoins in 52 Transaktionen im Gesamtwert von 3.701.893,98 US-Dollar. Das Unternehmen erregte erstmals Aufsehen mit seinem Angriff auf den Betrieb von Tribune Publishing in der Weihnachtszeit 2018. Zunächst dachte das Unternehmen, dass es sich bei dem Angriff nur um einen Serverausfall handelte, aber es war bald klar, dass es sich um die Ransomware Ryuk handelte.

Ein anderer Begriff für Ransomware wie Ryuk, die auf große Unternehmen abzielt, um einen hohen ROI zu erzielen, ist "Big Game Hunting". Diese groß angelegten Angriffe beinhalten eine detaillierte Anpassung der Kampagnen an die einzelnen Ziele, um die Effektivität des Angriffs zu erhöhen. Die "Großwildjagd" erfordert daher viel mehr Arbeit vom Hacker; außerdem wird sie normalerweise in Phasen gestartet. Phase eins könnte zum Beispiel ein Phishing-Angriff sein, der sich darauf konzentriert, das Netzwerk eines Unternehmens mit Malware zu infizieren", um das System abzubilden und wichtige Assets zu identifizieren, die angegriffen werden sollen. Die Phasen zwei und drei bestehen dann aus einer Reihe von Erpressungs- und Lösegeldangriffen/-forderungen.

Bin ich ein Ziel für Ransomware-Attacken?

Niemand ist vor den Auswirkungen von Ransomware sicher. Leider sind einige anfälliger für erfolgreiche Angriffe als andere. Dafür gibt es verschiedene Gründe: die eingesetzte Technologie, die vorhandenen Sicherheitsvorkehrungen, die Reife der Identity Governance und der Privilegien sowie die allgemeinen Cybersicherheitsprotokolle.

Wenn Sie die Nachrichten lesen, werden Sie festgestellt haben, dass Organisationen aus einer Vielzahl unterschiedlicher Sektoren und Branchen Opfer von Ransomware-Angriffen geworden sind. Vom Gesundheitswesen bis hin zu Fluggesellschaften - die Angreifer scheinen keine Präferenz zu haben, wen sie ins Visier nehmen, oder doch?

Ein Angreifer wählt normalerweise eine Organisation aus, die er aufgrund von zwei Dingen angreift

Gelegenheit

Wenn ein Unternehmen über ein kleines Sicherheitsteam verfügt, keine IT-Ressourcen hat und eine Benutzerbasis hat, die viele Dateien gemeinsam nutzt, z. B. eine Universität, dann könnte ein Angreifer dies als ein leichtes Ziel betrachten.

Möglicher finanzieller Gewinn

Unternehmen, die sofortigen Zugriff auf ihre Dateien benötigen, z. B. Anwaltskanzleien oder Regierungsbehörden, sind möglicherweise eher bereit, schnell ein Lösegeld zu zahlen. Organisationen mit sensiblen Daten sind möglicherweise auch bereit zu zahlen, um die Nachricht über die Datenschutzverletzung geheim zu halten.

Soll ich das Lösegeld bezahlen?

Man könnte meinen, dass die Zahlung eines Lösegelds, um Zugang zu Ihren Daten zu erhalten, schon schlimm genug ist, aber das kann im Vergleich zu den tatsächlichen Schadenskosten, die mit einem Angriff verbunden sind, verblassen. Weitere Auswirkungen sind:

  • Beschädigung und Zerstörung (oder Verlust) von Daten
  • Verlorene Produktivität
  • Unterbrechung des normalen Geschäftsablaufs nach einem Angriff
  • Forensische Untersuchung
  • Wiederherstellung und Löschung der gekaperten Daten und Systeme
  • Reputationsschaden
  • Mitarbeiterschulung als direkte Reaktion auf die Angriffe

Wenn man das alles berücksichtigt, ist es nicht verwunderlich, dass die Schäden durch Ransomware in diesem Jahr auf 11,5 Milliarden US-Dollar ansteigen werden, wobei alle 14 Sekunden ein Angriff prognostiziert wird - im letzten Jahr waren es noch alle 40 Sekunden.

Wenn Sie mit Experten für Cyberkriminalität sprechen, raten die meisten dringend davon ab, Lösegeld zu zahlen, da die Finanzierung von Ransomware-Angreifern nur dazu beiträgt, mehr Ransomware zu erstellen.

Viele Unternehmen widersetzen sich jedoch diesem Rat und wägen die Kosten für die verschlüsselten Daten gegen das geforderte Lösegeld ab. Letztes Jahr haben in den USA 45 % der Unternehmen, die von Ransomware betroffen waren, ihre Angreifer bezahlt. Aber warum?

Während die Verweigerung der Zahlung von Ransomware für die breitere Geschäftswelt empfohlen wird, ist die Verweigerung der Zahlung möglicherweise nicht die beste Vorgehensweise für das Unternehmen selbst. Wenn die Möglichkeit besteht, dass das Unternehmen dauerhaft den Zugriff auf wichtige Daten verliert, Geldstrafen von Aufsichtsbehörden auferlegt werden oder das Unternehmen ganz vom Markt verschwindet, können die Optionen des Unternehmens düster erscheinen. Die Wahl zwischen der Zahlung eines relativ bescheidenen Lösegelds und dem Verbleib im Geschäft oder der Verweigerung der Zahlung, um der breiteren Geschäftswelt zu helfen, ist für die meisten eine klare Sache.

In einigen Ransomware-Fällen wird das geforderte Lösegeld oft so hoch angesetzt, dass es sich für den Angreifer lohnt, aber niedrig genug, dass es oft billiger ist, als wenn ein Opfer für die Rekonstruktion seiner verlorenen Daten zahlt. Manchmal werden auch Rabatte angeboten, wenn das Opfer innerhalb eines bestimmten Zeitrahmens zahlt, z. B. 3 Tage.

Vor diesem Hintergrund legen einige Unternehmen Bitcoin-Reserven speziell für Lösegeldzahlungen an. Zum Beispiel in Großbritannien scheinen Organisationen eher Lösegeld zu zahlen. Laut Gotham Sharma, Geschäftsführer der Exeltek Consulting Group, "gibt etwa ein Drittel der mittelgroßen britischen Unternehmen an, Bitcoin vorrätig zu haben, um auf Ransomware-Notfälle zu reagieren, wenn andere Optionen nicht sofort ausgeschöpft werden können."

Opfer einer Ransomeware-Attacke - was nun?

Wenn Sie feststellen, dass Sie mit Ransomware infiziert sind, müssen Sie herausfinden, um welche Art von Ransomware es sich handelt, bevor Sie fortfahren.

Wenn Sie nicht an einer Ransomware-Notiz auf Ihrem Bildschirm vorbeikommen, sind Sie wahrscheinlich mit Ransomware infiziert, die den Bildschirm sperrt. Wenn Sie durch Ihre Anwendungen navigieren können, aber Ihre Dateien, Filme usw. nicht öffnen können, sind Sie von verschlüsselnder Ransomware betroffen - das schlimmste Szenario von beiden. Wenn Sie durch Ihr System navigieren und alle Ihre Dateien lesen können, sind Sie wahrscheinlich von einer gefälschten Version von Ransomware betroffen, die Sie nur dazu bringen will, zu bezahlen.

Selbst mit den besten Vorsichtsmaßnahmen und Richtlinien können Sie immer noch von einem Angriff betroffen sein. Für den Fall, dass Ihre Daten von Ransomware als Geiseln genommen werden, empfehlen wir Folgendes:

  • img_600x600_computer-technicianBewahren Sie Ruhe. Unüberlegte Entscheidungen könnten zu weiterem Datenverlust führen. Wenn Sie beispielsweise einen Befall entdecken und plötzlich die Stromzufuhr zu einem Server unterbrechen, anstatt ihn ordnungsgemäß herunterzufahren, könnten Sie zusätzlich zu den infizierten Daten weitere Daten verlieren.

  • Zahlen Sie nicht das Lösegeld, da die Angreifer Ihre Daten möglicherweise nicht freischalten. Es gibt viele Fälle von Opfern, die das geforderte Lösegeld bezahlt haben und im Gegenzug ihre Daten nicht zurückerhalten haben. Anstatt dieses Risiko einzugehen, sollten Unternehmen mit Datenwiederherstellungsexperten zusammenarbeiten, die möglicherweise in
    der Lage sind, durch Reverse-Engineering
    der Malware den Zugriff auf die Daten wiederherzustellen.

  • Überprüfen Sie Ihre letzten Backups. Wenn diese intakt und auf dem neuesten Stand sind, wird die Datenwiederherstellung einfacher, wenn sie auf einem anderen System wiederhergestellt werden.

  • Wenden Sie sich an einen Experten. Aum Wiederherstellungsoptionen zu prüfen. Ein Experte für Datenwiederherstellung wird Ihr Szenario untersuchen, um zu sehen, ob er bereits eine Lösung parat hat; falls nicht, sollte er in der Lage sein, rechtzeitig eine zu entwickeln.

Wie kann man Ransomware-Angriffen vorbeugen?

Ransomware-Varianten zielen auf verschiedene Geschäftsbereiche ab. Die Ziele mit dem höchsten Risiko sind das Gesundheitswesen, Finanzinstitute und Regierungsbehörden. Diejenigen, die gefährdet sind, sollten Vorsichtsmaßnahmen ergreifen, um ihr Risiko zu verringern und die Auswirkungen eines Angriffs zu mindern.

Einer der wichtigsten Pläne, die Ihr Unternehmen haben sollte, ist ein Disaster Recovery Plan. Wenn Sie keinen haben, stehen die Chancen gut, dass die Konsequenzen schwerwiegend sind. Laut der National Archives and Records Administration melden 93 % der Unternehmen, die einen Datenverlust und Ausfallzeiten von zehn oder mehr Tagen erleiden, innerhalb von 12 Monaten Konkurs an.

Ein Disaster-Recovery-Plan beschreibt verschiedene Szenarien zur schnellen Wiederaufnahme der Arbeit nach einer Katastrophe, z. B. einem Ransomware-Angriff. Ein wichtiger Teil des Business-Continuity-Plans einer Organisation sollte eine ausreichende IT-Wiederherstellung und die Vermeidung von Datenverlusten vorsehen. Ein Disaster-Recovery-Plan beschreibt verschiedene Szenarien für die schnelle Wiederaufnahme der Arbeit nach einer Katastrophe, z. B. einem Ransomware-Angriff. Ein wichtiger Teil des Business-Continuity-Plans einer Organisation sollte einen Disaster-Recovery-Plan enthalten, der eine ausreichende IT-Wiederherstellung und die Vermeidung von Datenverlusten ermöglicht. 

Empfehlungen von Ontrack:

  • Stellen Sie sicher, dass Sie über aktuelle Backups verfügen - auf diese Weise ist im Falle eines Falles die Wiederherstellung Ihrer Dateien aus einem Backup der schnellste Weg, um wieder Zugriff auf Ihre Daten zu erhalten.

  • Seien Sie vorbereitet, indem Sie Backups regelmäßig testen. Unternehmen müssen damit vertraut sein, was in Backup-Archiven gespeichert ist und sicherstellen, dass die wichtigsten Daten zugänglich sind, falls Ransomware auf Backups abzielt.

  • Implementieren Sie Sicherheitsrichtlinien. Verwenden Sie die neueste Antiviren- und Anti-Malware-Software und überwachen Sie diese konsequent, um Infektionen zu verhindern.

  • Führen Sie Benutzerschulungen durch, um sicherzustellen, dass alle Mitarbeiter einen potenziellen Angriff erkennen können. Stellen Sie sicher, dass die Mitarbeiter die besten Praktiken kennen, um zu vermeiden, dass versehentlich Ransomware heruntergeladen wird oder das Netzwerk für Außenstehende geöffnet wird.

  • Vergewissern Sie sich, dass auf Ihren Mail-Servern eine Inhaltsüberprüfung und Filterung stattfindet. Scannen Sie jede eingehende E-Mail auf bekannte Bedrohungen und blockieren Sie alle Anhangstypen, die eine Bedrohung darstellen könnten.

  • Sehen Sie sich unser Ransomware-Webinar an.

Minimieren Sie die attackierbare Angriffsfläche

Die Verwaltung von Daten über ihren Lebenszyklus hinweg ist für viele Unternehmen oft kein Thema. Aber ohne eine Strategie für den Datenlebenszyklus setzt sich ein Unternehmen ernsthaften Sicherheitsrisiken und Kosten aus. Die Kosten für einen ineffektiven Schutz von Daten sind heute "zu hoch".

Es sind nicht nur Ransomware-Angriffe, vor denen sich Unternehmen in Acht nehmen müssen. Datenschutzverletzungen, Rufschädigung, Kundenverluste, Ausfallzeiten und hohe Geldstrafen sind alles potenzielle Risiken für ein Unternehmen, das den Lebenszyklus seiner Daten nicht effektiv verwaltet.

Diejenigen Unternehmen, die sich die Zeit nehmen, die notwendigen Anstrengungen und Ressourcen in das Datenlebenszyklusmanagement zu investieren, können die Risiken und Kosten ihrer geschäftskritischen Daten in allen Phasen minimieren.

Wie Ontrack Unternehmen bei Ransomware-Attacken helfen konnte

Bei Ontrack verfolgen wir kontinuierlich 271 verschiedene Arten von Ransomware. Ransomware verändert und entwickelt sich ständig weiter, daher wollen wir sicherstellen, dass wir die neuesten Veränderungen und Fortschritte beobachten und studieren.

Das Studium von Ransomware und ihrer sich ständig verändernden Formen liefert zusätzliches Wissen und Erfahrung, was zu einer höheren Wahrscheinlichkeit führt, dass wir Daten wiederherstellen, die als Folge eines Angriffs verloren gegangen sind.

Ransomware-Fallstudien

 

Wenden Sie sich an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.

Weitere Informationen zum Thema finden Sie unter

Abonnieren

KLDiscovery Ontrack GmbH, Hanns-Klemm-Straße 5, 71034 Böblingen, Deutschland (Alle standorte anzeigen)