Ransomware

Ransomware, auch bekannt als Filecoder, ist eine bösartige Software, die Dateien verschlüsselt oder Geräte sperrt und ein Lösegeld – in der Regel in Kryptowährung – für die Wiederherstellung des Zugriffs verlangt. Moderne Ransomware wurde stark weiterentwickelt, kombiniert oft mehrere Erpressungstechniken und zielt auf besonders wertvolle Systeme ab.

Funktionsweise

•Infiltration: Wird über Phishing-E-Mails, bösartige Anhänge, kompromittierte Websites oder Software-Schwachstellen übermittelt.

•Verschlüsselung: Ein symmetrischer Schlüssel wird verwendet, um Dateien zu verschlüsseln, die dann mit einem eingebetteten öffentlichen Schlüssel verschlüsselt werden.

•Erpressung: Die Opfer erhalten eine Lösegeldforderung, in der die Zahlung im Austausch für den Entschlüsselungsschlüssel verlangt wird.

•Exfiltration (moderne Ergänzung): Viele Varianten stehlen nun auch Daten vor dem Verschlüsseln und drohen, sie zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird (doppelte Erpressung).

•Disruption (moderne Ergänzung): Einige Ransomware-Varianten deaktivieren Sicherungs- und Wiederherstellungstools, um den Druck auf die Opfer zu erhöhen.

Moderne Taktiken

•Doppelte/dreifache Erpressung: Verschlüsselung, Diebstahl und Drohung mit Veröffentlichung oder DDoS-Angriffen.

•Ransomware-as-a-Service (RaaS): Mit Affiliate-basierten Modellen können auch weniger erfahrene Akteure eigene Angriffe mit gemieteten Ransomware-Kits durchführen.

•KI-gestützte Angriffe: KI wird eingesetzt, um überzeugende Phishing-Köder zu erstellen und der Erkennung zu entgehen.

•Gezielte Angriffe: Fokus auf kritische Infrastrukturen, das Gesundheits- und Bildungswesen sowie auf Lieferketten.

•Datendiebstahl ohne Verschlüsselung: Manche Gruppen überspringen die Verschlüsselung vollständig und verlassen sich ausschließlich auf Erpressung.

Zahlung und Verschleierung

•Zahlungen werden in der Regel in Kryptowährungen wie Bitcoin oder Monero gefordert.

•Die Angreifer nutzen Mixing-Dienste und Privacy Coins, um Transaktionspfade zu verschleiern.

Prävention und Schutz

•ESET Ransomware-Schutz: erkennt und blockiert verdächtige Verhaltensweisen in Echtzeit.

•Ransomware-Behebung: sichert Dateien und stellt sie automatisch wieder her, wenn Ransomware erkannt wird.

•ESET LiveGrid® und LiveGuard: cloudbasierte Reputations- und Sandboxing-Systeme zur Erkennung von Zero-Day-Bedrohungen.

Lösegeldzahlungen garantieren nicht, dass die Daten wiederhergestellt werden.

Die Opfer sollten solche Incidents den lokalen Behörden und Cybersicherheitsbehörden melden.