Navigation
Ransomware: die unsichtbare Bedrohung aus dem Darkweb

Ransomware erkennen Ransomware: die unsichtbare Bedrohung aus dem Darkweb

Ransomware verschlüsselt Dateien auf Ihrem PC und die Hacker:innen fordern anschließend Lösegeld für die Dateien. In diesem Beitrag erfahren Sie, welche Arten von Ransomware es gibt und was Sie dagegen tun können.

  • kb
  • 25. September 2023

Die Begriffe Cyberkriminalität, Computerviren und Malware-Angriffe sind uns mittlerweile aus dem täglichen Nachrichtenfluss wohlvertraut. Doch für viele bleibt Ransomware ein befremdliches Wort aus einer unsicheren Welt, das eher Furcht erregt als Verständnis weckt. Es ist jedoch von entscheidender Bedeutung, dass wir alle uns ein klares Bild von der Bedrohung durch Ransomware machen. In diesem Artikel werden wir detailliert erläutern, was Ransomware tatsächlich ist, wie ein Ransomware-Angriff abläuft und welche Auswirkungen er hat. Auf diese Weise wollen wir uns den wichtigsten Fragen rund um dieses Thema widmen.

Was genau ist Ransomware? 

Ransomware, eine Art von Computervirus, ist dafür bekannt, Daten und möglicherweise ganze Computersysteme zu verschlüsseln, bevor sie eine Lösegeldforderung für die Entschlüsselung der Daten stellt. Durch die Verschlüsselung werden Computersysteme oder Dateien, die von Ransomware betroffen sind, für die Betroffenen unzugänglich. Ransomware-Angriffe können sowohl private als auch geschäftliche Daten ins Visier nehmen.

Nach einem Ransomware-Angriff setzen sich Hacker:innen oder Cyberkriminelle mit ihren Opfern in Verbindung und stellen ihre Forderungen. Sie geben an, dass sie die Systeme entsperren oder die Dateien entschlüsseln werden, sobald das geforderte Lösegeld gezahlt wird, das normalerweise in Bitcoin oder einer anderen Kryptowährung erfolgt.

Obwohl das Bewusstsein für die steigende Gefahr von Ransomware erst seit Mitte der 2000er Jahre zugenommen hat, stellen Ransomware-Angriffe bereits seit längerer Zeit eine erhebliche Bedrohung für Einzelpersonen, Unternehmen und Regierungen dar.

Viele Ransomware sind jetzt Open-Source und können von jedem verwendet werden, um Unternehmen und Privatpersonen zu erpressen. © Shutterstock, vchal
Viel Ransomware ist mittlerweile Open-Source und kann von jedem genutzt werden, um Unternehmen und Privatpersonen zu erpressen. © Shutterstock, vchal

Welche Änderungen hat Ransomware über die Jahre erlebt? 

Der erste dokumentierte Ransomware-Angriff wurde 1989 von Dr. Joseph Popp durchgeführt, einem Evolutionsbiologen mit einem Abschluss von Harvard. Bekannt als AIDS-Trojaner oder PC Cyborg, verbreitete Dr. Popp seinen Virus durch Disketten, die er seinen Opfern zusandte und die den Anschein einer AIDS-Aufklärungskampagne erweckten. Nach Aktivierung des AIDS-Trojaners verschlüsselte dieser die Dateien auf den betroffenen Computern und forderte ein Lösegeld von 189 Dollar für deren Entschlüsselung.

In der heutigen Zeit sind Ransomware-Programme, die auf Open-Source-Technologie basieren, leicht zugänglich für potenzielle Angreifer. Erfolgreiche Angriffe können äußerst profitabel sein, mit potenziellen Gewinnen in Millionenhöhe für die Täter:innen, während die Opfer – Einzelpersonen, Unternehmen oder Regierungen – mit dem Aufräumen der verursachten Verwüstung belastet bleiben. Diese lukrativen Möglichkeiten haben zu einem deutlichen Anstieg der Ransomware-Angriffe geführt. Die Covid-19-Pandemie hat dazu beigetragen, indem sie eine verstärkte Welle von Cyberkriminalität ausgelöst hat, da Unternehmen im Zuge der Pandemie rasch auf digitale Arbeitsmodelle umgestellt haben.

Was unterscheidet Ransomware von Viren? 

Obwohl Ransomware eine Form von Schadsoftware ist, ist es technisch gesehen kein Virus. Häufig neigen Menschen dazu, alle Arten von Malware als „Viren“ zu bezeichnen. Aber ein Computervirus ist nur eine spezifische Art von Malware und jede Malware-Kategorie hat ihre eigenen charakteristischen Merkmale. Viren, Trojaner und Würmer können alle als Übertragungswege für Ransomware betrachtet werden. Ein Virus kann Ransomware verbreiten, aber im Gegensatz zu Viren, die Daten infizieren und sich selbst replizieren, verschlüsselt Ransomware Daten und fordert dann ein Lösegeld.

Die Mehrheit der Ransomware verbreitet sich über Trojaner. Das bedeutet, sie tarnt sich in Dateien oder Links, die scheinbar sicher sind, aber dennoch geöffnet werden müssen. Wenn Ransomware als Schadsoftware in Erscheinung tritt, verbreitet sie sich entweder automatisch oder durch Benutzeraktivität.

Ransomware kann Ihr System auf verschiedene Weise erreichen, wie Phishing oder Drive-by-Downloads. © Shutterstock, Rawpixel.com
Ransomware kann durch verschiedene Methoden auf Ihr System gelangen, sei es durch Phishing oder Drive-by-Downloads. © Shutterstock, Rawpixel.com

Wie gelangt Ransomware in das System? 

Einige Varianten von Ransomware können heimlich in euer System eindringen und Besitz von euren Inhalten ergreifen, ohne dass ihr es bemerkt. Andere Ransomware-Angriffe nutzen dagegen klassische Methoden der Vireninfektion. Im Weiteren werden wir uns damit befassen, wie die unterschiedlichen Typen von Ransomware agieren:

  • Exploit-Kits: 
    Um Sicherheitslücken in Geräten, Netzwerken oder Software auszunutzen, entwickeln Cyberkriminelle sogenannte Exploit-Kits. Jedes Gerät, das mit dem Netzwerk verbunden ist und veraltete Software verwendet, kann Ziel dieser Art von Ransomware sein. Um Attacken auf eure Hardware und Daten zu vermeiden, ist es wichtig, eure Systeme und Programme stets auf dem aktuellen Stand zu halten.
  • Phishing: 
    Im Falle von Phishing-Angriffen präsentieren sich Cyberkriminelle als vertrauenswürdige Individuen oder Organisationen und senden Ihnen eine E-Mail, die einen scheinbar sicheren Anhang oder Link enthält. Bei dieser Art von Social-Engineering-Angriffen kommen oft gefälschte Bestellformulare, Quittungen oder Rechnungen zum Einsatz. Wenn Sie einen Phishing-Versuch erkennen, öffnen Sie die E-Mail nicht, melden Sie sie und markieren Sie sie als Spam.
  • Malvertising: 
    Angreifer:innen können ihre Malware durch die Integration in betrügerische Online-Werbung verbreiten, ein Vorgehen, das als Malvertising bekannt ist. Malvertising stellt ein Risiko dar, das selbst die renommiertesten Websites treffen kann. Bei einigen Formen von Malvertising führt bereits die bloße Anzeige dieser Werbung zur Herunterladung der Ransomware, während bei anderen ein Klick auf die Anzeige zur Installation der Schadsoftware führt.
  • Drive-by-Downloads: 
    Durch Manipulation von Websites können Angreifer:innen Malware so programmieren, dass sie unbemerkt und automatisch auf eurem Gerät installiert wird, sobald Sie die Seite aufrufen. Diese Methode stellt ein erhöhtes Risiko dar, insbesondere wenn Sie veraltete Browser und Anwendungen nutzen.
Wenn Ransomware Ihr System erreicht, werden zunächst die Dateien verschlüsselt und dann werden Forderungen nach einem Lösegeld gestellt. © Shutterstock, Zephyr_p
Ist Ransomware auf Ihr System gelangt, werden erst Dateien verschlüsselt und anschließend Lösegeldforderungen gestellt. © Shutterstock, Zephyr_p

Wie läuft ein Ransomware-Angriff ab? 

Einmal auf Ihrem Gerät installiert, beginnt die Ransomware, ihre Kontrolle auszuüben, indem sie entweder das gesamte Gerät blockiert oder Ihre Dateien verschlüsselt. In der Regel wird der Schlüssel zur Entschlüsselung im Austausch für eine Lösegeldforderung bereitgestellt, wie in der auf dem Bildschirm angezeigten Lösegeldforderung mitgeteilt.

Ein Ransomware-Angriff verläuft typischerweise in zwei Phasen: 

  1. Ransomware kodiert Ihre Daten: Dateien oder Dateistrukturen, die durch Ransomware kodiert wurden, sind dadurch unzugänglich. Sie nutzt oft Verschlüsselungsmethoden, die einen speziellen Entschlüsselungscode benötigen, um gebrochen zu werden. Für diesen Code fordern die Angreifer:innen der Ransomware eine Zahlung.
  1. Nach Abschluss des Verschlüsselungsprozesses erscheint eine Lösegeldforderung auf Ihrem Bildschirm. Diese informiert Sie über den geforderten Betrag und das Zahlungsdatum. Sollte die Zahlung bis zu diesem Datum nicht erfolgen, besteht die Möglichkeit, dass der geforderte Betrag steigt oder Ihre Daten entweder gelöscht oder dauerhaft verschlüsselt bleiben.

Jeder Versuch, Ihre verschlüsselten Dateien zu öffnen, während Ransomware auf Ihrem Gerät aktiv ist, wird vermutlich zu einer Fehlermeldung führen. Diese Nachricht informiert Sie darüber, dass Ihre Dateien entweder beschädigt, ungültig oder nicht auffindbar sind. Und dieses Problem betrifft nicht nur Windows-Nutzer:innen. Geräte mit dem Ventura-Betriebssystem, einschließlich Macs, sowie mobile Geräte sind ebenfalls für Ransomware anfällig.

Ist Ransomware in der Lage, Smartphones zu befallen? 

Ransomware-Angriffe auf mobile Geräte nehmen stetig zu. Laut einer Studie des Forschungsinstituts Check Point, die auf Daten aus der ersten Hälfte des Jahres 2019 basiert, gab es einen Anstieg von Cyberangriffen auf Smartphones und Tablets um 50% im Vergleich zum Vorjahr. Im Jahr 2019 wurde eine Warnung an Android-Nutzer herausgegeben, da ein neuer Ransomware-Stamm entdeckt wurde, der Geräte über SMS infiziert.

Die Schadsoftware findet häufig ihren Weg auf Android-Geräte über inoffizielle Download-Seiten. Es gab jedoch auch Situationen, in denen die Ransomware erfolgreich in Apps getarnt wurde, die als vertrauenswürdig im Google Play Store gelistet waren. Obwohl Apple-Geräte mit dem Betriebssystem Ventura weniger anfällig für Malware-Angriffe sind, rücken sie aufgrund ihrer wachsenden Benutzerbasis zunehmend in den Fokus der Malware-Entwickler:innen. Lesen Sie hier mehr über das Thema.

Wenn Ihr System einen Anti-Viren-Scanner hat, kann dieser Ransomware frühzeitig identifiziert werden. © Shutterstock, Rawpixel.com
Verfügt Ihr System über einen Anti-Viren-Scanner kann dieser Ransomware frühzeitig erkennen. © Shutterstock, Rawpixel.com

Wie lässt sich eine Infektion durch Ransomware erkennen? 

Es gibt verschiedene Anzeichen, die auf eine Infektion Ihres Computers oder mobilen Geräts hinweisen können. Im Folgenden finden Sie einige Indikatoren, die auf einen Ransomware-Angriff hindeuten könnten:

  • Eine frühe Erkennung einer Ransomware-Infektion ist möglich, wenn der betroffene Computer über einen Antiviren-Scanner verfügt, sofern dieser nicht umgangen wurde.
  • Untersuchen Sie die Dateiendung: Beispielsweise ist „.jpg“ die typische Endung für eine Bilddatei. Wenn diese Endung plötzlich ungewöhnliche Zeichen aufweist, könnte die Datei mit Ransomware infiziert sein.
  • Sind Sie auf Dateien gestoßen, die andere Namen tragen als die, die Sie ursprünglich festgelegt haben? Oftmals ändert Malware die Bezeichnungen von Dateien, wenn sie diese verschlüsselt. Dies könnte daher ein potenzieller Indikator für eine Infektion sein.
  • Steigerung der Festplatten- und CPU-Nutzung: Wenn Sie bemerken, dass Ihre Festplatte oder Ihr Hauptprozessor eine ungewöhnlich hohe Aktivität aufweisen, könnte dies ein Zeichen dafür sein, dass Ransomware im Hintergrund arbeitet. 
  • Steigerung der Festplatten- und CPU-Nutzung: Wenn Sie bemerken, dass Ihre Festplatte oder Ihr Hauptprozessor eine ungewöhnlich hohe Aktivität aufweisen, könnte dies ein Zeichen dafür sein, dass Ransomware im Hintergrund arbeitet.
  • Es kann zu auffälligem Netzwerkverkehr kommen, wenn die Software mit einem Cyberkriminellen oder dem Server der Angreifenden kommuniziert, abhängig vom jeweiligen Kontext.
  • Die Unfähigkeit, Dateien zu öffnen, ist ein nachträgliches Anzeichen für Ransomware-Aktivitäten.

Sollte gefordertes Lösegeld überwiesen werden?

Expert:innen für Cybersicherheit, Strafverfolgungsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten dringend davon ab, Lösegeldforderungen nachzukommen. Der Grundsatz, dass man nicht mit Datenentführern verhandelt, ist genauso gültig wie der Grundsatz, dass man nicht mit realen Geiselnehmern verhandelt. Es besteht keine Gewähr dafür, dass die Cyberkriminellen tatsächlich ihre Versprechen einhalten und die Daten entschlüsseln. Darüber hinaus würde eine Zahlung diese Art von kriminellem Verhalten nur ermutigen, was absolut inakzeptabel ist. Es ist jedoch wichtig, solche Cyberkriminalitätsvorfälle zu melden und Fachleute hinzuzuziehen. Insbesondere kleine und mittlere Unternehmen sind oft im Visier solcher Angriffe.

Falls Sie sich dennoch dazu entscheiden, das Lösegeld zu zahlen, wäre es ratsam, die Ransomware nicht von Ihrem Computer zu entfernen. Je nach Art der Ransomware oder der von den Cyberkriminellen verwendeten Entschlüsselungsstrategie könnte die Ransomware tatsächlich das einzige Tool sein, das einen Entschlüsselungscode verwenden kann. Ein teuer erstandener Entschlüsselungsschlüssel könnte unbrauchbar werden, wenn die Software zu früh entfernt wird. Wenn Sie einen Entschlüsselungsschlüssel erhalten haben und dieser funktioniert, sollten Sie die Ransomware anschließend so schnell wie möglich entfernen.

Ein präventiv gut gesichertes System ist die beste Verteidigung gegen Ransomware. © Shutterstock, Thapana_Studio
Die beste Abwehr gegen Ransomware ist ein präventiv gut gesichertes System. © Shutterstock, Thapana_Studio

Welche Maßnahmen können als Schutz vor Ransomware ergriffen werden? 

Die effektivste Strategie gegen Ransomware besteht darin, ihre Infektion von vornherein zu verhindern. Indem Sie eine zuverlässige Ransomware-Schutzsoftware nutzen und beim Surfen im Internet sorgfältig agieren, können Sie es Cyberkriminellen erheblich erschweren, Sie ins Visier zu nehmen. Im Folgenden finden Sie einige Ratschläge, wie Sie sich effektiv vor Ransomware schützen können:

  • Halten Sie Ihre Software stets auf dem neuesten Stand. Durch das kontinuierliche Installieren der aktuellen Updates für Ihr Betriebssystem und Ihre Anwendungen können Sie potenzielle Sicherheitslücken eliminieren und so das Risiko von Ransomware-Angriffen durch Hacker:innen minimieren.
  • Setzen Sie auf regelmäßige Datensicherungen. Eine der Hauptwaffen von Ransomware ist ihre Fähigkeit, Ihnen den Zugang zu Ihren essentiellen Dateien zu verwehren. Wenn Sie jedoch stets aktuelle Backups eurer gesamten Dateien haben, erübrigt sich die Notwendigkeit, ein Lösegeld zu zahlen. Stellen Sie sicher, dass Sie kontinuierlich Sicherungskopien Ihres Computersystems und Ihrer Dateien erstellen. Sowohl Cloud-Dienste als auch physische Speichergeräte bieten sich hierfür an – nutzen Sie am besten beides, wenn möglich. Sollte Ihr Gerät keine automatischen Sicherungen zulassen, richten Sie einen entsprechenden Zeitplan für regelmäßige Sicherungen ein.
  • Ein Anbieter wie Smart Lens bietet Ihnen virtuelle Arbeitsumgebungen, die durch doppelt abgesicherte Server geschützt sind.
  • Es ist empfehlenswert, einen robusten Werbeblocker in Ihrem Internetbrowser zu nutzen, um Sie vor Drive-by-Downloads und Malvertising zu schützen – beides sind gängige Methoden, mit denen Ransomware Ihren Computer infizieren kann.
  • Seien Sie wachsam, wenn Sie ungewöhnliche Links erhalten, sei es durch E-Mails oder andere Messaging-Dienste. Selbst wenn der Link von einem vertrauten Kontakt kommt, könnte er dennoch gefährlich sein. Achten Sie auf Warnsignale, die auf unsichere Websites hinweisen, und meiden Sie diese.
  • Setzen auf Antivirenprogramme. Ransomware kann nur dann eine Gefahr darstellen, wenn sie tatsächlich eine Möglichkeit findet, zu Ihnen zu gelangen. Sichern Sie sich mit einer robusten Cybersicherheits-Anwendung ab, die Viren und Malware abwehrt, bevor sie Schaden anrichten können. Mit solchen Programmen können schädliche Links, fragwürdige Downloads und bedenkliche Webseiten effektiv blockiert werden.
Es gibt viele Arten von Ransomware, die bekannt sind, aber die meisten haben ein Kennzeichen, damit sie identifiziert werden können. © Shutterstock, Andrey_Popov
Es gibt verschiedene bekannte Arten von Ransomware, die meisten haben ein Markenzeichen um erkannt zu werden, damit Angst geschürt werden kann. © Shutterstock, Andrey_Popov

Was für gefährliche Ransomware gibt es? 

Obwohl Windows-Computer in der Regel im Fokus von Ransomware-Angriffen stehen, sind auch Macs, iOS- und Android-Geräte davon nicht ausgenommen. Im Folgenden werden die häufigsten Ransomware-Varianten vorgestellt, die Cyberkriminelle im Laufe der Jahre genutzt haben:

WannaCry 

Die Ransomware namens WannaCry demonstriert eindrücklich, wie umfangreich ein Malware-Angriff auf PC-Basis sein kann. Im Mai 2017 fielen über hundert Millionen Nutzer weltweit dem WannaCry-Angriff zum Opfer. Die globale Verbreitung dieser Ransomware verursachte Schäden in Höhe von mehreren hundert Millionen Dollar.

GandCrab 

GandCrab, ähnlich wie sein Vorläufer Cerber, setzte 2018 auf ein Ransomware-as-a-Service (RaaS)-Modell. Dieses Modell ermöglichte es Cyberkriminellen, die Schadsoftware gegen eine Beteiligung an den erzielten „Gewinnen“ zu nutzen. Insgesamt wurden so über 1,5 Millionen Computer infiziert. Glücklicherweise stellt GandCrab seit 2019 keine Gefahr mehr dar, da der Entschlüsselungscode durch Bemühungen der US-Regierung und von Cybersicherheitsforschern öffentlich zugänglich gemacht wurde.

Petya 

Die Variante Petya verwendet die sogenannte Screenlocker-Technik, welche Ihre Computer blockiert, indem sie die Master-Dateitabelle auf Ihrer Festplatte verschlüsselt. Sie wurde erstmals im Jahr 2016 entdeckt und tauchte 2017 erneut in einer weiterentwickelten Version auf.

Popcorn Time 

Die Taktik von Ransomware-Angreifer:innen besteht häufig darin, eine möglichst große Anzahl von Geräten zu infizieren, um ihren Profit zu steigern. Ein bemerkenswertes Beispiel hierfür ist der Stamm „Popcorn-Time“. Diese Ransomware verlangt von Ihnen, die schädliche Software an zwei weitere Personen weiterzuleiten. Wenn diese beiden Personen dann das geforderte Lösegeld zahlen, erhalten Sie den Zugriff auf Ihre eigenen Dateien zurück, ohne selbst eine Zahlung leisten zu müssen.

BlackByte 

Die BlackByte Ransomware ist eine relativ neue Bedrohung, die von Cybersicherheitsexperten entdeckt wurde. Diese Malware zielt darauf ab, Computer zu infiltrieren, bevor sie eine hochsichere Verschlüsselungstechnik einsetzt, um die darauf gespeicherten Daten unzugänglich zu machen.

Die Cyberkriminellen versuchen dann, ihre Opfer zur Zahlung eines Lösegeldes zu bewegen, indem sie im Gegenzug einen spezifischen Entschlüsselungsschlüssel und ein Softwaretool zur Wiederherstellung der Daten anbieten. Ein weiteres Kennzeichen der BlackByte Ransomware ist, dass sie die ursprünglichen Dateinamen der gesperrten Dateien verändert, indem sie die Erweiterung „.blackbyte“ hinzufügt. Dies dient nicht nur der Identifizierung, sondern auch der Einschüchterung der Opfer.

Immer abgesichert mit Smart Lens

Minimieren Sie Ihr Restrisiko bei Ransomware-Angriffen jetzt! Unser Smart Lens Penetration Testing Tool identifiziert Schwachstellen in Ihrem Netzwerk, bevor Angreifer:innen sie ausnutzen können. Investieren Sie in Proaktivität statt in Lösegeldzahlungen. Wenn es um Ransomware geht, ist Vorbeugung der beste Schutz!

Beitragsbild: © Shutterstock, TippaPatt

Weitere Beiträge

Wie künstliche Intelligenz Unternehmen sicherer macht

Wie künstliche Intelligenz Unternehmen sicherer macht

Erleben Sie die faszinierende Welt der künstlichen Intelligenz und wie sie unsere Zukunft neugestaltet. Entdecken Sie die Möglichkeiten mit uns!

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Global steigen Hackerangriffe: Handeln und Wissen sind gefragt. Wie operieren Hacker:innen? Wo sind Schwachstellen in Ihrem Unternehmen? Wie ist Schutz möglich?