ProLion Team, August 2021

Wie gut kennen Sie Ihre Ransomware?

Virus? Ransomware? Trojaner?

Jede schädliche Software, oder wie sie allgemein bekannt ist – Malware, stellt eine Bedrohung für jede Organisation dar, die von ihren IT-Systemen abhängig ist, sei es ein kleines Unternehmen, ein großes Unternehmen oder eine Regierungseinrichtung. Eine der gefährlichsten Malware-Kategorien neben Viren und Trojanern ist Ransomware. In den letzten Jahren hat die Anzahl der Ransomware-Angriffe rapide zugenommen, und heute sollte jedes Unternehmen strenge Sicherheitsmaßnahmen implementiert haben, um ihre Daten zu schützen. Wenn entsprechende Schritte nicht unternommen werden, könnten wir bald genug darüber in den Nachrichten lesen.

Was ist Ransomware?

Ransomware ist eine Unterkategorie von Malware, deren Zweck es ist, Daten durch Sperren oder Verschlüsseln anzugreifen. Die Angreifer fordern dann ein Lösegeld, normalerweise in Form von Kryptowährungen, im Austausch für Informationen darüber, wie der entstandene Schaden rückgängig gemacht werden kann.

Ransomware beginnt in der Regel ihre zerstörerische Arbeit auf Client-Maschinen, und es gibt verschiedene Möglichkeiten, wie sie darauf zugreifen kann, wie z.B. Phishing-E-Mails oder kompromittierte Web-Links. Sobald die Malware gestartet ist, versucht sie, bestimmte Infrastruktursysteme zu nutzen und Benutzerrechte zu eskalieren, um die angreifbare Oberfläche zu maximieren.

Die meisten Ransomware-Angriffe scheinen eine finanzielle Motivation zu haben, bei denen die kriminellen Gruppen hinter der Software ihr Geld durch Erpressung verdienen, wobei einige von ihnen durch diese Praxis recht wohlhabend werden.

Jedoch gibt es keine Garantie dafür, dass Kriminelle die Wiederherstellungsinstruktionen nach Zahlung bereitstellen, und es gibt keine endgültige Antwort darauf, ob dem Drängen nachgegeben werden sollte.

Arten von Ransomware

Da es unzählige verschiedene Arten und Varianten von Ransomware gibt, die möglicherweise für einen bestimmten Zweck erstellt wurden oder auch nicht, ist es nicht einfach, eine gemeinsame Klassifizierung festzulegen. In der Regel fallen sie jedoch in eine der beiden Hauptkategorien, nämlich Locker-Ransomware und Crypto-Ransomware.

Locker-Ransomware ist darauf ausgelegt, Opfer aus ihren Geräten auszusperren, ohne jedoch Daten zu verschlüsseln.

Der Zweck von Crypto-Ransomware hingegen besteht darin, wertvolle Dateien zu verschlüsseln. Im Gegensatz zu Locker-Ransomware, die normalerweise ihre Aktionen nur auf Client-Geräte beschränkt, beeinträchtigt Crypto-Ransomware auch Daten auf gemounteten Dateifreigaben. Während des Verschlüsselungsvorgangs kann auf die Benutzeroberfläche immer noch zugegriffen werden, und so kann die ausgeführte Ransomware oft erst entdeckt werden, wenn es bereits zu spät ist.

Ransomware-as-a-Service

Alle Ransomware ist mit einer bestimmten Absicht entworfen und enthält Anweisungen dazu, welche Dateitypen und IT-Systeme angegriffen werden sollen. Wenn wir Ransomware als gut gestaltetes Software-Tool betrachten, werden einige ihrer Konfigurationsparameter leicht anpassbar sein. Dieser Ansatz führte zur Entwicklung eines neuen Geschäftsmodells: Ransomware-as-a-Service (RaaS). Kriminelle, die nicht über das erforderliche Wissen verfügen, um es selbst zu erstellen, können einfach für einen Angriff gegen bestimmte Unternehmen oder Einzelpersonen als Dienstleistung bezahlen.

Nach Meinung von Sicherheitsexperten ist das RaaS-Verkaufsmodell einer der Gründe, warum die Anzahl der Angriffe in den letzten Jahren massiv zugenommen hat. Um die Dinge zu erschweren, bleiben die tatsächlichen Entwickler der Ransomware-Software im Hintergrund verborgen, sodass es sehr schwierig ist, sie aufzuspüren, und sie setzen ihr Geschäft weiter fort.

Ransomware-Schutz

Effektiver Ransomware-Schutz erfordert gemeinsame Anstrengungen auf mehreren Sicherheitsebenen. Auf der Client-Maschine muss eine aktuelle Antivirensoftware installiert sein, und Benutzerkonten sollten immer mit den minimal möglichen Berechtigungen eingerichtet werden. Wenn der Client kompromittiert wird, ist das Wichtigste, den Schaden zu begrenzen und die Daten zu schützen, die von mehreren Benutzern geteilt werden.

ProLion CryptoSpike bietet Echtzeitschutz vor Ransomware und Zugriffstransparenz für ONTAP-Speicher. Dieser Schutz ist unerlässlich, da Ransomware Backups deaktivieren und die Endpoint Sicherheit umgehen kann.