Alle Artikel


Ransomware: was es ist und wie man sich mit einem Backup schützt



Eines der größten Cybersicherheitsrisiken für Unternehmen in den letzten Jahren ist die massive Verbreitung von „Ransomware“-Viren. Diese reichen von historischen Namen wie Cryptolocker, Locky, TeslaCrypt oder Wannacry bis hin zu den jüngsten Bedrohungen der letzten Jahre:

  • LockBit: Trotz einiger Maßnahmen der Strafverfolgungsbehörden blieb LockBit über weite Strecken des Zeitraums eine der aktivsten Gruppen, auch wenn ihre Aktivität in der zweiten Hälfte des Jahres 2024 nachgelassen zu haben scheint.
  • RansomHub: RansomHub entstand im Jahr 2024 und hat sich gemessen an der Anzahl der gemeldeten Angriffe schnell zu einer der bekanntesten RaaS-Gruppen entwickelt.
  • Spielen: Diese Gruppe ist für ihre Aggressivität und Ausnutzung von Schwachstellen bekannt.
  • Akira: Vermutlich Verbindungen zur nicht mehr existierenden Conti Group und erhebliche Aktivität gezeigt.
  • Black Basta: Eine weitere Gruppe mit möglichen Verbindungen zu Conti blieb aktiv.
  • Qilin (auch bekannt als Agenda): Erschien 2022, erhöhte seine Aktivität 2024.
  • Medusa: Bekannt für seine Erpressungstaktiken und Medienpräsenz.
  • Clop: Zwar wurde die Aktivität nach einer Reihe spektakulärer Angriffe im Jahr 2023 (wie etwa im Zusammenhang mit MOVEit) reduziert, dennoch blieb Clop eine Bedrohung.
  • Killsec: Im Jahr 2024 entstand eine neue Gruppe mit erheblicher Aktivität.
  • BianLian: Eine Gruppe, die für Erpressungen ohne Verschlüsselung bekannt ist.

Die weite Verbreitung dieser Viren ist auf einige einfache Schlüsselfaktoren zurückzuführen , nämlich die Fähigkeit, Benutzer mit Websites, E-Mails oder Nachrichten zu täuschen, die völlig legitim erscheinen (aber den Virus als Anhang enthalten, der als Rechnung oder anderes Dokument getarnt ist) und die Schwierigkeit für Antivirenprogramme, verdächtige Aktivitäten dieser Malware rechtzeitig zu erkennen, auch aufgrund des ständigen Auftauchens neuer Varianten derselben und neuer krimineller Organisationen.

Die Eskalation des Ransomware-Phänomens in den letzten Jahren wurde maßgeblich durch die zunehmende Verbreitung krimineller Strukturen vorangetrieben, die sogenannte „Ransomware-as-a-Service“ (RaaS) anbieten . Dieses Betriebsmodell ermöglicht es Partnern, die oft nur über begrenztes technisches Fachwissen verfügen, bereits vorhandene Ransomware-Infrastrukturen auszunutzen, die von erfahreneren kriminellen Gruppen entwickelt und betrieben werden. In der Praxis stellen die Ersteller von Ransomware den Schadcode, Zahlungsgateways und Unterstützung bei der Durchführung der Angriffe bereit und erhalten im Gegenzug einen Prozentsatz des vom Opfer gezahlten Lösegelds. Diese „Demokratisierung“ von Cyberangriffen hat die Eintrittsbarriere für Cyberkriminelle gesenkt, was zu einem exponentiellen Anstieg der Anzahl der Angriffe und der Verbreitung immer ausgefeilterer Bedrohungen geführt hat.

Was macht ein Ransomware-Virus?

Aber was genau macht Ransomware wie Lockbit? Und warum werden sie als verheerend für die Sicherheit und Datenspeicherung von Unternehmen und Privatnutzern eingestuft?

Im Grunde genommen machen diese Viren etwas ganz Einfaches : Sie verschlüsseln fast alle Dateien auf einem Computer und machen sie damit unzugänglich (sozusagen nicht mehr „öffnbar“). Dies gilt insbesondere für alle möglicherweise wichtigen Dateien, wie etwa Excel-Dateien, Dokumente (.doc, .docx usw.), JPEG-Bilder (also alle Bilder und Fotos), PDFs, ZIP-Dateien usw.

Sobald der Virus diese Dateien verschlüsselt hat, können Sie sie nicht mehr öffnen, es sei denn, Sie kennen das Verschlüsselungskennwort und verwenden spezielle Software, die die Entschlüsselung durchführen kann. Sobald die Infektion abgeschlossen ist, zeigt die Ransomware ein Fenster auf dem Bildschirm an, das den Benutzer warnt, dass alle seine Dateien verschlüsselt wurden und dass er innerhalb einer bestimmten Frist ein Lösegeld zahlen muss, um sie zurückzubekommen. Hier ist ein Beispielfenster:

Wenn alle unsere Dateien durch Ransomware unzugänglich gemacht wurden, kann die Situation an diesem Punkt wirklich verzweifelt sein. Es ist allgemein bekannt, dass sich viele Unternehmen für die Zahlung des Lösegelds entscheiden (was ihnen allerdings nur in einigen Fällen tatsächlich die Wiederherstellung ihrer Dateien ermöglicht), doch aus verschiedenen Gründen ist diese Lösung immer nicht ratsam.

Lösegeld nicht zahlen: Warum es ein schwerwiegender Fehler ist, den Forderungen von Cyberkriminellen nachzugeben

Nein, Sie sollten das Lösegeld auf keinen Fall bezahlen und auch nicht versuchen, mit den für den Angriff verantwortlichen Kriminellen zu verhandeln.

Zwar haben einige US-Bundesstaaten und Kommunen den Forderungen der Cyberkriminellen nachgegeben, doch sie stellen weiterhin die Ausnahme dar: Nur ein kleiner Prozentsatz hat für die Wiederherstellung seiner Daten nach Ransomware-Angriffen bezahlt.

Ihre Zahlung wird höchstwahrscheinlich die Entwicklung und Einführung neuer Ransomware-Varianten sowie möglicherweise andere kriminelle Aktivitäten finanzieren. Indem Sie die Zahlung verweigern, können Sie anderen potenziellen Opfern helfen, zukünftige Angriffe zu vermeiden. Darüber hinaus haben Sie keine Garantie, dass Sie Ihre Dateien zurückbekommen: In einigen Fällen haben Hacker nutzlose Entschlüsselungsschlüssel gesendet, in anderen haben sie überhaupt nichts gesendet. Während sie es vorziehen, einen „ehrenhaften“ Ruf zu wahren, um das Vertrauen ihrer Opfer zu gewinnen, gibt es unter Cyberdieben keine Ehre.

Was tun, wenn Sie Opfer eines Ransomware-Angriffs geworden sind?

Am besten ist es, sich an ein auf die mögliche Datenrettung spezialisiertes Unternehmen zu wenden oder an Unternehmen, die bereits ähnliche Fälle hatten und daher wissen, wie sie vorgehen müssen.

Wie wir derzeit wissen, können Sie sich bei vielen frühen Ransomware-Varianten auf Dienste verlassen, mit denen Sie Ihre Dateien mit minimalem Aufwand entschlüsseln und wiederherstellen können. Fast alle Antiviren-Unternehmen bieten Tools zur Dateientschlüsselung und Ransomware-Entfernung an, beispielsweise:

Kaspersky: https://noransom.kaspersky.com/

Trendmicro: https://success.trendmicro.com/en-US/solution/KA-0006362

Wenn Sie feststellen, dass Sie mit Ransomware wie Lockbit infiziert sind, sollten Sie die folgenden Richtlinien befolgen  :

  1. Wenn Sie feststellen, dass auf einige Dateien nicht mehr zugegriffen werden kann, aber noch kein Lösegeldfenster angezeigt wurde, empfehlen wir Ihnen, Ihren Computer sofort auszuschalten, ihn vom Netzwerk zu trennen und alle externen Festplatten oder andere Datenspeichergeräte zu entfernen, um eine vollständige Kompromittierung zu vermeiden. Wenden wir uns daher an Fachpersonal, um das System vor dem Neustart zu reinigen.
  2. Wenn die Infektion bereits stattgefunden hat und das Lösegeldfenster angezeigt wurde, notieren wir uns die vom Virus bereitgestellten Links zur Zahlung des Lösegelds (als letztes Mittel) und fahren dann mit der Entfernung des Virus fort. Auch hier trennen wir alle Netzwerkgeräte, externen Festplatten oder andere Festplatten, die vom Virus erreicht und kompromittiert werden könnten. Außerdem trennen wir den Computer vom Netzwerk. Wir verwenden einen USB-Stick, um alle Entfernungs-, Reinigungs- und Wiederherstellungstools darauf zu kopieren.
  3. Wir fahren mit der Entfernung des Virus fort und versuchen, die Dateien mit den vom Antivirenprogramm bereitgestellten Tools wiederherzustellen.

Anschließend kann mit einem aktualisierten Antivirenprogramm ein weiterer Scan und eine Entfernung durchgeführt werden.

Schützen wir uns anschließend sofort vor möglichen Neuinfektionen, indem wir „aggressivere“ Überwachungstools für mögliche bösartige Aktivitäten verwenden, wie sie für Ransomware typisch sind. Alle aktuellen Antivirenprogramme bieten diese Art von Echtzeitschutz, beispielsweise Avast: https://www.avast.com/c-how-to-prevent-ransomware

Das beste Mittel: Immer ein Backup haben, das für Ransomware unzugänglich ist

Bisher haben wir über das Worst-Case-Szenario gesprochen, also wenn alle unsere Dateien („vorübergehend“) verloren gehen und wir keine Sicherungskopien davon haben. Dies zwingt uns dazu, uns auf Datenwiederherstellungsexperten zu verlassen oder in jedem Fall spezielle Tools zum Entfernen des Ransomware-Virus und zur Entschlüsselung der Dateien zu verwenden. Wenn all dies nicht funktioniert, bleibt als letztes Mittel nur noch die Zahlung eines Lösegelds und die Hoffnung, dass die Cyberkriminellen, die den Virus erstellt haben, noch „erreichbar“ sind, dass sie nicht verhaftet wurden oder dass die Websites gesperrt wurden (in diesem Fall ist es eine gute Idee, sich über etwaige kürzliche Polizeieinsätze zu informieren, bei denen möglicherweise Zugriff auf die Virenquellen und damit auf die Entschlüsselungsschlüssel erlangt wurde).

In diesem Artikel möchten wir jedoch auch über die Prävention sprechen  , also über die Möglichkeiten, sich vor Cryptolocker, Wannacry, Lockbit und aller anderen Ransomware zu schützen, damit ein möglicher Angriff unser Unternehmen nicht blockiert und wir nicht alle unsere persönlichen Daten verlieren. Die grundlegenden Richtlinien, die Sie befolgen sollten, sind natürlich die Installation einer Antivirensoftware und/oder Firewall-Software und – wie uns der Fall Wannacry gelehrt hat – die ständige Aktualisierung Ihres Betriebssystems mit den neuesten Sicherheitspatches . Der beste Weg, einer Ransomware-Infektion unbeschadet zu entgehen, besteht außerdem darin, im Voraus eine gründliche und effektive Datensicherungsstrategie zu planen. In diesem zweiten Teil des Artikels geben wir einige Ratschläge, wie Sie mit Iperius Backup am besten ein Backup erstellen .

Wir dachten, wir könnten es anhand der folgenden Fragen und Antworten klar und schematisch erklären:

  • Welche Arten von Backups werden empfohlen, um Dateien nach einem Ransomware-Angriff wiederherzustellen? Zunächst einmal
    Offsite -Backups , also Online-Backups in der Cloud und per FTP, da diese Ziele für den Virus nicht erreichbar sind. Daher sind Backups auf externen Wechseldatenträgern wie USB-Festplatten und RDX-Kassetten, die im monatlichen Rotationsmodus ausgetauscht, physisch getrennt und an einen Ort außerhalb des Unternehmens gebracht werden können, auch im Falle von Diebstahl oder Umweltkatastrophen nützlich ( Air-Gap -Backup ). Wir wählen für unsere Sicherung immer zwei oder mehr Ziele mit unterschiedlichen Vorgängen und Zeitplänen aus . Iperius kann Online-Backups auf Google Drive, Dropbox, OneDrive, Amazon S3, Azure Storage und jedem FTPS/SFTP-Server durchführen. Schließlich unterstützt Iperius unveränderliche Backups mit Object Lock auf Amazon S3 . Alle diese Strategien, auch als 3-2-1-Methode bekannt, geben Ihnen die Sicherheit, immer über eine wiederherstellbare Kopie Ihrer Daten zu verfügen. Iperius Backup bietet auch einen sicheren Speicherplatz für DSGVO-konforme Cloud-Speicherung in der Europäischen Union: Iperius Storage . Weitere Informationen zu Cloud-Backups finden Sie in den entsprechenden Tutorials .
  • Wie oft sollte ich Backups planen?
     Die grundsätzliche Empfehlung besteht darin, mehrere Sicherungsvorgänge mit unterschiedlichen Zeitplänen zu erstellen . Es muss eine tägliche Sicherung, aber auch eine wöchentliche und monatliche Sicherung geben. Dadurch soll verhindert werden, dass im Falle einer Infektion vorherige Backups versehentlich mit verschlüsselten Kopien der Dateien überschrieben werden (und Ihnen so genügend Zeit gegeben wird, die Infektion zu bemerken). Seien Sie vorsichtig bei Backups, die sonntags durchgeführt werden, da es an Wochenenden manchmal zu automatischen Infektionen kommen kann.
  • Welchen Sicherungsmodus sollte ich verwenden? Es wird empfohlen, tägliche Sicherungen im Modus „Vollständig +
    inkrementell“ oder „Vollständig + differenziell“ durchzuführen (um einen Verlauf der geänderten Dateien zu haben) sowie wöchentliche und monatliche Sicherungen, bei denen zunächst eine vollständige Sicherung durchgeführt und diese Sicherung anschließend nur mit neuen oder geänderten Dateien aktualisiert wird. Diese Art der Sicherung kann auf FTP-/SFTP-Zielen, externen Laufwerken, RDX, NAS, Servern oder vernetzten Computern durchgeführt werden. Auch Backups auf LTO-Bändern (auch mit WORM-Kassetten, die nur einmal beschrieben werden können und Backups somit praktisch unveränderlich machen ) sind empfehlenswert, insbesondere in Unternehmens- und Serverumgebungen, da sie sich auf einem Gerätetyp befinden, auf den diese Viren nicht zugreifen können. Schließlich ist es unbedingt zu empfehlen, auch wöchentlich oder monatlich ein Image-Backup (Disk-Image)
    durchzuführen , also eine vollständige Sicherung der gesamten Festplatte, da wir so das gesamte System schnell in den Zustand vor der Infektion zurückversetzen können, ohne Konfigurationen wiederholen oder Programme neu installieren zu müssen. Dies ist für die Geschäftskontinuität und um den Betrieb so schnell wie möglich wieder aufnehmen zu können, sehr wichtig. Lesen Sie die Tutorials zum Sichern und Wiederherstellen von Disk-Images .
  • Ich weiß, dass der Virus auch Netzwerkordner erreichen und Backups gefährden kann. Wie schütze ich das NAS, auf dem ich Backups durchführe?
     Die Frage ist sehr wichtig. Es gibt mehrere Möglichkeiten, ein NAS vor einer Infektion mit Ransomware-Viren wie Cryptolocker oder Lockbit zu schützen. Sie können beispielsweise festlegen, dass keine Ordner auf dem NAS im Netzwerk freigegeben werden und stattdessen dessen FTP- oder S3-Server verwendet werden. Mit Iperius ist es möglich, ein FTP- oder S3-Backup auf NAS zu konfigurieren, das diese Protokolle (fast alle) unterstützt. Auf diese Weise ist das NAS für den Virus in keiner Weise zugänglich.
    Oder wenn Sie die NAS-Netzwerkfreigaben behalten möchten, müssen Sie sicherstellen, dass nur ein bestimmter Benutzer Schreibberechtigungen für die Ordner hat. Sie können dann ein spezielles Konto für die Sicherung unter Windows (oder in Active Directory für Computer in einer Domäne) erstellen und dieses Konto dann verwenden, um den Iperius-Dienst auszuführen (oder sich als Iperius-Prozess auszugeben), der für die Ausführung geplanter Sicherungen verantwortlich ist. Auf diese Weise hat nur Iperius Schreibzugriff auf die NAS-Ordner (wobei wir natürlich nur diesem Benutzer Schreibrechte für die freigegebenen Ordner erteilt haben).

Eine Option zum Schutz von Backups vor Ransomware

Als zusätzliche Sicherheitsmaßnahme zur Vermeidung der Beschädigung früherer Backups nach einer Ransomware-Infektion bietet Iperius eine spezielle Option, mit der Sie das Vorhandensein von durch Ransomware-Viren beschädigten oder verschlüsselten Dateien erkennen können, bevor Sie Dateien und Ordner an lokale Ziele, Netzwerk- oder Cloud-Ziele sichern. Dieser intelligente Scan verhindert, dass vorherige Backups durch kompromittierte Dateikopien überschrieben werden, und schützt sie so vor Virenangriffen. Im Bild unten sehen wir, wie diese Option aktiviert wird:

Mit dieser Option können Sie auch einige Erweiterungen vom Scannen ausschließen, falls Fehlalarme auftreten.

Überlegungen zum Diebstahl und zur Verbreitung sensibler Daten

Leider besteht bei den jüngsten Ransomware-Angriffen eine zusätzliche Gefahr: Backups können nicht die einzige Lösung sein. Tatsächlich haben moderne Ransomware-Kampagnen ihre Taktiken weiterentwickelt und gehen über die einfache Datenverschlüsselung als einzige Form der Nötigung hinaus. Die Betreiber von Ransomware setzen zunehmend auf eine Strategie der „ doppelten Erpressung “: Sie machen die Dateien nicht nur durch Verschlüsselung unzugänglich, sondern extrahieren vor dem Angriff auch eine erhebliche Menge sensibler Daten. Dieser Schritt erhöht den Druck auf die Opfer zusätzlich, da die Bedrohung nicht mehr nur in Betriebsausfällen aufgrund blockierter Systeme besteht, sondern auch in der potenziellen öffentlichen Offenlegung vertraulicher Informationen, was zu Reputationsschäden, behördlichen Sanktionen und einem Vertrauensverlust bei Kunden und Partnern führen kann . Der Angriff auf Foxconn in Mexiko im Jahr 2022 ist ein klares Beispiel dafür, wo Datenkompromittierung und die Androhung der Verbreitung zu einer mächtigen Waffe in den Händen von Cyberkriminellen werden: https://www.bleepingcomputer.com/news/security/foxconn-confirms-ransomware-attack-disrupted-production-in-mexico/

Schlussfolgerungen

Zusammenfassend lässt sich sagen, dass angesichts der anhaltenden und komplexen Bedrohung durch Ransomware eine wirksame Verteidigungsstrategie auf ein robustes und widerstandsfähiges Backup-System nicht verzichten kann. Die Einführung von Lösungen wie Iperius Backup zur Implementierung unveränderlicher Backups, die Nutzung von Technologien wie Object Lock auf Amazon S3 und Archivierung auf WORM LTO Tape, zusammen mit der Erstellung von Air-Gap-Kopien auf physisch entfernbaren Medien, stellt ein grundlegendes Bollwerk gegen Datenverlust und Betriebsunterbrechung dar. Es muss jedoch unbedingt betont werden, dass die Datensicherung nur ein Element einer ganzheitlichen Cybersicherheitsstrategie ist. Prävention durch Schulung der Mitarbeiter im Bereich Cybersicherheit und die Implementierung moderner Antivirenprogramme, richtig konfigurierter Firewalls und der Einführung zusätzlicher Sicherheitstools bleibt die erste Verteidigungslinie, um das Risiko, Opfer von Ransomware-Angriffen zu werden, deutlich zu verringern. Nur ein synergetischer Ansatz, der eine solide Backup- und Disaster-Recovery-Strategie mit proaktiven Präventionsmaßnahmen kombiniert, kann die echte digitale Widerstandsfähigkeit von Unternehmen gewährleisten.

Weitere Einblicke in Ransomware: https://www.crowdstrike.com/en-us/cybersecurity-101/ransomware/



Bei Fragen oder Zweifeln zu diesem Artikel, Kontaktieren Sie uns