9 Phasen eines Ransomware-Angriffs: Wie die KI in den einzelnen Phasen reagiert
Bei einem Ransomware-Angriff werden Daten verschlüsselt und ausgeschleust. Der Eigentümer muss ein Lösegeld zahlen, nur so kann er die Daten zurückerhalten, entschlüsseln und seinen Geschäftsbetrieb normal fortführen.
Die Lösegeldforderungen werden immer dreister und betrugen 2021 im Durchschnitt ganze 5,3 Mio. US-Dollar – ein Anstieg um 518% gegenüber dem Vorjahr. Aber die Folgekosten eines Ransomware-Angriffs liegen in der Regel weit über den Lösegeldzahlungen: Nach einem erfolgreichen Angriff beträgt die durchschnittliche Ausfallzeit 21 Tage und 66% der Ransomware-Opfer melden erhebliche Umsatzeinbußen.
In dieser Serie wollen wir dieses große Thema Schritt für Schritt aufschlüsseln. Ein Ransomware-Angriff vollzieht sich in mehreren Phasen, demnach ist auch eine mehrphasige Lösung notwendig, die die Bedrohung in jedem Stadium eigenständig und effektiv in Schach hält. Lesen Sie weiter, um zu erfahren, wie selbstlernende KI und Autonomous Response Ransomware an jedem Punkt stoppen.
1. Eindringen (E-Mail)
Das Eindringen – die erste Phase eines Ransomware-Angriffs – kann durch RDP Brute-Forcing (über ungeschützte Webanwendungen), schädliche Websites und Drive-by-Downloads, einen Insider mit autorisiertem Zugriff, Sicherheitslücken in Systemen und Software oder andere Angriffsvektoren erfolgen.
Der häufigste Angriffsvektor für das Eindringen sind jedoch E-Mails. Meistens stellen die Mitarbeiter die größte Schwachstelle eines Unternehmens dar – und Angreifer wissen das geschickt auszunutzen. Sorgfältig verfasste, gezielte, legitim aussehende E-Mails werden an Mitarbeiter geschickt, um sie zu einer Handlung zu veranlassen, sei es das Anklicken eines Links, das Öffnen eines Anhangs oder die Eingabe von Zugangsdaten oder anderen sensiblen Informationen.
Gateways: Stoppen nur das, was sie kennen
Die meisten herkömmlichen E-Mail-Tools erkennen Bedrohungen nur, wenn diese schon einmal in Erscheinung getreten sind. Stammt eine E-Mail von einer IP-Adresse oder E-Mail-Domain, die auf einer Blocklist steht, und wird für den Angriff bekannte Malware genutzt, die vorher schon in normalen Benutzerumgebungen aufgetaucht ist, wird die Attacke vielleicht gestoppt.
Natürlich wissen die Angreifer ganz genau, dass die meisten Sicherheitstools auf diesem traditionellen Ansatz beruhen. Daher erneuern sie ständig ihre Angriffsinfrastruktur, um diese Tools zu umgehen. Indem sie für ein paar Cent neue Domains kaufen oder mit nur wenigen Code-Anpassungen maßgeschneiderte Malware entwickeln, sind sie dem herkömmlichen Ansatz, auf dem ein typisches E-Mail-Gateway basiert, immer einen Schritt voraus.
Beispiel aus der Praxis: Phishing-Angriff auf eine Lieferkette
Darktrace funktioniert grundlegend anders. Die Technologie macht sich ein Bild von den „normalen“ Verhaltensmustern jedes E-Mail-Benutzers im Unternehmen und aktualisiert laufend ihre Erkenntnisse. Dadurch ist sie in der Lage, subtile Abweichungen zu erkennen, die auf eine Bedrohung hindeuten – auch wenn zu dem Absender oder den schädlichen Inhalten der E-Mail noch keine Bedrohungsdaten vorliegen. So konnte vor kurzem ein Angriff auf McLaren Racing gestoppt werden, bei dem E-Mails mit einem schädlichen Link an ein Dutzend Mitarbeiter des Unternehmens geschickt wurden. Dieser Angriff, mit dem möglicherweise Ransomware eingeschleust werden sollte, wurde von herkömmlichen E-Mail-Tools nicht erkannt. Das lag vermutlich vor allem daran, dass der Absender ein dem Unternehmen bekannter Lieferant war. Darktrace hingegen erkannte die Kontoübernahme und verhinderte die Zustellung der E-Mails.
Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche des Darktrace Threat Visualizer nach Entdeckung der E-Mail
Lesen Sie den ganzen Bericht über den Angriff
2. Eindringen (serverseitig)
Unternehmen haben in rasantem Tempo ihre extern zugängliche Infrastruktur erweitert. Mit dieser Vergrößerung der Angriffsfläche geht eine Zunahme von Brute-Force-Attacken und serverseitigen Angriffen einher.
In diesem Jahr wurden diverse Sicherheitslücken bei extern zugänglichen Servern und Systemen offengelegt. Für Angreifer ist es einfacher denn je, solche Infrastruktur gezielt für ihre Zwecke zu nutzen – sie brauchen einfach nur das Internet nach gefährdeten Systemen zu scannen, z.B. mit Tools wie Shodan oder MassScan.
Angreifer können sich auch durch RDP Brute-Forcing oder gestohlene Zugangsdaten Zutritt verschaffen, zudem verwenden sie häufig legitime Zugangsdaten aus vorhandenen Datenbeständen. Diese Methode ist präziser und weniger auffällig als ein klassischer Brute-Force-Angriff.
Ein Großteil der Ransomware-Angriffe nutzt RDP als Einfallstor. Dies steht im Zusammenhang mit dem breiteren „Living off the Land“-Trend, d.h. der Verwendung legitimer Standardtools (RDP, SMB1-Protokoll oder verschiedene Befehlszeilentools wie WMI oder PowerShell), um nicht aufzufallen und sich unter die typische Administratoraktivität zu mischen. Es reicht nicht aus, Backups zu isolieren, Konfigurationen zu härten und Systeme zu patchen – vielmehr muss eine Echtzeiterkennung von anormalem Verhalten sichergestellt werden.
Antivirus-Programme, Firewalls und SIEMs
Bei einem Download von Malware wird diese von Endpoint-Antivirus-Programmen erkannt – allerdings nur, wenn die Malware schon einmal in Erscheinung getreten ist und entsprechende Bedrohungsdaten vorliegen. Firewalls müssen in der Regel individuell für das jeweilige Unternehmen konfiguriert und häufig an dessen Erfordernisse angepasst werden. Gibt es für einen Angriff keine Regel oder Signatur, kann er die Firewall ungehindert passieren.
SIEM- und SOAR-Tools halten ebenfalls Ausschau nach Downloads bekannter Malware. Dazu nutzen sie vorprogrammierte Regeln und Maßnahmen. Diese Tools suchen nach Mustern, die vorab definiert wurden. Damit ein neuer Angriff erkannt werden kann, müssen bei diesem Ansatz ausreichend Ähnlichkeiten zu früheren Angriffen vorliegen.
Beispiel aus der Praxis: Dharma-Ransomware
Darktrace erkannte einen gezielten Angriff mit Dharma-Ransomware auf ein britisches Unternehmen, der eine offene RDP-Verbindung mit extern zugänglichen Servern nutzte. Auf dem RDP-Server wurde eine Vielzahl eingehender Verbindungen von ungewöhnlichen IP-Adressen über das Internet beobachtet. Die für diesen Angriff verwendeten RDP-Zugangsdaten wurden sehr wahrscheinlich in einem früheren Stadium abgegriffen – entweder über gängige Brute-Force-Methoden, Credential Stuffing oder Phishing. Eine zunehmend beliebte Angriffsmethode ist der Ankauf von RDP-Zugangsdaten, damit Angreifer gleich dazu übergehen können, sich Zugang zu verschaffen.
Abbildung 2: Die Modellabweichungen, die während dieses Angriffs festgestellt wurden, einschließlich der anormalen RDP-Aktivität
Da in diesem Fall die Autonomous Response nicht aktiviert war, konnte der Angriff mit der Dharma-Ransomware ungehindert fortschreiten. Am Ende musste das Sicherheitsteam drakonische Maßnahmen ergreifen und den RDP-Server mitten in der Verschlüsselung vom Netz nehmen.
Lesen Sie den ganzen Bericht über den Angriff
3. Einnisten und Einrichten der C2-Kommunikation
Egal ob durch erfolgreiches Phishing, einen Brute-Force-Angriff oder mit einer anderen Methode, der Angreifer ist eingedrungen. Jetzt kann er mit den kompromittierten Geräten kommunizieren und sich einnisten.
In dieser Phase bereitet der Angreifer alles vor, um die nachfolgenden Phasen remote kontrollieren zu können. Im Rahmen dieser Command & Control (C2)-Kommunikation kann der Angreifer auch weitere Malware auf die Geräte bringen. So gelingt es ihm, sich noch stärker im Unternehmen festzusetzen und lateral auszubreiten.
Angreifer können die Malware-Funktionalität mit einer ganzen Reihe vorgefertigter Plugins modifizieren, um unerkannt zu bleiben. Es gibt sogar Ransomware, die sich selbst an ihre Umgebung anpasst und eigenständig agiert. So mischt sie sich unbemerkt unter das reguläre Geschehen, auch ohne Verbindung zu ihrem Command & Control-Server. Diese „autonomen“ Ransomware-Stämme stellen ein großes Problem für traditionelle Sicherheitstools dar, die Bedrohungen nur stoppen können, wenn schädliche externe Verbindungen entdeckt werden.
Ganzheitliches Verständnis des Unternehmens statt einer isolierten Betrachtung der Verbindungen
Herkömmliche Sicherheitstools wie IDS und Firewalls betrachten Verbindungen meist isoliert und nicht im Zusammenhang mit früheren und möglicherweise relevanten Verbindungen, sodass C2-Kommunikation nur schwer aufzuspüren ist.
IDS und Firewalls können vielleicht Domains blockieren, die als schädlich bekannt sind, oder Geoblocking anwenden, aber dann suchen sich Angreifer einfach neue Infrastruktur, die sie für ihre Zwecke nutzen können.
Diese Tools analysieren in aller Regel auch keine Indikatoren wie die Frequenz, d.h. ob eine Verbindung in regelmäßigen oder unregelmäßigen Abständen Beacons aussendet, wie lange es die Domain schon gibt oder wie ungewöhnlich sie im Unternehmenskontext erscheint.
Darktrace aktualisiert laufend sein Verständnis der digitalen Infrastrukturen im Unternehmen und erkennt dadurch verdächtige C2-Verbindungen und anschließende Downloads, auch wenn dafür reguläre und legitime Programme oder Methoden genutzt werden. Die KI-Technologie erkennt das Gesamtbild aus zahlreichen subtilen Anzeichen einer Bedrohung, darunter auffällige Verbindungen zu relativ neuen und/oder ungewöhnlichen Endgeräten, anormale Dateidownloads, eingehende Remote-Desktop-Verbindungen sowie ungewöhnliche Datenuploads und -downloads.
Sobald sie als Bedrohung erkannt werden, stoppt die Autonomous Response diese Verbindungen und Downloads. Der Geschäftsbetrieb läuft dabei ganz normal weiter.
Beispiel aus der Praxis: WastedLocker-Angriff
Als eine US-Landwirtschaftsorganisation mit der WastedLocker-Ransomware angegriffen wurde, erkannte Darktrace sofort die ungewöhnliche SSL-C2-Aktivität, die den Vorfall einleitete (basierend auf der Kombination von ungewöhnlichem Ziel und ungewöhnlichem JA3 sowie der Analyse der Frequenz). Antigena (in diesem Fall im passiven Modus konfiguriert, sodass die Technologie keine eigenständigen Maßnahmen ergreifen konnte) empfahl, den C2-Traffic an Port 443 sofort zu blockieren und parallel dazu internes Scanning an Port 135 durchzuführen.
Abbildung 3: Der Threat Visualizer zeigt die Maßnahmen, die Antigena ergriffen hätte.
Als später Beaconing zu beobachtet wurde, diesmal über HTTP an /updateSoftwareVersion, weitete Antigena seine Maßnahmen auf weitere C2-Kanäle aus.
Abbildung 4: Antigena weitet Maßnahmen aus
Lesen Sie den ganzen Bericht über den Angriff
4. Laterale Bewegung
Sobald sich ein Angreifer in einem Unternehmen eingenistet hat, fängt er an, Informationen über die weitere digitale Umgebung zu sammeln und seine Präsenz in der Infrastruktur zu stärken. Dann ist es für ihn kein Problem mehr, sich Zugriff auf die Dateien zu verschaffen, die er ausschleusen und verschlüsseln möchte. Zunächst beginnt er mit der Auskundschaftung: Er scannt das Netzwerk, macht sich ein Bild von den angeschlossenen Geräten und verortet besonders wertvolle Unternehmensdaten.
Dann beginnt der Angreifer mit der lateralen Ausbreitung. Er infiziert weitere Geräte und versucht, seine Berechtigungen auszuweiten, z.B. indem er Admin-Zugangsdaten entwendet, um noch mehr Kontrolle über die Umgebung zu erlangen. Sobald er sich ausreichende Berechtigungen gesichert und fest in den digitalen Infrastrukturen eingenistet hat, kann er die letzten Stufen seines Angriffs zünden.
Moderne Ransomware verfügt über integrierte Funktionen für die automatische Suche nach gespeicherten Passwörtern und die Ausbreitung im Netzwerk. Besonders raffinierte Stämme sind so konzipiert, dass sie sich in jeder Umgebung anders verhalten. Somit verändert sich ihre Signatur laufend und sie sind viel schwerer zu entdecken.
Herkömmliche Tools: Rigorose Reaktion auf bekannte Bedrohungen
Herkömmliche Lösungen basieren auf statischen Regeln und Signaturen, daher können sie eine laterale Bewegung und Rechteausweitung kaum verhindern, ohne den Geschäftsbetrieb stark zu beeinträchtigen. In der Theorie könnte ein Unternehmen, das Firewalls und NAC (Netzwerkzugriffskontrolle) mit passender Netzwerksegmentierung und perfekter Konfiguration nutzt, eine netzwerkübergreifende laterale Bewegung verhindern. Allerdings ist es kaum möglich, maximalen Schutz und minimale Eingriffe immer optimal auszubalancieren.
Einige Unternehmen setzen auf Intrusion-Prevention-Systeme (IPS), um Netzwerk-Traffic abzuweisen, wenn bekannte Bedrohungen in Paketen erkannt werden. Wie in den vorherigen Phasen können sie jedoch nichts gegen neuartige Malware ausrichten, außerdem brauchen sie eine laufend aktualisierte Datenbank. Darüber hinaus sind diese Lösungen an den Eingangs-/Ausgangspunkten angesiedelt, was ihre Einblicke in das Netzwerk stark einschränkt. Ein Intrusion-Detection-System (IDS) erlaubt eine Out-of-Band-Installation, bietet aber keine Response-Funktionalität.
Ein selbstlernender Ansatz
Die Darktrace KI macht sich ein genaues Bild von den Abläufen im Unternehmen und erkennt verdächtige Aktivität, die auf eine laterale Bewegung hindeutet, unabhängig davon, ob der Angreifer neue Infrastruktur oder die „Living off the Land“-Methode nutzt. Zu den potenziell ungewöhnlichen Aktivitäten, die Darktrace erkennt, gehören z.B. abweichendes Scan-, SMB-, RDP- und SSH-Verhalten. In dieser Phase werden weitere Modelle aktiviert:
Verdächtige Aktivität auf Hochrisikogerät
Numerische EXE in SMB Write
Neue oder ungewöhnliche Dienstesteuerung
Autonomous Response ergreift dann gezielte Maßnahmen, um die Bedrohung in dieser Phase zu stoppen. Die Technologie blockiert anormale Verbindungen und setzt die normalen Verhaltensmuster („Patterns of Life“) des infizierten Geräts oder der Gruppe durch. Hierbei werden Geräte automatisch in Vergleichsgruppen zusammengefasst und von der Vergleichsgruppe abweichendes Verhalten wird unterbunden.
Falls das schädliche Verhalten dennoch andauert und dies erforderlich macht, isoliert Darktrace das infizierte Gerät.
Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen
Bei einem Unternehmen in Singapur führte die Kompromittierung eines Servers zum Aufbau eines Botnets. Dieses begann eine laterale Ausbreitung, hauptsächlich mittels ungewöhnlicher RDP-Verbindungen. Der Server baute anschließend externe SMB- und RPC-Verbindungen zu ungewöhnlichen Endgeräten im Internet auf, um weitere anfällige Hosts zu finden.
Darktrace erkannte weitere laterale Aktivitäten, z.B. wiederholte fehlgeschlagene Versuche, mit verschiedenen Benutzernamen über das SMB-Dateifreigabeprotokoll auf mehrere interne Geräte zuzugreifen, was auf einen Brute-Forcing-Angriff auf das Netzwerk hindeutete.
Abbildung 5: Cyber AI Analyst von Darktrace erkennt verdächtige TCP-Scans, gefolgt von einer verdächtigen Abfolge von RDP-Administrationsverbindungen.
Lesen Sie den ganzen Bericht über den Angriff
5. Datenexfiltration
In der Vergangenheit wurden bei Ransomware-Angriffen einfach nur ein Betriebssystem und Netzwerkdateien verschlüsselt.
Da sich die Unternehmen heute mit Daten-Backups gegen eine bösartige Verschlüsselung absichern, gehen Bedrohungsakteure immer mehr zu einer „Double Extortion“ über, d.h. sie exfiltrieren vor der Verschlüsselung wichtige Daten und vernichten Backups. Mit diesen exfiltrierten Daten werden die Unternehmen dann erpresst: Die Angreifer drohen, sensible Informationen online zu stellen oder an einen Mitbewerber zu verkaufen, falls das Lösegeld nicht gezahlt wird.
Moderne Ransomware-Varianten suchen auch nach Cloud-Speicher-Repositorys wie Box, Dropbox usw.
Viele dieser Vorfälle gelangen nicht an die Öffentlichkeit, denn wenn geistiges Eigentum gestohlen wird, sind die Unternehmen nicht immer gesetzlich verpflichtet, dies zu melden. Im Falle von Kundendaten besteht jedoch sehr wohl eine Meldepflicht, außerdem müssen die betroffenen Unternehmen empfindliche Geldstrafen zahlen. Diese sind in den letzten Jahren deutlich gestiegen (Marriot 23,8 Mio. USD, British Airways 26 Mio. USD, Equifax 575 Mio. USD). Hinzu kommt der Reputationsschaden, wenn ein Unternehmen seine Kunden über ein Datenleck informieren muss.
Herkömmliche Tools: Immer dieselben Probleme
Wenn Sie aufgepasst haben, wissen Sie genau, wie die Geschichte weitergeht: Um einen Ransomware-Angriff in dieser Phase zu stoppen, nutzen die meisten Sicherheitstools entweder vorprogrammierte Definitionen von „schädlich“ oder statische Regeln, die für verschiedene Abwehrszenarien entwickelt wurden. Dadurch sind die Unternehmen einem riskanten, nie endenden Katz-und-Maus-Spiel ausgesetzt.
Firewalls und Proxys können Verbindungen vielleicht auf Basis vorprogrammierter Richtlinien für spezifische Endgeräte oder Datenvolumen blockieren, aber es ist sehr wahrscheinlich, dass ein Angreifer die „Living off the Land“-Taktik anwendet und auf einen Dienst zurückgreift, der im Unternehmen regelmäßig genutzt wird.
Die Wirksamkeit dieser Tools hängt vom Datenvolumen ab: Gegen „Smash & Grab“-Angriffe mit bekannter Malware, bei denen keine Methode zur Umgehung von Sicherheitstools angewendet wird, mögen sie etwas ausrichten können, aber sie werden kaum in der Lage sein, eine „Low & Slow“-Exfiltration und neuartige oder hochkomplexe Stämme zu erkennen.
Da solche Aktivitäten naturgemäß eine Abweichung vom erwarteten Verhalten darstellen, und sei sie noch so subtil, wird eine Low & Slow-Datenexfiltration von Darktrace erkannt und von der Autonomous Response gestoppt. Es werden keine vertraulichen Dateien ausgeschleust, sodass die Angreifer keine Möglichkeit haben, Lösegeld zu erpressen.
Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen
Es ist schwierig, Beispiele zu finden, wo Antigena einen Ransomware-Angriff erst in diesen späteren Phasen gestoppt hat, da die Bedrohung in der Regel vorher eingedämmt wird. Das ist der „Nachteil“ wirksamer Sicherheit – eine frühzeitige Eindämmung liefert keinen Stoff für eine gute Geschichte! Wir können jedoch von den Folgen eines „Double Extortion“-Ransomware-Angriffs auf ein Energieunternehmen in Kanada berichten. Das Unternehmen hatte das Enterprise Immune System implementiert, nicht aber Antigena. Da niemand darauf achtete, was die Darktrace KI zutage brachte, konnte sich der Angriff ungehindert ausbreiten.
Der Angreifer stellte eine Verbindung zu einem internen Dateiserver her und lud 1,95 TB an Daten herunter. Zudem wurde über das Gerät offenbar die Rclone-Software heruntergeladen – ein Open-Source-Tool, das möglicherweise dazu diente, Daten automatisch mit dem legitimen Dateispeicherdienst pCloud zu synchronisieren. Nach Abschluss der Datenexfiltration begann das Gerät „serverps“ schließlich, Dateien auf 12 Geräten mit der Erweiterung *.06d79000 zu verschlüsseln. Wie bei Ransomware-Vorfällen meist üblich, erfolgte die Verschlüsselung außerhalb der Bürozeiten – über Nacht in Ortszeit –, um die Wahrscheinlichkeit eines schnellen Eingreifens des Sicherheitsteams zu minimieren.
Lesen Sie den ganzen Bericht über den Angriff
Beachten Sie, dass die Reihenfolge der oben beschriebenen Phasen 3–5 nicht in Stein gemeißelt ist, sondern bei jedem Angriff anders sein kann. Manchmal werden Daten ausgeschleust, woran sich eine weitere laterale Bewegung und zusätzliches C2-Beaconing anschließen. Diese gesamte Zeitspanne wird als „Verweildauer“ bezeichnet. Mitunter geht es nur um ein paar Tage, es können aber auch mehrere Monate sein, in denen die Angreifer in aller Ruhe und unter dem Radar regelbasierter Tools, die nur isolierte Dateiübertragungen über einem bestimmten Schwellenwert melden, Daten ausschleusen. Nur mit einem ganzheitlichen Verständnis der sich entfaltenden schädlichen Aktivität kann eine Technologie diese Bedrohung erkennen und das Sicherheitsteam in die Lage versetzen, sie zu bekämpfen, bevor der Ransomware-Angriff in seine letzten verheerenden Phasen übergeht.
6. Datenverschlüsselung
Mit symmetrischer oder asymmetrischer Verschlüsselung oder einer Kombination aus beiden versuchen die Angreifer, möglichst viele Daten im Netzwerk des Unternehmens unbrauchbar zu machen, bevor der Angriff entdeckt wird.
Da allein die Angreifer über die Entschlüsselungs-Keys verfügen, haben sie jetzt die volle Kontrolle darüber, was mit den Daten des Unternehmens geschieht.
Vorprogrammierte Gegenmaßnahmen und Störung des Geschäftsbetriebs
Es gibt vielerlei Tools, die für sich in Anspruch nehmen, eine solche Verschlüsselung unterbinden zu können. Allerdings haben sie alle ihre Schwachstellen, die ein gewiefter Angreifer in dieser entscheidenden Phase ausnutzen kann. Und wenn diese Tools dann Gegenmaßnahmen ergreifen, führen diese meist zu erheblichen Störungen und Einschränkungen des Geschäftsbetriebs.
Interne Firewalls verhindern, dass Clients auf Server zugreifen. Sobald sich also ein Angreifer mit einer der oben beschriebenen Methoden Zugang zu Servern verschafft hat, kann er nach Belieben schalten und walten.
In ähnlicher Weise suchen auch Antivirus-Tools nur nach bekannter Malware. Wurde die Malware bis dahin noch nicht entdeckt, ist es sehr unwahrscheinlich, dass sie überhaupt noch erkannt und gestoppt wird.
Verschlüsselung wird eigenständig gestoppt
Selbst wenn hierzu reguläre Tools und Methoden genutzt werden, kann die Autonomous Response die „Patterns of Life“ bei Geräten durchsetzen, die eine Verschlüsselung versuchen. Hierfür sind keine statischen Regeln oder Signaturen nötig. Diese Maßnahme kann eigenständig oder über Integrationen in native Sicherheitstools ergriffen werden. Dadurch wird auch der Nutzen vorhandener Sicherheitsinfrastruktur maximiert. Mit einer gezielten Autonomous Response kann der Geschäftsbetrieb ganz normal weiterlaufen, während gleichzeitig die Verschlüsselung verhindert wird.
7. Lösegeldforderung
Im Grunde wird ein Ransomware-Angriff erst mit der Verschlüsselung zu einem solchen. Ab dieser Phase macht die Malware ihrem Namen jedoch leider alle Ehre.
Auf die Verschlüsselung folgt nämlich eine Lösegeldforderung. Die Angreifer verlangen Geld für den Entschlüsselungs-Key und drohen, die exfiltrierten sensiblen Daten öffentlich preiszugeben. Das Unternehmen muss entscheiden, ob es das Lösegeld zahlt oder einen Verlust seiner Daten in Kauf nimmt, die möglicherweise an Mitbewerber weitergegeben werden oder an die Öffentlichkeit gelangen. Die durchschnittliche Höhe der Lösegeldforderungen lag 2021 bei 5,3 Mio. USD. So zahlte etwas das Fleischverarbeitungsunternehmen JBS 11 Mio. USD und DarkSide konnte mit dem Angriff auf Colonial Pipeline über 90 Mio. USD in Bitcoins erpressen.
Alle Phasen bis zu diesem Punkt sind typisch für einen traditionellen Ransomware-Angriff. Aber Ransomware hat sich verändert. Statt einer wahllosen Verschlüsselung von Geräten gehen die Angreifer inzwischen sehr gezielt vor und wollen den Geschäftsbetrieb in großem Stil stören oder lahmlegen. Dabei wenden sie unterschiedliche Methoden an, um ihre Angriffsopfer zur Zahlung des Lösegeldes zu bewegen. Zu weiteren Erpressungsmethoden gehört nicht nur die Datenexfiltration, sondern auch die Kaperung von Unternehmensdomains, die Löschung oder Verschlüsselung von Backups, Angriffe auf industrielle Steuerungssysteme (ICS), gezielte Täuschung von Führungskräften im Unternehmen und so weiter.
Mitunter gehen Angreifer auch direkt von Phase 2 zu Phase 6 – der Erpressung – über. Darktrace stoppte vor kurzem einen E-Mail-Angriff, bei dem sich der Angreifer nicht viel Arbeit machen wollte und direkt per E-Mail einen Erpressungsversuch startete. Der Angreifer behauptete, sensible Unternehmensdaten kompromittiert zu haben, und forderte eine Bitcoin-Zahlung für die Wiederherstellung. Egal, ob diese Behauptung stimmte oder nicht, dieser Angriff machte deutlich, dass einer Erpressung nicht immer eine Verschlüsselung vorausgehen muss und dass diese Art der Bedrohung unterschiedliche Formen annehmen kann.
Abbildung 6: Darktrace hält die schädliche E-Mail zurück und schützt dadurch den Empfänger und das Unternehmen.
Bei dem E-Mail-Angriff, mit dem wir uns in dem ersten Beitrag dieser Serie befasst haben, war Antigena Email in der Lage einzuschreiten und diese E-Mail zu stoppen, die andere E-Mail-Tools zugestellt hätten. Auf diese Weise konnte ein potenziell kostspieliger Erpressungsversuch verhindert werden.
Egal ob durch Verschlüsselung oder eine andere Form von Erpressung, die Botschaft ist immer gleich: Entweder Sie zahlen oder Sie sehen Ihre Daten nie wieder. In dieser Phase ist es zu spät, sich über die oben beschriebenen Optionen Gedanken zu machen, mit denen der Angriff in den ersten Phasen hätte gestoppt werden können. Es stellt sich nur noch eine einzige Frage: Zahlen oder nicht zahlen?
Häufig glauben Betroffene, mit der Zahlung des Lösegeldes sei es getan. Doch leider ist sie nur die Spitze des Eisbergs …
8. Schadensbehebung
Es wird alles unternommen, um die Sicherheitslücken zu schließen, die der Angreifer ausgenutzt, um in das Unternehmen einzudringen. Dem Unternehmen sollte allerdings bewusst sein, dass rund 80% der Ransomware-Opfer später erneut angegriffen werden.
Kaum ein herkömmliches Tool ist in der Lage, die Schwachstellen aufzuspüren, über die der Angreifer eindringen konnte. Es ist praktisch die Suche nach der Stecknadel in einem unvollständigen Heuhaufen: Sicherheitsteams haben so gut wie keine Chance, relevante Informationen in den wenigen Protokollen der Firewalls und IDS zu finden. Antivirus-Lösungen spüren allenfalls bekannte Malware auf, aber neuartige Angriffsvektoren entgehen ihnen.
Mit dem Cyber AI Analyst von Darktrace erhalten Unternehmen vollen Einblick in alle Phasen des Angriffs, und das für alle geschützten Bereiche ihrer digitalen Infrastruktur. Dies macht Ransomware-Angriffe vollkommen transparent. Die Sicherheitsteams sehen außerdem genau, welche Maßnahmen die Autonomous Response getroffen hätte, um den Angriff zu stoppen.
9. Wiederherstellung
Das Unternehmen beginnt, seine digitale Umgebung wieder in Ordnung zu bringen. Auch wenn es für einen Entschlüsselungs-Key gezahlt hat, werden viele Dateien verschlüsselt bleiben oder beschädigt sein. Abgesehen von der Lösegeldzahlung entstehen dem Unternehmen durch Netzwerkausfälle, Störungen des Geschäftsbetriebs, Maßnahmen zur Wiederherstellung der Sicherheit und negative PR hohe finanzielle Verluste.
Dem betroffenen Unternehmen entstehen darüber hinaus auch Reputationskosten: 66% melden einen erheblichen Umsatzausfall nach einem Ransomware-Angriff und 32% geben an, als direkte Folge der Attacke hohe Führungskräfte verloren zu haben.
Schlussfolgerung
Die oben beschriebenen Phasen sind den meisten Ransomware-Angriffen gemeinsam. Steigt man jedoch tiefer ein, wird deutlich, dass jede Attacke anders ist.
Da viele gezielte Ransomware-Angriffe durch Ransomware-Partner („Affiliates“) ausgeführt werden, variieren die verwendeten Tools und Methoden stark, auch wenn die Ransomware an sich gleich ist. Demzufolge sind bei zwei verschiedenen Ransomware-Angriffen, die auf derselben Ransomware-Familie basieren, völlig unterschiedliche Tools und Methoden zu erwarten. Es ist daher kaum vorhersehbar, wie die Ransomware von morgen aussehen wird.
Das bedeutet das Aus für traditionelle Sicherheitstools, die auf historischen Angriffsdaten basieren. Die beschriebenen Beispiele zeigen, dass einzig und allein selbstlernende Technologie und Autonomous Response in der Lage sind, Ransomware in jeder Phase zu stoppen, egal ob in der E-Mail-Umgebung oder im Netzwerk.
Was tun bei Verschlüsselung durch Hackerangriff?
Was tun bei Verschlüsselung durch Hackerangriff?
Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrem Lagebericht zur IT-Sicherheit in Deutschland 2021 getätigte Einstufung der IT-Sicherheit als „angespannt bis kritisch“ stellt für alle Unternehmen eine große Gefahr dar.
Die Folgen können von einer Beeinträchtigung der Arbeitsfähigkeit bis zu einem kompletten Ausfall des Betriebs oder einzelner Betriebsteile reichen – mit finanziellen Auswirkungen und Reputationsverlust. Viele Unternehmen haben Ihre IT-Sicherheitsstruktur deshalb einer Überprüfung unterzogen und Schutzvorkehrungen getroffen.
Die Größe der Angriffe nimmt immer weiter zu, so berichtet der Softwareentwickler Sophos, der im Bereich der IT-Security beheimatet ist in seinem Whitepaper vom April 2022, dass 66 % der Unternehmen in einer Umfrage von Ransomware -Angriffen, also Angriffen die auf eine Verschlüsselung des Systems abzielen betroffen waren.
Das Amerikanische IT-Infrastruktur Unternehmen SonicWall berichtet in seinem Halbjahresupdate 2021 von 304,7 Millionen Ransomware-Angriffen im ersten Halbjahr 2021 (eine Zunahme von 151 % gegenüber dem ersten Halbjahr 2020).
Was Sie im Ernstfall tun können, um den Schaden zu minimieren, erfahren Sie hier.
Wie führen Cyber-Kriminelle ihre Angriffe aus?
Die Angreifer verschaffen sich mit Trojanern wie Emotet Zugang zu fremden Systeme und spähen sie aus. Halten sie einen Erpressungsversuch für lohnenswert, setzen sie weitere Schadsoftware, sog. Ransomware ein, die den Zugriff auf Daten und ganze Systeme einschränkt oder verhindert. Dies geschieht z.B. durch Verschlüsselung von Daten. Für die Freigabe der Daten fordern sie ein Lösegeld und drohen ansonsten mit der Vernichtung der Daten.- Gemäß der Studie von Sophos bezahlen46 % Prozent der betroffenen Unternehmen das Lösegeld. Für den Fall, dass sich Opfer der Lösegeldzahlung verweigern, sind die Angreifer zunehmend gewappnet. Bevor sie die Daten verschlüsseln, speichern sie diese auf Ihren eigenen Rechnern und drohen dem Opfer mit der Veröffentlichung (sog. Double Extortion). Für die Veröffentlichung existieren eigens eingerichtete Leak-Seiten. Handelt es sich um wertvolle Geschäftsgeheimnisse kann es den Kriminellen den größten Vorteil bringen, wenn sie die Daten versteigern.
Einfallstor für die Verbreitung von Ransomware sind oftmals E-Mails. Klickt der Nutzer in solchen E-Mails auf einen Link oder öffnet einen Anhang, aktiviert dies den Download und die Installation der Schadprogramme. Die versandten Mails können dabei täuschend echt wirken. Die Täter fälschen Absenderadressen und formulieren Antworten passend zur vorangegangenen Kommunikation. Unternehmen wie die Heise Gruppe, Mutterunternehmen der Heise Medien, die unter anderem das IT-Magazin c’t herausgeben, wurden auf diese Weise bereits Opfer eines Cyber-Angriffs.
Die benutze Software eines Unternehmens ist ein besonders lohnender Angriffsweg, da dieser potenziell weitreichender ausfällt. Im Rahmen sogenannter Software-Supply-Chain-Angriffe fügen Kriminelle Schadcode bereits beim Software-Hersteller ein. Beim Vorfall um die IT-Plattform Orion der Firma SolarWinds schleusten die Angreifer etwa Schadsoftware in ein Software-Update ein.
Auch Remote-Access-VPNs können eine Schwachstelle sein, da hier Server im Internet verfügbarsind. Die Angreifer gelangen schnell an Administrator-Berechtigungen und können die gesamte IT-Infrastruktur einsehen.
Wie können Sie sich vor Cybercrime-Angriffen schützen?
Zum Schutz vor Ransomware-Angriffen oder zumindest zur Abmilderung ihrer Folgen können Unternehmen u.a.
Was können Sie tun, wenn Ihre Daten verschlüsselt wurden?
Sind Sie Opfer einer Ransomware-Attacke geworden und sehen sich einer Lösegeldforderung gegenüber, so gilt zuallererst:
Bewahren Sie Ruhe und treffen Sie keine übereilten Entscheidungen!
Die folgenden Reaktionsmaßnahmen können bei einem Ransomware-Vorfall ergriffen werden:
Krisenstab einrichten
Richten Sie einen Krisenstab ein. Dieser sieht sich technischen und organisatorischen Aufgaben gleichermaßen gegenüber. Er übernimmt zudem die interne und externe Kommunikation. Neben einer leitenden Person und IT-Fachleuten sind daher Juristen, der Datenschutzbeauftragte, der Pressesprecher und andere Mitarbeiter gefragt. Sind die Verantwortlichkeiten geklärt, können Entscheidungen schnell getroffen und kommuniziert werden.
Zur Entscheidungsfindung muss der Krisenstab zunächst versuchen, eine Reihe von Fragen zu beantworten:
Was ist überhaupt passiert und wie ist es aufgefallen?
Was bedeutet der Vorfall für das Unternehmen, welche Dienstleistungen oder Produktionsbereiche können oder müssen aufrechterhalten werden?
Möchten Sie Anzeige erstatten und dafür Beweise sichern?
Die Entscheidung, ob Sie der Beweissicherung Priorität gegenüber der Wiederherstellung der Arbeitsfähigkeit einräumen oder umgekehrt, bestimmt Ihre Vorgehensweise.
Der Krisenstab trägt für die interne und externe Kommunikation des Ransomware-Angriffs Sorge. Er informiert die Geschäftsleitung, den IT-Sicherheitsverantwortlichen, den Datenschutzbeauftragen und die Mitarbeiter über den Vorfall und seine Bewältigung. Dabei sollten auch Anweisungen zum Umgang der Mitarbeiter mit den Medien erfolgen. Zudem ist zu bedenken, dass Mitarbeiter durch den Vorfall ganz unterschiedlich betroffen sein können. Einige arbeiten vielleicht an der Belastungsgrenze und brauchen Unterstützung. Dabei kann ein Dienstplan helfen. Für andere Mitarbeiter wiederum müssen Aufgaben gefunden werden, wenn sie aufgrund des Angriffs nicht mehr arbeiten können.
Im Rahmen der Kommunikation nach außen stellt sich die Frage, ob der Vorfall Konsequenzen für Kunden, Vertragspartner oder die Öffentlichkeit hat. Es können zum Beispiel vertragliche Informationspflichten gegenüber Geschäftspartnern oder Versicherungen bestehen.
Eine frühzeitige Information der Presse kann vorteilhaft sein, um Spekulationen zu unterbinden und den Informationsfluss zu steuern.
Anzeige erstatten
Der Polizei stehen Ermittlungswege offen, über die Unternehmen nicht verfügen. Sie kann z.B. untersuchen, wohin eventuell gezahltes Lösegeld geflossen ist, sowie Server überwachen und beschlagnahmen. Nur durch Erstattung einer Anzeige besteht die Chance, die Täter zu ermitteln und zu verhindern, dass ihre Ransomware weitere Opfer findet.
Anwalt hinzuziehen
Ein Anwalt kann Sie während und nach einem Ransomware-Angriff begleiten und beraten. Er kann Ihnen bei der Erstattung der Strafanzeige behilflich sein, Sie in der Kommunikation mit der Polizei und der Datenschutzbehörde unterstützen und ggf. die Verhandlungen mit den Erpressern führen.
Externen IT-Sicherheitsdienstleister beauftragen
Es empfiehlt sich, spezialisierte IT-Forensiker mit der Untersuchung und Bewältigung des Vorfalls zu beauftragen, insb. dann, wenn im eigenen Unternehmen noch keine einschlägigen Erfahrungen gesammelt wurden.
Vorfall melden
Sie können zur Meldung des IT-Sicherheitsvorfalls verpflichtet sein. Eine solche Pflicht kann u.a. nach der DSGVO, dem BSIG oder dem TKG bestehen. Ist es beispielsweise zu einer Datenschutzverletzung gekommen, da die Kriminellen personenbezogene Daten auf Ihre Server gezogen haben, muss dies gemäß Art. 33 DSGVO der zuständigen Aufsichtsbehörde gemeldet werden. Die betroffenen Personensind gemäß Art. 34 DSGVO ebenfalls zu informieren.
Eine freiwillige Meldung kann erwogen werden, da die Behörde dann Warnungen veröffentlichen und über den Angriffsweg der Kriminellen informieren kann.
Wir raten diesbezüglich sich durch Ihren Datenschutzbeauftragten oder einen spezialisierten Anwalt vor Abgabe der Meldung beraten zu lassen.
Lösegeld nicht zahlen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Zahlung eines Lösegeldes dringend ab. Das schreibt das BSI unter anderem in seinem IT-Sicherheits-Bericht („Die Lage der IT-Sicherheit in Deutschland 2021“, Seite 14). Die Täter von Ransomware-Attacken verschlüsseln mittlerweile standardmäßig die Daten nicht nur, sondern leiten diese zuvor auf Ihre eigenen Server aus. Die Daten seien damit als dauerhaft kompromittiert zu betrachten. Weitere Erpressungsversuche seien trotz Lösegeldzahlung zu befürchten. Die Täter drohen dann ganz einfach mit der Veröffentlichung.
Zudem könnten Sie sich auch bei Zahlung nicht sicher sein, dass Ihre Daten tatsächlich entschlüsselt werden.
Sollten Sie dennoch erwägen, die Lösegeldzahlung zu leisten, so kann sich die Einbindung eines Anwalts oder IT-Sicherheitsdienstleisters lohnen, um in den Verhandlungen mit den Erpressern die Lösegeldsumme zu verringern. Haben Sie eine Versicherung gegen Cyberangriffe abgeschlossen, informieren Sie die Versicherungsgesellschaft in jedem Fall. Stellen Sie sicher, dass Sie gemäß den Vorgaben der Versicherung handeln, die diese für ihre Kostenübernahme aufstellt. Im Falle der Entschlüsselung ist ein Neuaufbau Ihres IT-Netzwerks nach Ansicht des BSI dennoch erforderlich, um eine weitere erfolgreiche Ransomware-Attacke auszuschließen (Erste Hilfe bei einem schweren IT-Sicherheitsvorfall, Seite 15).
Keine Anmeldung mit Administratorkonten auf einem möglicherweise infizierten System
Es gilt zu verhindern, dass sich eine Person mit einem privilegierten Nutzerkonto auf dem infizierten System anmeldet. Diese Gefahr besteht zwar bezüglich Unternehmensangehörigen mit einem solchen Konto, doch ist vor allem an die Angreifer zu denken, die sich selbst ein Konto mit Administrator-Rechten erstellt haben können. Deswegen muss nach Konten gesucht werden, die keinem Mitarbeiter zuzuordnen sind.
Alle Systeme vom Netz nehmen
Um den Schaden durch Ausbreitung der Malware zu begrenzen, nehmen Sie alle Systeme vom Netz. Der schnellste Weg ist, die Netzwerkkabel zu ziehen. Abgewogen werden muss jedoch, ob die Netzverbindung des Systems (und im Anschluss auch die Stromversorgung) – bei Gefahr des Verlusts weiterer Daten an das Schadprogramm – noch solange aufrechterhalten werden soll, bis ein forensisches Abbild des Arbeitsspeichers angefertigt wurde. Dort enthaltene Daten gehen sonst verloren. (Leitfaden „IT-Forensik“ des BSI, Seite 37). Ändern Sie im Anschluss an die Trennung der Systeme vom Netz alle bisher verwendeten Kennwörter.
Forensische Untersuchung
Haben Sie sich für die Einleitung der Strafverfolgung entschieden, dienen Ihre allerersten Schritte nach einem Cyberangriff der Beweissicherung. Noch vor Reparaturversuchen oder Aktionen zur Analyse ist es zu empfehlen ein forensisches Abbildzu erstellen und den Zwischenspeicher sowie die Festplatten zu sichern. Planen Sie eine forensische Untersuchung, fahren Sie die Geräte nicht herunter, da beim Herunterfahren Dateien verändert werden.
Eine nachfolgende Analyse beschäftigt sich vor allem damit, wie die Ransomware das System infizierten konnte, um diese Schwachstellen zu schließen.
Identifikation der betroffenen Systeme
Um die betroffenen Systeme, das Ausmaß des Ransomware-Angriffs und noch anhaltende Datenabflüsse zu ermitteln, kann mittels Logdaten die Netzwerk-Kommunikation ausgewertet werden. So lautet auch die Empfehlung des BSI (Erste Hilfe bei einem schweren IT-Sicherheitsvorfall, Seite 19).
Werden Logdaten in Ihrem Unternehmen noch nicht standardmäßig aufgezeichnet, beschließen Sie die Umstände der Speicherung in Zusammenarbeit mit dem Datenschutzbeauftragten und ggf. dem Betriebs-/Personalrat.
Arbeitsfähigkeit teilweise wiederherstellen
Wenn Sie nun in Kenntnis sind ,welche Dienstleistungen und Prozesse unbedingt aufrecht zu erhalten sind und welche Systeme infiziert sind, können Sie ggf. Dienstleistungen auf nicht betroffene Systeme überführen. Falls das nicht möglich ist, können bestimmte Dienstleistungen eventuell mithilfe mobiler Endgeräte erbracht werden.
Bereinigung
Verwenden Sie Programme zur Beseitigung von Malware erst nach Abschluss der Analyse, da ihr Einsatz Änderungen am flüchtigen und nichtflüchtigen Speicher zur Folge haben kann.
Systeme neu installieren
Nach der Bereinigung des Active Directory müssen die Systeme vollständig neu aufgesetzt werden. Nur so kann ausgeschlossen werden, dass die Angreifer Hintertüren eingerichtet haben, durch die sie erneut auf Ihr System zugreifen können.
Sind die Systeme wiederhergestellt, ändern Sie erneut alle Kennwörter.
Nach der Neuinstallation der Systeme sollten Sie sich außerdem des Active Directory annehmen, dieses neu aufsetzen und es gegen Ransomware-Angriffe sichern.
Daten wiederherstellen
Liegen Datensicherungen via Backups vor, können Sie diese nun einspielen. Dabei kann es ratsam sein, mit Kopien der Backups zu arbeiten. Falls nicht alle betroffenen Systeme identifiziert wurden, bleiben Ihre Backups vor Infektion geschützt.
Auch ohne Backup kann eine Wiederherstellung der Daten möglicherweise gelingen. Beispielsweise kann es sein, dass Schattenkopien von der Ransomware nicht verschlüsselt wurden oder Daten forensisch wiederhergestellt werden können.
Was ist im Nachgang eines IT-Sicherheitsvorfalls zu tun?
Aus dem überstandenen Vorfall können Sie Erkenntnisse zur Prävention weiterer erfolgreicher Cyberangriffe gewinnen. Die Analyse beinhaltet eine umfassende Sammlung von Daten, u.a. der Firewall, des E-Mail-Servers, der infizierten Systeme und von Anti-Malware-Programmen. Die Auswertung des Vorfalls kann Ihnen insb. dabei helfen, Schwachstellen und Gegenmaßnahmen zu identifizieren. Aufbauend auf der Analyse können Sie Ihre IT-Sicherheits- und Notfallreaktionspläne überarbeiten. Sind alle Maßnahmen umgesetzt, hilft ein externer Penetrationstest bei der Überprüfung.
Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Caroline Weis
Bildquelle: Bild von Pete Linforth auf Pixabay
Was sind Ransomware-Angriffe und wie können Sie solche Angriffe vermieden
Verhalten im Falle des Falles
Im Falle eines Ransomware-Angriffs können Sie bestimmte Maßnahmen ergreifen, um den Schaden zu begrenzen, aber Sie müssen schnell handeln. Beim ersten Anzeichen eines Angriffs müssen Sie das Gerät isolieren, um zu verhindern, dass der infizierte Computer weitere Malware verbreitet. Trennen Sie es vom Netz und entfernen Sie alle angeschlossenen Laufwerke. Suchen Sie dann im Netzwerk Ihres Unternehmens nach anderen Geräten, die sich verdächtig verhalten. Isolieren Sie diese ebenfalls, um Daten-Backups zu schützen.
Es ist ratsam, das WiFi an diesem Punkt auszuschalten. Außerdem sollten Sie alle drahtlosen Verbindungen bzw. die Bluetooth-Funktionalität im gesamten Netzwerk ausschalten. Wenn möglich, sperren Sie auch alle Ihre freigegebenen Dateien. Auf diese Weise wird der Verschlüsselungsprozess gestoppt.
Nachdem Sie die Ausbreitung der Ransomware verhindert haben, sollten Sie den Schaden abschätzen. Suchen Sie nach verschlüsselten Dateien, die sich nicht öffnen lassen oder seltsame Namen haben. Erstellen Sie dann eine Liste aller betroffenen Systeme, einschließlich Netzwerkspeichergeräten, externen Festplatten, Laptops, Smartphones und Cloud-Speicher.
Sobald dieser Vorgang abgeschlossen ist, können Sie nach der Infektionsquelle suchen. Dabei kann es sich um das Gerät handeln, dessen Verhalten Ihnen zuerst verdächtig vorkam, aber die Quelle kann auch anderswo liegen. Denken Sie daran, dass Ransomware schnell arbeitet und es daher schwierig sein kann, „Patient null“ zu finden.
Prüfen Sie zunächst, ob Ihr Antivirenprogramm Warnmeldungen ausgegeben hat. Befragen Sie dann Ihr Team zu seinen Internetaktivitäten. Hat jemand in letzter Zeit eine seltsame E-Mail geöffnet? Oder auf ein Pop-up geklickt, das keinen Sinn ergab? Sie können auch die betroffenen Geräte selbst untersuchen. Wenn auf einem davon mehr offene Dateien als üblich vorliegen, handelt es sich dabei wahrscheinlich um „Patient null“.
Sobald Sie die Quelle kennen, können Sie den Ransomware-Typ mithilfe einer Website wie No More Ransom identifizieren. Scannen Sie einfach eine der verschlüsselten Dateien, und die Website wird Ihnen helfen, die Variante zu identifizieren. In einigen Fällen kann sie sogar einen kostenlosen Entschlüsselungsschlüssel bereitstellen.
Sobald Sie die Variante kennen, wissen Sie genau, wie sich diese Art von Ransomware verhält. Sie können dann alle im Netzwerk verbliebenen Personen darüber informieren, worauf sie achten müssen, damit sie nicht infiziert werden.
Schließlich sollten Sie den Angriff den örtlichen Behörden melden. Das FBI ermutigt Opfer, das Lösegeld nicht zu zahlen. Informieren Sie stattdessen die örtlichen Strafverfolgungsbehörden und arbeiten Sie mit ihnen zusammen, um die Täter zur Rechenschaft zu ziehen. In einigen Fällen können Strafverfolgungs- und Regierungsbehörden Ihnen sogar helfen, Daten wiederherzustellen, indem sie den Entschlüsselungsschlüssel von den Angreifern erlangen. Raffinierte Angriffe auf Unternehmen sind auf dem Vormarsch. Daher ist es wichtig, die Strafverfolgungsbehörden auf dem Laufenden zu halten, um die Verbreitung von Ransomware zu stoppen.
Danach können Sie den Wiederherstellungsprozess starten, indem Sie das letzte unbeschädigte Backup oder, wenn Sie Glück haben, den Entschlüsselungsschlüssel zum Entschlüsseln der Dateien verwenden. Leider zielt manche Ransomware auf Backups ab und macht sie unbrauchbar, sodass die Daten nicht wiederhergestellt werden können. In diesem Fall müssen Sie sich überlegen, wie Sie Ihre Geschäfte fortführen. Die Daten sind leider verloren.