24/7 Notfall Hotline

+49 30 994045736

24/7 Notfall Hotline

Die häufigsten Ransomware Strategien

Ransomware kann über verschiedene Wege in die Daten des Opfers eindringen.

Ransomware ist eine Schadsoftware, die darauf ausgelegt ist, in die Daten des Opfers einzudringen, sie zu verschlüsseln und in einigen Fällen zu extrahieren. Durch diese Verschlüsselung werden die Dateien unzugänglich, und es wird ein Lösegeld verlangt, damit das Opfer wieder auf seine Dateien zugreifen kann.

Hacker haben es immer auf Unternehmen mit großen Datenmengen auf ihren Servern abgesehen, denn je mehr Daten verschlüsselt werden, desto höher ist das Lösegeld. Die Hauptziele der Angriffe sind daher: Server, virtuelle Maschinen, NAS-Speicher, DAS, SAN, RAID-Systeme, Datenbanken und andere. Kurz gesagt, jedes Gerät, das in irgendeiner Form Daten speichert, ist ein Ziel für Kriminelle.

Obwohl Ransomware-Gruppen bei ihren Angriffen äußerst raffiniert vorgehen, müssen sie einige Hürden überwinden, die gar nicht so einfach sind, und die wichtigste davon ist der Einbruch in das System des Opfers. Viele Unternehmen haben hohe Summen in Firewalls, Virenschutz, Ransomware-Schutz und vor allem in die Schulung ihrer Mitarbeiter investiert. Aus diesem Grund haben die Kriminellen Strategien entwickelt, genau diese Schutzmaßnahmen zu umgehen.

Formen von Ransomware Angriffen

Trotz aller Investitionen in die Sicherheit garantiert keine dieser Maßnahmen eine 100%ige Datensicherheit. Hacker nutzen folgende Lücken für ihre Angriffe aus, um in das Netzwerk des Opfers einzudringen.

RDP (Remote Desktop Protocol)

RDP ist eine Windows Schnittstelle für den Fernzugriff. Hacker Gruppen nutzen einen so genannten Brute-Force Angriff, um auf das Netzwerk zuzugreifen, es zu übernehmen und so ihre Ransomware zu installieren. Es ist notwendig, sichere Protokolle für den Fernzugriff zu entwickeln und nur einer limitierten Anzahl von Benutzern den Zugriff auf sie zu geben sowie starke Passwörter zu verwenden. Die Brute-Force Taktik wird eingesetzt, um spezifische Ziele anzugreifen.

Spam E-Mails

Spam E-Mails werden in der Regel in großen Massen an so viele Adressen wie möglich versandt (ca. 90 % aller verschickten Mails sind inzwischen Spam Mails). Sie enthalten bösartige Links oder angehängte Dokumente. Die am häufigsten Datei Typen sind z. B. .word, .excel, .pdf, .jpg und andere. Die E-Mails sind so gestaltet, dass sie mit den E-Mails großer Unternehmen wie Banken, Postämtern, Geschäften und dergleichen identisch sind.

Diese Kampagne setzt auf die Unachtsamkeit des Benutzers. Deshalb gilt: Niemals Dateien aus E-Mails von unbekannten Absendern herunterladen. Die Sensibilisierung der Mitarbeiter ist für große Unternehmen von entscheidender Bedeutung.

Inoffizielle/gecrackte Programme

Man kann fast jedes Programm kostenlos im Internet finden. Einige dieser Programme erweisen sich allerdings später dann als teuer.

Ransomware-Gruppen verstecken ihre Malware in diesen Programmen und können sich noch lange nach dem Herunterladen des Programms noch aktivieren, so dass die Verbindung zu dem heruntergeladenen Programm im ersten Moment nicht offensichtlich ist.

Wenn diese Programme heruntergeladen werden, wird der Benutzer aufgefordert, die Windows-Sicherheit zu deaktivieren, was für den Hacker wie das Öffnen der Haustür ist. Laden Sie niemals solche Programme herunter, sondern entscheiden Sie sich immer für die offizielle Version.

Phishing (Engl. = Angeln)

Phishing ist die einfachste Taktik, aber auch eine der gefährlichsten. Es beruht nicht auf einem Systemfehler, sondern nutzt die Unachtsamkeit des Benutzers, der möglicherweise einen Benutzernamen und ein Kennwort preisgibt, so dass die Gruppe ohne Widerstand von Firewalls in das System eindringen kann.

Phishing geht über E-Mail hinaus und kann auch auf ungesicherten Websites eingesetzt werden, z. B. in Form von Pop-ups, die nach dem Anklicken zu Seiten mit Notfallmeldungen führen, in denen persönliche Daten abgefragt werden.

Die Sensibilisierung der Mitarbeiter ist die beste Gegenmaßnahme für diese Art von Taktik.

Bestechung von Angestellten

Diese Hacker Methode ist eine der schädlichsten. Alle Investitionen eines Unternehmens in Firewalls, Virenschutz, Schulungen usw. waren umsonst, wenn es den Hackern gelingt, einen Mitarbeiter zum Komplizen zu machen.

Es wurden bereits Gruppen identifiziert, die Mitarbeiter über LinkedIn kontaktiert haben und hohe Summen für ihre Anmeldedaten angeboten haben.

Zusammenfassung

Dies sind die am häufigsten verwendeten Taktiken von Hackern, aber sie sind nicht die einzigen. Es gibt einige Gruppen, die nach neuen Wegen für ihre Angriffe suchen.

Ransomware ist ein Zweig der Malware, der seine Angriffe auf überraschende Weise ausgeweitet hat. Deshalb kann man bei den Sicherheitsvorkehrungen der digitalen Infrastruktur nie vorsichtig genug sein.

Die wichtigste Maßnahme gegen Angriffe ist die Datensicherung. Sie dient nicht dazu, Ransomware Angriffe zu verhindern, sondern ist eine Absicherung für den Fall, dass ein Angriff erfolgt.

Aber selbst wenn das Backup durch die Ransomware verschlüsselt wird, gibt es immer noch einen Ausweg: die Entschlüsselung der von Ransomware verschlüsselten Dateien durch RansomHunter.

Häufig gestellte Fragen über Ransomware Entschlüsselung

Jeden Tag werden Ransomware-Angriffe weiter entwickelt. Nach einem erfolgreichen Angriffsversuch ordnet die Ransomware schnell die wichtigsten Dateien des Benutzers und beginnt Verschlüsselung zu beginnen. Microsoft Office-Dateien, Datenbanken, PDFs und Bilder sind die Hauptziele der Ransomware.

Ja, allerdings ist die Ransomware so konzipiert, dass sie von der Firewall nicht erkannt wird, so dass sie in das interne System des Unternehmens eindringen und die Verteidigung ausschalten kann, sich „seitlich” bewegt und die Backup-Routinen schlussendlich ausschaltet.

Der Benutzer kann die Ransomware-Aktion identifizieren, auch wenn das System sie nicht erkennen kann. Die Malware verwendet die systemeigenen Ressourcen für den Verschlüsselungsprozess und reagiert möglicherweise nur langsam auf Benutzeranfragen.

Die Dateierweiterungen werden geändert, und es wird eine spezielle Erweiterung hinzugefügt, in der die Angreifergruppe erwähnt wird. Halten Sie Ausschau nach diesen Anzeichen.

Ja, das ist prinzipiell möglich. Dabei besteht allerdings das Risiko, dass einige Dateien beschädigt werden. Sobald Sie die Ransomware-Aktion auf dem System erkannt haben, sollten Sie das Gerät vom Internet trennen. Dadurch wird die Gruppenkommunikation mit der Malware unterbrochen, manche Ransomware kann die Verschlüsselung aber auch ohne Internetzugang fortsetzen.

Sie können auch Antivirus-Gegenmaßnahmen einleiten, um die Malware zu isolieren und zu löschen, sofern das Antivirusprogramm nicht von der Ransomware deaktiviert wurde.

Die Verschlüsselung zu stoppen ist extrem schwierig, da die Ransomware so konzipiert ist, dass sie alle Gegenmaßnahmen des Systems oder des Benutzers deaktiviert, wodurch die Wahrscheinlichkeit sinkt, dass der Prozess durch die Maßnahmen unterbrochen wird.

Die Angriffe erfolgen in der Regel dann, wenn sich die wenigsten Nutzer im System befinden. Das führt zu den meisten Angriffen an Wochenenden und Feiertagen und in den frühen Morgenstunden.

Es gibt zahlreiche Verschlüsselungsalgorithmen, aber die am häufigsten verwendeten sind RSA [Rivest-Shamir-Adleman]-2048 und AES [Advanced Encryption Standard].

Bleiben Sie zunächst ruhig, denn die Kriminellen setzen auf die Verzweiflung des Opfers. Befolgen Sie diese Tipps:

  • Isolieren Sie das betroffene Gerät – Die Ransomware kann sich „seitlich” durch das System bewegen und andere Geräte erreichen, daher ist es wichtig, ihr Aktionsfeld zu isolieren.
  • Überprüfen Sie das Backup – Wenn das Backup nicht von der Ransomware erreicht wurde, können die Daten schnell und ohne größere Probleme wiederhergestellt werden.
  • Vermeiden Sie den Kontakt mit den Kriminellen – Kriminelle nutzen psychologische Taktiken, um in kürzester Zeit so viel Geld wie möglich zu erpressen; die Tatsache, dass das Opfer emotional mit dem Vorfall verbunden ist, macht es zu einem leichten Ziel.
  • Verhandeln Sie nicht mit den Kriminellen – Die Gruppe gibt keine Garantie, dass der Entschlüsselungsschlüssel nach Zahlung des Lösegelds freigegeben wird, oft geschieht genau das eben nicht. Außerdem wird die Zahlung die Gruppe für weitere Angriffe finanzieren.
  • Wenden Sie sich an die Regierungsbehörden – Die Regierung hat auf die Bekämpfung von Cyberangriffen spezialisierte Behörden, die den Fall untersuchen werden (BSI).
  • Wenden Sie sich an ein Unternehmen, das sich auf die Entschlüsselung von Ransomware-Dateien spezialisiert hat – RansomHunter ist in der Lage, Ransomware-Dateien zu entschlüsseln, ohne dass der Entschlüsselungsschlüssel benötigt wird, unsere Lösungen sind eine Alternative zur Zahlung des Lösegelds.

Ja, in der überwiegenden Mehrheit der Szenarien war RansomHunter in der Lage, die Ransomware-Dateien zu entschlüsseln, ohne das Lösegeld zu zahlen. Dies ist technisch nur möglich durch eine eigens von uns entwickelte Technologie, die der Ransomware überlegen ist und mit der die Daten vollständig und strukturiert rekonstruiert werden konnten.

Wir sind rund um die Uhr online

Füllen Sie das Kontaktformular aus und wir kontaktieren Sie, um den Entschlüsselungs-Prozess Ihrer Daten zu starten. Wir stehen Ihnen stets zur Verfügung, rund um die Uhr und ohne Ausnahme, auf Deutsch, Englisch, Spanisch, Französisch und Italienisch.

Die neusten Einblicke unserer Experten

Wenn Sie auf unserer Website weitersurfen, erklären Sie sich mit der Verwendung von Cookies in Übereinstimmung mit unserer Datenschutzerklärung einverstanden.