Was ist Ransomware?
Bei Ransomware handelt es sich um schändlichen Code oder Aktionen, die Angreifer einsetzen, um den Betrieb einer Organisation zu stören, typischerweise indem sie ihre Daten in Geiselhaft nehmen. Ziel ist es, ein Unternehmen zur Zahlung eines Lösegelds zu zwingen, damit es zu seinem normalen Betrieb zurückkehren kann.
Es ist fast unmöglich, eine Organisation so weit zu schützen, dass sie für Ransomware-Angriffe völlig unangreifbar ist. Es ist jedoch möglich, ihren Schutz wesentlich zu optimieren, 减轻攻击的最坏影响或可能性, überhaupt angegriffen zu werden, zu verringern.
Arten von Ransomware
试图列出所有类型的勒索软件可能会成为一场真正的追逐. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) bezeichnet Ransomware als eine „sich ständig weiterentwickelnde Form von Malware“. Zu den häufigeren Ransomware-Varianten gehören die folgenden:
- Doppelte Erpressung: Angreifer kassieren ein erstes Lösegeld und drohen dann damit, die gestohlenen Daten zu verkaufen, sofern keine zweite Zahlung geleistet wird.
- Ransomware-as-a-Service (RaaS): 成熟的勒索软件集团出售易于安装的“勒索软件套件”。, 用它,即使是技术上不熟练的人也可以发动复杂的攻击。.
- Verteilter Denial-of-Service-Angriff:在这种类型的攻击中,一个系统不是针对另一个系统. Vielmehr sind hierbei viele Systeme (Hunderte oder Tausende) beteiligt, die einen koordinierten Angriff auf ein System starten.
- Spear-Phishing: Angreifer verfassen detaillierte, 针对特定收件人或组的电子邮件, in der Hoffnung, dass sie auf eine bösartige Payload-Anwendung klicken bzw. 下载它们或做一些不请自来的事情,比如电汇。.
- Gestohlene Zugangsdaten: Angreifer verwenden eine Reihe von gestohlenen Zugangsdaten, die sie von einem kompromittierten Endpunkt erhalten haben, 访问同一网络上的其他目标系统,然后可能阻止对这些系统的所有其他访问。.
- Ausnutzung von Anwendungen: Angreifer nutzen Sicherheitslücken in einer Anwendung aus, um Zugriff zu erlangen und Daten zu stehlen und/oder Services zu blockieren.
Wie funktioniert Ransomware?
Ransomware zielt darauf ab, ein Opfer dazu zu zwingen, Lösegeld zu bezahlen. Dabei folgt die Malware, die ein Angreifer bei einem Ransomware-Angriff einsetzt, einem bestimmten Muster: Sie dringt in das System ein, 恶意加密数据,然后向公司或个人勒索赎金.
Wie bereits erwähnt, ist die doppelte Erpressung immer häufiger geworden. Für moderne Angreifer reicht es nicht aus, den Zugriff auf die Daten eines Unternehmens zu blockieren. Sie sehen auch einen Wert darin, die Daten zu stehlen und eine zusätzliche Zahlung zu verlangen, um sie zurückzugeben.
勒索软件对网络系统的影响可能因保护类型和响应时间的不同而有所不同。. Sobald der Zugriff erfolgt ist, 允许攻击者使用后利用框架扫描环境并获得高级权限. Wenn ein Bedrohungsakteur vollständigen Zugriff erhält, könnte er das gesamte Netzwerk verschlüsseln, 这反过来又会导致业务完全中断。.
在更大的网络生态系统中,受感染的端点可能会在一段时间内减轻威胁。, aber es ist ein Wettlauf mit der Zeit, bevor sich die Malware ausbreitet. Um den Umfang eines Angriffs zu begrenzen, 迅速清除这些受感染资产至关重要.
Phasen eines Ransomware-Angriffs
- Erster Zugriff und Persistenz:勒索软件攻击链的第一阶段包括进入一个组织的网络. Zu den gängigen Techniken der Angreifer zählen Phishing, Credential Stuffing und das Ausnutzen von Schwachstellen.
- Aufklärung:在这个阶段,攻击者绘制组织的网络地图, indem sie daran arbeiten, einen ersten Kontext zu den Systemen und Benutzerrechten, die sie erlangt haben, zu gewinnen. Dies ist in der Regel die komplizierteste Phase für den Angreifer.
- Diebstahl von Zugangsdaten und Ausbreitung im Netzwerk:攻击者进入公司网络后, wird er versuchen, sich administrative Zugangsdaten zu verschaffen, um sich im Netzwerk frei bewegen zu können. 在此期间,攻击者可能会禁用所有现有的安全协议。.
- Exfiltration:在这个阶段,攻击者搜索可以从网络中过滤的文件。. Diese sensiblen Dokumente werden zu Erpressungszwecken verwendet. Zu den Beispielen gehören Finanzdokumente, Buchhaltungsinformationen, Kundendaten, Projektinformationen und mehr.
- Verschlüsselung:最后一步是加密,这通常是公司最重要的一步. 攻击者对各种目标文件进行加密,然后要求赎金才能归还。.
Beispiele für Ransomware
Ransomware ist in der heutigen Welt allgegenwärtig. Sehen wir uns einige aktuelle bemerkenswerte Beispiele an.
WannaCry-Ransomware
Der WannaCry Ransomware-Angriff 2017年是近年来最引人注目、最臭名昭著的勒索软件案例之一。. Die Ransomware unterschied sich von herkömmlicher Ransomware dadurch, dass sie eine Komponente enthielt, die anfällige Systeme finden und sich schnell verbreiten konnte. Aufgrund dieses Verhaltens ist diese Art von Ransomware als Wurm bekannt, der sich seinen Weg durch ein Netzwerk bahnt und maximalen Schaden anrichtet.
由于传统的网络钓鱼策略和恶意软件的蠕虫格式都被使用了, war sie besonders bösartig und sorgte weltweit für Aufsehen. Es wurde ein Bitcoin-Lösegeld von Anwendern und Organisation gefordert, 通常不是由于当前软件和/或缺乏有关权限的预防措施。, Passwörter und Zugangsdaten verfügten.
Petya-Ransomware
Ähnlich wie WannaCry wurde die Petya-Ransomware typischerweise eingesetzt, um sich leicht zu verbreiten und Schwachstellen schnell zu lokalisieren. Die Benutzer erhielten eine Aufforderung zum Neustart, woraufhin ihre Systeme nicht mehr verfügbar waren. Petya wurde zunächst als bösartiger E-Mail-Anhang verbreitet, der ein System infizierte, 在用户点击了附件并在本地下载之后.
第一次Petya袭击在乌克兰各地造成严重破坏,严重破坏了该国的银行基础设施和其他关键部门。. Von dort aus konnte es sich wie ein Lauffeuer über ganz Europa verbreiten. Eine nachfolgende Variante, genannt NotPetya, 比原版更恶毒,造成了数十亿美元的损失。.
CryptoLocker-Ransomware
Das vielleicht hartnäckigste dieser Beispiele, CryptoLocker, 主要是用带有恶意附件的钓鱼电子邮件来引诱受害者. Dies könnte ein guter Zeitpunkt sein, innezuhalten und die Vorzüge von Schulung für Sicherheitsbewusstsein hervorzuheben. Nicht alle, aber viele dieser Angriffe erfordern eine Aktion seitens des Nutzers, um auf seine Systeme zugreifen zu können. Daher ist es wichtig, dass die Mitarbeiter wissen, welche Maßnahmen sie ergreifen sollten und welche nicht.
Bemerkenswert ist, dass CryptoLocker besonders effektiv war, 因为网络罪犯模仿了联邦快递(FedEx)和联合包裹(UPS)等知名公司的行为。. 非对称加密用于将用户排除在他们的文件之外. Das bedeutet, 使用两个密钥:一个用于加密,一个用于解密.
So verhindern Sie Ransomware-Angriffe
Ransomware kann verhindert werden, indem wichtige Best-Practice-Verhaltensweisen befolgt werden, die sich durch das gesamte Sicherheitsprogramm ziehen sollten. Wenn man genauer hinschaut, gibt es zwei Schlüsselphasen eines Ransomware-Angriffs, in denen Maßnahmen von entscheidender Bedeutung sind, 降低风险,防止攻击的最坏影响.
- Vor dem Angriff: Minimieren Sie die Angriffsfläche, indem Sie die spezifischen Techniken identifizieren, die Angreifer zur Verbreitung von Ransomware verwenden. 从那里,安全团队可以采取一系列预防措施(包括员工培训)并降低风险。. Mit zielgerichteter Netzwerksegmentierung kann sichergestellt werden, dass kritische Computer isoliert werden, um die Verbreitung von Malware zu verhindern.
- Während des Angriffs:在正在进行的攻击中,对关键业务数据的访问应该受到极大的限制. Die ständige Sicherung des Systems sollte hohe Priorität haben, 在关键业务数据被泄露的情况下,可以使用最新的数据恢复, unversehrter Sicherungskopien erfolgen kann.
Vermeiden Sie es, erneut Opfer eines Angriffs zu werden, 通过识别并消除第一次攻击的原始访问和执行向量, um eine vollständige Ausschaltung des Angreifers zu gewährleisten.
Wie kann Ransomware entfernt werden?
勒索软件可以通过使用有效的反恶意软件解决方案扫描网络来删除. Teams sollten in der Lage sein, Ransomware/Malware automatisch zu untersuchen und einzudämmen, bevor sie echten Schaden anrichten kann.
Nach dem Scannen und Erkennen empfiehlt es sich, 快速从本地管理员组中删除受攻击用户的域帐户. 具有管理员权限的用户帐户允许自动和有针对性的系统级攻击,并易于安装勒索软件。.
此外,系统管理员可以为安全分析人员生成决策点, 阻止受感染的用户帐户和恶意软件通信,或将设备与网络完全隔离. Indem Prozesse zur Verlangsamung der Infektion automatisiert werden, haben die Sicherheitskräfte mehr Zeit, um die Ransomware-Bedrohung vollständig zu beseitigen.
Lesen Sie mehr über Ransomware
Ransomware-Statistik 2023: Ein Blick zurück, um vorauszuplanen
Erfahren Sie mehr über die Ransomware-Präventionslösung von Rapid7
Ransomware-as-a-Service (RAS) – Spickzettel
Ransomware: Neueste Rapid7-Blogbeiträge
Bericht: Schwachstellen: Trends bei der Offenlegung von Ransomware-Daten