Artikel

Was ist ein Ransomware-Angriff? Ein Leit­faden zu Cyber­erpressung

F-Secure
F-Secure
|
28. März 2022
|
5 min Lesezeit

Ransomware gehört zu den schädlichsten Formen von Cyber­erpressung und Malware. Stellen Sie sich folgendes Szenario vor: Sie arbeiten gerade an einem wichtigen Projekt und plötzlich erscheint auf dem Bild­schirm eine bedrohliche Nach­richt, in der Sie aufgefordert werden, ein Löse­geld zu zahlen, um wieder Zugriff auf Ihre Dateien zu erhalten.

Das ist die harte Realität von Ransom­ware-Angriffen, die zu den hinter­hältigsten Methoden der Cyber­erpressung gehören. Aber keine Sorge — wenn Sie wissen, was Ransom­ware ist und wie Sie sich schützen können, sind Sie gewappnet. In diesem Leit­faden erhalten Sie wichtige Informationen über diese Malware-Bedrohung sowie wirksame Strategien, wie Sie sich schützen können.

Möchten Sie sich vor Malware schützen?

F-Secure Total schützt Sie vor Ransomware, Viren und mehr.

Was ist Ransomware?

Ransomware ist eine Art Schad­software (Malware), die die Daten eines Opfers verschlüsselt und sie bis zur Zahlung eines Löse­gelds als „Geisel“ hält. Neben dem Blockieren von Dateien können Ransom­ware-Angriffe auch zu Daten­lecks führen, durch die unbefugte Dritte Zugang zu sensiblen Informationen erhalten.

Diese Form der Cyber­erpressung verbreitet sich über verschiedene Methoden, darunter Phishing-E‑Mails, infizierte Software-Down­loads und ausgenutzte Sicherheits­lücken in Ihrem Betriebs­system. Ransom­ware kann sowohl Einzel­personen als auch große Organisationen treffen und zu erheblichen finanziellen Verlusten und Unter­brechungen des täglichen Betriebs führen. Sobald der Schad­code kritische Daten verschlüsselt hat, sind diese so lange unzugänglich, bis das Opfer das geforderte Löse­geld bezahlt.

Diese Arten von Ransom­ware-Angriffen gibt es

Ransomware-Angriffe können verschiedene Formen annehmen, die jeweils auf unter­schiedliche Weise Schaden anrichten:

  • Verschlüsselnde Ransom­ware: Verschlüsselt Dateien auf dem Gerät des Opfers und macht sie unzugänglich, bis ein Entschlüsselungs­code bereit­gestellt wird.

  • Blockierende Ransomware: Sperrt das Gerät oder den Bild­schirm des Opfers und verhindert den Zugriff auf alle Daten, bis das Löse­geld gezahlt wurde.

  • DDoS-Ransomware: Droht mit einem Distributed-Denial-of-Service-(DDoS)-Angriff auf die Web­site oder das Netz­werk des Opfers, wodurch diese unzugänglich oder gestört werden, wenn das Löse­geld nicht gezahlt wird.

Wie funktionieren Ransom­ware-Angriffe?

Ransomware verschlüsselt die Dateien auf Ihrem Gerät, sodass sie ohne einen Entschlüsselungs­code nicht zugänglich sind, und kann Ihr Gerät auch voll­ständig sperren. Diese Arten von Ransom­ware werden als Crypto-Ransom­ware und Locker-Ransom­ware bezeichnet. Nach der Infektion fordern die Kriminellen typischer­weise ein Löse­geld von 300 bis 500 Euro in Bitcoin pro Gerät und versprechen, im Gegenzug den Entschlüsselungs­code bereit­zustellen. Die Zahlung des Löse­gelds garantiert jedoch nicht, dass die Daten wieder­hergestellt werden.

Ein starker Netzwerk­schutz kann helfen, eine Erst­infektion zu verhindern. Ransom­ware-Zahlungen stellen für die Opfer eine erhebliche finanzielle Belastung dar und führen häufig zu großen finanziellen Verlusten und Betriebs­unter­brechungen.

Der typische Angriffs­prozess

Ransomware-Angriffe folgen in der Regel einem mehr­stufigen Prozess: Die Angreifer dringen in das Gerät oder Netz­werk des Opfers ein, verschlüsseln dessen Daten und fordern dann ein Löse­geld für den Entschlüsselungs­code. Im Folgenden betrachten wir einen typischen Angriff genauer.

  1. Erstinfektion: Die Angreifer nutzen verschiedene Methoden wie Phishing-E‑Mails, Drive-by-Down­loads oder Software-Schwach­stellen, um das Gerät des Opfers zu infizieren. Diese Taktiken führen dazu, dass das Opfer unwissentlich Schad­software herunterlädt.

  2. Malware-Deployment: Nach der Kompromittierung des Geräts wird die Ransom­ware installiert und sucht nach kritischen Dateien, die verschlüsselt werden sollen.

  3. Dateiverschlüsselung: Die Malware verwendet fort­schrittliche Verschlüsselungs­algorithmen, um die Dateien des Opfers zu verschlüsseln und unzugänglich zu machen. Dies geschieht schnell und kann eine Viel­zahl von Datei­typen betreffen, darunter Dokumente, Fotos und Daten­banken.

  4. Lösegeldforderung: Nach der Verschlüsselung der Dateien sendet der Angreifer eine Löse­geld­forderung, meist in Form einer Nach­richt auf dem Bild­schirm des Opfers. Das Opfer wird aufgefordert, das Löse­geld — meist in Krypto­währung — zu bezahlen, um den Entschlüsselungs­code zu erhalten. Auf diese Weise kann die Anonymität des Angreifers gewahrt werden.

  5. Datenexfiltration: In einigen Fällen stehlen Angreifer zusätzlich sensible Daten und setzen diese als weiteres Druck­mittel ein. Sie können damit drohen, die gestohlenen Daten zu veröffentlichen, wenn das Löse­geld nicht bezahlt wird.

Diese Auswirkungen haben Ransom­ware-Angriffe

Ransomware-Angriffe können schwer­wiegende Folgen für Einzel­personen und Unter­nehmen haben:

  • Finanzielle Verluste: Neben dem Löse­geld fallen Kosten für Ausfall­zeiten, Image­schäden und Wieder­herstellungs­maßnahmen an. Diese Kosten können schnell eskalieren und Opfer in eine schwierige finanzielle Lage bringen.

  • Datenverlust: Kritische Daten einschließlich sensibler Informationen und geistigen Eigentums können unwieder­bringlich verloren gehen, wenn das Löse­geld nicht bezahlt wird oder der Entschlüsselungs­code nicht funktioniert. Obwohl Back­ups manchmal bei der Wieder­herstellung helfen können, sind sie nicht immer zuverlässig, wodurch viele Opfer verzweifelt um ihre Daten kämpfen müssen.

  • Betriebsunterbrechung: Der Geschäfts­betrieb kann voll­ständig zum Erliegen kommen, was zu Verzögerungen und erheblichen Produktivitäts­verlusten führt. Diese Unter­brechung kann sich auf alle Bereiche — von der Kunden­betreuung bis hin zu Projekt­terminen — auswirken und somit die Gesamt­leistung des Unter­nehmens erheblich beeinträchtigen.

Diese Branchen sind von Ransom­ware-Angriffen betroffen

Obwohl ein Ransomware-Angriff jede Branche treffen kann, sind bestimmte Branchen aufgrund der kritischen Natur ihrer Daten besonders gefährdet. Zu den Haupt­zielen gehören:

  • Gesundheitswesen: Kranken­häuser und medizinische Einrichtungen stehen aufgrund der sensiblen Patienten­daten, die sie verwalten, im Fokus. Cyber­kriminelle wissen, dass ein ununter­brochener Zugang dringend erforderlich ist, was Gesundheits­organisationen dazu veranlasst, das Löse­geld schneller zu zahlen.

  • Finanzwesen: Banken, Kredit­genossen­schaften und Finanz­institute sind aufgrund ihrer wert­vollen Finanz­daten attraktive Ziele. Ein erfolgreicher Angriff kann den Angreifern erhebliche finanzielle Gewinne einbringen, während er den Institutionen und ihren Kunden erheblichen finanziellen Schaden zufügt.

  • Behörden: Bundes-, Landes- und Kommunal­behörden werden häufig Opfer von Ransom­ware-Angriffen, da sie vertrauliche Informationen speichern. Die Unter­brechung wichtiger Regierungs­dienste erhöht den Druck, Löse­geld­forderungen zu erfüllen.

  • Bildungswesen: Schulen, Hoch­schulen und Universitäten verwalten große Mengen personen­bezogener Daten von Studierenden und Mit­arbeitenden. Ein Daten­leck kann weitreichende Folgen haben, was Bildungs­einrichtungen besonders anfällig für Ransom­ware-Angriffe macht.

  • Produktion: Branchen wie die Auto­mobil- und Luft­fahrt­industrie werden gezielt angegriffen, um an ihr geistiges Eigentum und Betriebs­daten zu gelangen, die für die Geschäfts­kontinuität und den Wett­bewerbs­vorteil entscheidend sind.

Wie Ransomware Geräte infiziert

Ransomware kann auf verschiedenen Wegen und oft unbemerkt auf Ihre Geräte gelangen. Computer­viren einschließlich verschiedener Arten von Ransom­ware und Trojanern erfordern häufig einen versehentlichen manuellen Down­load durch den Nutzer oder werden automatisch zusammen mit anderer Malware installiert. Ransom­ware kann über verschiedene Infektions­wege eingeschleust werden, darunter:

  • Phishing-E‑Mails: Cyber­kriminelle verwenden häufig Phishing-E‑Mails, um ihre Opfer dazu zu verleiten, schädliche Anhänge herunter­zuladen oder auf Links zu klicken, die zu kompromittierten Web­sites oder schädlichen Down­loads führen. Diese E‑Mails imitieren oft seriöse Quellen, um die Empfänger zu täuschen.

  • Drive-by-Downloads: Bereits der Besuch einer kompromittierten Web­site oder das Anklicken einer bösartigen Werbe­anzeige kann Drive-by-Down­loads auslösen, die unbemerkt Ransom­ware auf dem Gerät installieren. Diese Down­loads erfolgen ohne Inter­aktion des Nutzers und sind besonders gefährlich.

  • Ausnutzung von Software-Schwach­stellen: Ransom­ware-Angreifer nutzen häufig Schwach­stellen in Software wie Betriebs­systemen und Anwendungen aus, um sich unberechtigten Zugriff auf Ihr Gerät zu verschaffen. Regel­mäßige Software-Updates sind unerlässlich, um sich vor solchen Angriffen zu schützen.

  • Infizierte Software-Down­loads: Das Herunter­laden von Anwendungen oder Software aus nicht vertrauens­würdigen Quellen kann ebenfalls zu einer Infektion mit Ransom­ware führen. Achten Sie darauf, Soft­ware nur von vertrauens­würdigen Web­sites herunter­zuladen und deren Authentizität vor der Installation zu über­prüfen.

Um diese wachsende Bedrohung zu bekämpfen, ist die Umsetzung solider Strategien zur Prävention von Ransom­ware von entscheidender Bedeutung. Dazu gehören die Über­wachung verdächtiger Aktivitäten, die Analyse betroffener Systeme, der Einsatz von Schutz­tools und die Nutzung von Ressourcen vertrauens­würdiger Organisationen. Wenn Sie diese Infektions­wege verstehen, können Sie pro­aktive Maß­nahmen ergreifen, um Ihre Geräte vor Ransom­ware-Angriffen zu schützen.

Kann Ransomware auch mobile Geräte infizieren?

Ja, Ransomware kann mobile Geräte infizieren und betrifft sowohl iOS- als auch Android-Geräte. Diese Bedrohung ist besonders besorgnis­erregend angesichts der Viel­zahl von Menschen, die heutzutage Smart­phones nutzen. Eine gängige Methode von Cyber­kriminellen, Mobil­geräte zu kompromittieren, sind Smishing-Angriffe. Dabei handelt es sich um betrügerische SMS-Nach­richten, die Nutzer dazu verleiten sollen, auf schädliche Links zu klicken. Glücklicher­weise gibt es mobile Antiviren-Apps, die Ihnen dabei helfen können, Ihr Android- oder iOS-Gerät vor mobiler Malware zu schützen.

So entfernen Sie Ransom­ware-Infektionen

Die Entfernung von Ransomware kann äußerst schwierig und in manchen Fällen sogar unmöglich sein, wenn das Gerät erst einmal infiziert ist. Daher beginnt der Schutz vor Ransom­ware mit einer zuverlässigen Antiviren-Software, die speziell zur Verhinderung von Infektionen entwickelt wurde. Ebenso wichtig ist es, Ihre Daten regel­mäßig mit einem Backup zu sichern, damit Sie diese im Falle eines Angriffs wieder­herstellen können.

Wenn Ihr Gerät dennoch mit Ransom­ware infiziert wurde, sollten Sie es sofort vom Internet trennen, um zu verhindern, dass sich die Malware auf andere Geräte ausbreitet oder mit dem Server des Angreifers kommuniziert. Anschließend sollte das Gerät ausgeschaltet werden, um weiteren Schaden zu minimieren. Schließlich ist es ratsam, einen Cyber­sicherheits­experten oder einen Fach­service für die Beseitigung von Ransom­ware zu konsultieren. Diese verfügen über die Tools und das Fach­wissen, um komplexe Ransom­ware-Angriffe wirksam zu bekämpfen.

Sollten Sie das Löse­geld zahlen?

Wenn Sie Opfer eines Ransomware-Angriffs geworden sind, mag es verlockend erscheinen, das Löse­geld zu zahlen, um schnell wieder Zugriff auf Ihre verschlüsselten Dateien oder Ihr gesperrtes Gerät zu erhalten. Es gibt jedoch keine Garantie, dass die Angreifer ihr Versprechen halten und Ihre Daten nach der Zahlung wieder­herstellen. Schlimmer noch: Die Zahlung des Löse­gelds ermutigt die Angreifer, weitere Opfer ins Visier zu nehmen, die eben­falls zahlen könnten. Mit Ihrer Zahlung finanzieren Sie also weitere kriminelle Aktivitäten.

Trotz dieser Risiken haben sich viele große Unter­nehmen entschlossen, das Löse­geld zu zahlen, insbesondere wenn die Kosten und die Betriebs­unter­brechung durch einen Angriff sehr hoch sind. Für solche Unter­nehmen sind die Verluste durch Ausfall­zeiten und Produktivitäts­verluste oft höher als das geforderte Löse­geld.

Warum verlangen Ransom­ware-Angreifer Bitcoin?

Bitcoin ist neben anderen Krypto­währungen eine häufig genutzte Zahlungs­methode bei Ransom­ware-Angriffen. Doch warum bestehen Angreifer auf Krypto­währungen? Der Haupt­grund ist, dass Trans­aktionen mit Bitcoin und ähnlichen Währungen ein hohes Maß an Anonymität bieten, was die Rück­verfolgung von Zahlungen zu den Kriminellen erschwert. Darüber hinaus richten Angreifer in der Regel Krypto-Wallets ein, um Zahlungen zu empfangen und schnell auf die Gelder zugreifen zu können.

Hier sind die Haupt­gründe, warum Ransom­ware-Angreifer Bitcoin bevorzugen:

  • Anonymität: Bitcoin-Trans­aktionen sind nicht an reale Identitäten gebunden, was es schwierig macht, den Angreifer zu identifizieren. Diese Anonymität verschafft Cyber­kriminellen einen erheblichen Vorteil, da sie unentdeckt bleiben können.

  • Dezentralität: Bitcoin basiert auf einem dezentralen Netz­werk, das keiner zentralen Autorität unter­steht. Dies macht es für Straf­verfolgungs­behörden schwieriger, Trans­aktionen zu über­wachen oder zu kontrollieren.

  • Irreversibilität: Bitcoin-Trans­aktionen sind endgültig und können nicht mehr rück­gängig gemacht werden. Dies garantiert Angreifern, dass sie ihr Geld erhalten, ohne das Risiko einer Rück­erstattung oder Stornierung eingehen zu müssen.

  • Liquidität: Bitcoin kann schnell und einfach in andere Währungen umgewandelt werden, sodass Angreifer das Löse­geld zügig in traditionelle Währungen oder alternative Krypto­währungen umtauschen können.

Was ist Ransomware-as-a-Service (RaaS)?

Neben der Crypto-Ransomware, die Dateien verschlüsselt, und der Locker-Ransom­ware, die Geräte sperrt, gibt es eine wachsende Bedrohung namens „Ransom­ware-as-a-Service“ (RaaS). Diese Methode ermöglicht es Cyber­kriminellen, Malware und die dafür erforderliche Infra­struktur anderen Angreifern bereit­zustellen. Dadurch wird es auch Personen ohne technische Fähigkeiten möglich, eigene Ransom­ware-Angriffe zu starten.

Bei einer RaaS-Konfiguration wird das Unter­nehmen, das das Ransom­ware-Programm bereit­stellt, als RaaS-Anbieter bezeichnet, während diejenigen, die für diese Dienste bezahlen, als RaaS-Partner bezeichnet werden. Diese Struktur hat zu einem Anstieg der Ransom­ware-Angriffe geführt, da sie die Einstiegs­hürde für angehende Cyber­kriminelle senkt.

Hochkarätige Ransomware-Angriffe

Die Häufigkeit und Vielfalt von Ransom­ware-Angriffen hat in den letzten Jahren stark zugenommen. Die Angreifer verschlüsseln nicht nur die Dateien ihrer Opfer, um Löse­geld zu erpressen, sondern drohen auch damit, die gestohlenen Daten zu veröffentlichen, falls das Löse­geld nicht bezahlt wird. Viele dieser hoch­karätigen Angriffe erregen aufgrund ihrer weit­reichenden Auswirkungen nationale und internationale Aufmerksamkeit. Wir stellen Ihnen ein bemerkens­wertes Beispiel vor:

Ransomware-Angriffe auf den NHS

Im Jahr 2017 traf einer der bekanntesten Ransom­ware-Angriffe den britischen National Health Service (NHS). Der WannaCry-Angriff verursachte einen geschätzten Schaden von 92 Millionen Pfund und führte zur Annullierung von 19.000 Terminen. Der NHS war jedoch nicht das einzige Opfer — welt­weit verursachte WannaCry finanzielle Verluste in Höhe von schätzungs­weise 4 Milliarden US-Dollar.

Die Ransomware verschlüsselte die Daten auf den infizierten Computern und die Angreifer verlangten Zahlungen in Bitcoin, um den Entschlüsselungs­code bereit­zustellen. Dieser Angriff zeigt, dass Ransom­ware häufig auf große Organisationen abzielt, insbesondere auf solche in kritischen Sektoren wie dem Gesundheits­wesen und auf große Konzerne. WannaCry unter­streicht die anhaltende Bedrohung durch Ransom­ware und die dringende Not­wendigkeit solider Cyber­sicherheits­maßnahmen, um diese Risiken zu minimieren.

Im Jahr 2024 wurde der NHS erneut Opfer eines hoch­karätigen Ransom­ware-Angriffs. Dieses Mal war Synnovis betroffen, ein Pathologie­labor, das Blut­unter­suchungen für den NHS durch­führt. Die russische Cyber­kriminellen­gruppe Qilin stahl Patienten­daten. Es ist nicht bekannt, wie hoch die Löse­geld­forderung war, aber als die Zahlung ausblieb, veröffentlichte die Gruppe fast 400 GB an Patienten­daten im Dark­net, darunter Namen, Geburts­daten, NHS-Nummern und Blut­test­ergebnisse.

Fünf einfache Tipps zum Schutz vor Ransomware

  1. Stellen Sie sicher, dass Sie auf all Ihren Geräten eine wirksame Online-Sicherheits­lösung verwenden.

  2. Sichern Sie Ihre Daten regel­mäßig. Speichern Sie diese offline, damit sie nicht infiziert werden können.

  3. Halten Sie Ihre Software und Betriebs­systeme auf dem neuesten Stand. Aktivieren Sie automatische Updates, damit sie immer aktuell bleiben.

  4. Seien Sie skeptisch bei Links und Anhängen in E‑Mails. Geben Sie Links in Ihrem Browser ein, anstatt sie in der E‑Mail anzuklicken. Seien Sie besonders vorsichtig bei Anhängen, die Sie auffordern, etwas zu aktivieren oder zuzulassen, wie beispiels­weise Makros, Bearbeitungen oder Inhalte.

  5. Deaktivieren Sie häufig verwendete Browser-Plugins wie Flash Player und Silver­light, wenn Sie diese nicht benötigen. Sie können dies in den Plugin-Einstellungen Ihres Web­browsers tun.

Wenn Sie diese Tipps befolgen, können Sie Ransom­ware-Angriffe abschwächen, indem Sie Schwach­stellen minimieren und Ihre allgemeine Sicherheits­lage verbessern. Die Umsetzung dieser bewährten Cyber­sicherheits­praktiken wird Ihnen helfen, Ihre Geräte und Daten zu schützen.

total app on different devices

Schützen Sie Ihre Geräte vor Ransomware mit F‑Secure Total

Ransomware zu entfernen ist schwieriger als Ransom­ware zu verhindern, weshalb eine zuverlässige Anti­viren- und Online-Sicherheits­lösung von unschätzbarem Wert ist. F‑Secure Total macht es Ihnen leicht und hilft, Ihre Geräte auf genial einfache Weise zu schützen.

  • Preisgekrönter Schutz vor Viren und Malware

  • Sicheres Surfen, Einkaufen und Online-Banking

  • Rund-um-die-Uhr-Überwachung von Online-Identitäten und Datenpannen

  • Unbegrenzter VPN-Dienst zum Schutz Ihrer Privatsphäre

  • Passwortmanager zum Schutz Ihrer persönlichen Daten

Lesen Sie mehr über Total