Ransomware ist zweifelsohne eine der größten Cyber-Bedrohungen
, die heute Unternehmen auf der ganzen Welt betreffen.

Die Hacker haben ihre Taktik geändert und zielen nicht mehr auf den normalen
Verbraucher ab, sondern auf das Geld und konzentrieren ihre Aufmerksamkeit auf
Unternehmen, bei denen die Rendite viel höher ist.

Ransomware-Angriffe auf Unternehmen haben im letzten Jahr um 363% zugenommen, und laut dem Trend Micro Security Roundup Report wurden 2019 über 61 Millionen Ransomware-Angriffe entdeckt.

Zu den am häufigsten angegriffenen Branchen gehören lokale Behörden, akademische Einrichtungen, der Technologiesektor, das Gesundheitswesen, die verarbeitende Industrie, Finanzdienstleistungen und Medienunternehmen. Jede Branche und jedes Unternehmen ist jedoch ein potenzielles Ziel und sollte alle notwendigen Maßnahmen ergreifen, um einen Angriff zu verhindern.

Leider nehmen viele Unternehmen die Bedrohung
nicht ernst genug und investieren erst dann, wenn sie Opfer eines
lähmenden Ransomware-Angriffs geworden sind, die nötige Zeit und die Ressourcen, um
ihre Cybersicherheitsmaßnahmen zu verbessern. Zu diesem Zeitpunkt ist es oft schon zu spät, da der
Schaden bereits angerichtet ist.

Was ist Ransomware?

Ransomware ist eine Art von Malware, die Benutzern den Zugriff auf ihr System verwehrt, indem sie Dateien verschlüsselt und eine Lösegeldzahlung für die Entsperrung des Systems verlangt. Die Lösegeldzahlung wird in der Regel in Bitcoin oder anderen Kryptowährungen gefordert, die schwer zu verfolgen sind. Die Cyberkriminellen setzen in der Regel eine Frist für die Zahlung des Lösegelds. Wenn die Frist verstreicht, wird das Lösegeld verdoppelt oder die Dateien werden dauerhaft gesperrt.

Bestimmte Varianten von Ransomware sind so konzipiert, dass sie sich schnell auf andere Rechner in einem Netzwerk ausbreiten. Genau das geschah bei dem WannaCry-Angriff 2017, als die Ransomware Hunderttausende von Computern in mehr als 150 Ländern verschlüsselte. Innerhalb weniger Stunden richtete die Ransomware weltweit Chaos an und brachte ein Drittel der britischen NHS-Trusts praktisch zum Stillstand.

Was ist Ransomware? MetaCompliance
WannaCry Erpresserbrief (Quelle: Bleeping Computer)

Wie
Sie Ransomware bekommen?

Es gibt verschiedene Möglichkeiten, wie Ransomware Ihren Computer infizieren kann. Der häufigste Weg sind Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Die E-Mails geben vor, von einer seriösen Quelle zu stammen. Sobald der Link angeklickt oder der Anhang geöffnet wird, installiert sich die Malware auf dem System und beginnt, Dateien zu verschlüsseln.

Ransomware kann auch über eine kompromittierte Remotedesktopverbindung, bösartige Websites, infizierte Wechseldatenträger und sogar Social Media Messaging-Apps verbreitet werden.

Was im Falle eines Ransomware-Angriffs zu tun ist

1. Isolieren Sie infizierte Rechner

Wenn Ransomware zuschlägt, ist Schnelligkeit von entscheidender Bedeutung. Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist, sollten Sie ihn sofort vom Netzwerk trennen, indem Sie das Ethernet-Kabel abziehen und Wi-Fi, Bluetooth und alle anderen Netzwerkfunktionen deaktivieren. Ransomware verbreitet sich über Ihre Netzwerkverbindung. Wenn Sie den infizierten Computer isolieren können, verhindern Sie, dass er sich ausbreitet und andere Geräte im Netzwerk infiziert. Wenn Sie den Verdacht haben, dass mehr als ein Rechner infiziert wurde, sollten Sie die gleichen Maßnahmen ergreifen.

2. Benachrichtigen Sie Ihr IT-Sicherheitsteam

Ihr IT-Team sollte sofort benachrichtigt werden, damit es die Ausbreitung der Ransomware eindämmen und die richtigen Verfahren zur Bewältigung des Angriffs einrichten kann. An dieser Stelle kommt ein Notfallplan ins Spiel. Der Plan wird dazu beitragen, dass der Vorfall ordnungsgemäß gehandhabt wird, alle Beweise gesammelt, aufgezeichnet und aufbewahrt werden und die Situation so schnell und effizient wie möglich gehandhabt wird. Die Erstellung eines detaillierten Zeitplans für die Sicherheitsverletzung wird dazu beitragen, Schwachstellen in den Verfahren zu identifizieren und die Sicherheitsvorkehrungen für die Zukunft zu verbessern.

3. Identifizieren Sie den Typ der Ransomware

Identifizieren Sie den Typ der Ransomware | MetaCompliance

Wenn Sie in der Lage sind, die Art der Ransomware zu identifizieren, die bei dem Angriff verwendet wird, hilft Ihnen das, zu verstehen, wie sie sich verbreitet, welche Arten von Dateien sie verschlüsselt und wie sie entfernt werden kann. Es gibt viele verschiedene Arten von Ransomware, aber die beiden häufigsten sind bildschirmsperrende Ransomware und verschlüsselnde Ransomware. Die erste ist am einfachsten zu beheben und obwohl sie das gesamte System sperrt, sind die Dateien sicher, bis ein Lösegeld gezahlt wird. Die zweite ist viel schwieriger zu beheben. Anstatt dem Benutzer den Zugriff zu verweigern, findet sie alle sensiblen Daten, verschlüsselt sie und verlangt dann eine Zahlung, damit die Daten entschlüsselt und wiederhergestellt werden können.

4. Mitarbeiter informieren

Sie sollten Ihre Mitarbeiter unverzüglich über die Sicherheitsverletzung informieren, ihnen erklären, was dies für das Unternehmen bedeutet und welche Schritte Sie unternehmen werden, um den Vorfall zu entschärfen. Unabhängig davon, ob ihre Computer direkt infiziert wurden oder nicht, wird es wahrscheinlich zu einer gewissen Beeinträchtigung des Betriebs kommen, während die Untersuchungen des Vorfalls laufen. Die Mitarbeiter werden sich natürlich Sorgen machen, wie sich der Angriff auf ihre Arbeit auswirken wird. Daher ist es wichtig, dass Sie transparent sind und sie umfassend über die sich entwickelnde Situation informieren.

5. Anmeldedaten ändern

Ransomware kann sich durch das Sammeln von IP-Adressen und Zugangsdaten schnell verbreiten. Wenn es den Hackern gelingt, administrative Zugangsdaten zu kompromittieren, können sie sich seitlich im Netzwerk bewegen, Dateien verschlüsseln und dabei Backups löschen. Um sicherzustellen, dass Ihr System sicher ist und um zu verhindern, dass Hacker Ihre Wiederherstellungsbemühungen vereiteln, sollten Sie sofort alle Administrator- und Benutzeranmeldedaten ändern.

6. Machen Sie ein Foto von der Lösegeldforderung

Machen Sie ein Foto von der Lösegeldforderung | MetaCompliance

Wenn möglich, sollten Sie ein Foto der Lösegeldforderung mit Ihrem Mobiltelefon machen. Dies kann als Beweismittel verwendet werden, wenn Sie den Vorfall der Polizei melden. Dieser Beweis ist notwendig, wenn Sie einen Cyber-Versicherungsanspruch geltend machen, und das Foto kann auch weitere Informationen über die Angriffsmethode liefern.

7. Benachrichtigen Sie die Behörden

Es ist wichtig, die Polizei zu benachrichtigen, wenn Sie angegriffen wurden, damit sie den Vorfall vollständig untersuchen und verhindern kann, dass andere Unternehmen das gleiche Schicksal erleiden. Wenn Ihr Unternehmen mit Daten von EU-Bürgern umgeht, sind Sie nach der Datenschutz-Grundverordnung gesetzlich verpflichtet, die ICO innerhalb von 72 Stunden nach einem Verstoß zu informieren. Andernfalls drohen Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist).

8. Zahlen Sie niemals das Lösegeld

Zahlen Sie niemals das Lösegeld | MetaCompliance

Die National Crime Agency rät Organisationen dringend davon ab, Lösegeld zu zahlen, da dies Cyberkriminelle zu weiteren Angriffen ermutigt und der Teufelskreis weitergeht. Wenn Sie sich für die Zahlung eines Lösegelds entscheiden, gibt es keine Garantie dafür, dass Sie Ihre Dateien jemals wieder zurückbekommen, und wenn überhaupt, erhöht sich dadurch die Wahrscheinlichkeit, dass Sie in Zukunft erneut angegriffen werden.

9. Aktualisieren Sie die Sicherheitssysteme

Nachdem der Vorfall vorbei ist, müssen Sie eine Sicherheitsüberprüfung durchführen und alle Systeme aktualisieren. Updates sollten installiert werden, sobald sie verfügbar sind, um zu verhindern, dass Hacker Schwachstellen in älteren Versionen der Software ausnutzen. Regelmäßige Patches sorgen dafür, dass die Rechner auf dem neuesten Stand, stabil und sicher vor Malware sind.

10. Wiederherstellung aus Backups

Der Schlüssel zu einer schnellen Wiederherstellung nach einem Ransomware-Angriff liegt darin, sicherzustellen, dass Sie aktuelle Backups von wichtigen Dateien haben. Die 3-2-1-Regel ist ein bewährter Ansatz für Backup und Wiederherstellung. Nach dieser Regel sollten Sie über 3 Kopien Ihrer Daten in zwei verschiedenen Speicherformaten verfügen – wobei sich mindestens eine Kopie an einem externen Standort befindet. So können Sie Ihre Daten schnell wiederherstellen, ohne dass Sie zur Zahlung eines Lösegelds erpresst werden.

Wie Sie
Ransomware-Angriffe verhindern können

  • Mitarbeiter sollten regelmäßig Schulungen zum Thema Cybersicherheit erhalten, um sie über die sich entwickelnden Cyber-Bedrohungen aufzuklären und zu lernen, wie man die frühen Stadien eines Angriffs erkennt.

  • Sichern Sie Ihre Daten regelmäßig.

  • Schränken Sie die Berechtigungen der Benutzer zur Installation und Ausführung von Softwareanwendungen ein. Dies kann die Fähigkeit der Malware einschränken, sich in einem Netzwerk zu verbreiten.

  • Aktualisieren Sie die Software regelmäßig und stellen Sie sicher, dass Patches installiert werden, sobald sie verfügbar sind.

  • Installieren Sie Anti-Virus-Software auf allen Geräten.

  • Scannen Sie alle ein- und ausgehenden E-Mails, um Bedrohungen zu erkennen.

  • Befolgen Sie gute Sicherheitspraktiken, um das Infektionsrisiko zu minimieren – Vermeiden Sie das Anklicken von Links oder das Herunterladen von Anhängen aus unbekannten Quellen.

  • Konfigurieren Sie Firewalls, um den Zugriff auf bösartige IP-Adressen zu blockieren.

  • Erstellen Sie sichere Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung für zusätzliche Sicherheit bei Konten.

Phishing ist die Hauptursache für alle Cyberangriffe und erweist sich nach wie vor als eine der einfachsten Methoden, um wertvolle Daten zu stehlen und Ransomware zu verbreiten. Die Phishing-Simulationssoftware MetaPhish von MetaCompliance wurde entwickelt, um diese Bedrohungen wirksam abzuwehren, und ermöglicht es Unternehmen, herauszufinden, wie anfällig ihr Unternehmen für Phishing ist. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie MetaPhish zum Schutz Ihres Unternehmens eingesetzt werden kann.