Richtiger Umgang mit Ransomware
Die Anatomie einer Ransomware-Attacke
Fortsetzung des Artikels von Teil 1
Gewinnmaximierung für Cyber-Kriminelle
Bis vor kurzer Zeit waren die meisten Ransomware-Attacken einfacher, opportunistischer Natur und betrafen die Computer von Privatanwendern oder kleinen Unternehmen. Die Höhe der Lösegeldforderung bewegte sich meist im Rahmen von ein paar hundert Euro pro Einzel-PC. Diese Methode bot und bietet Kriminellen, die davon ausgehen, mit Endanwendern ein leichtes Spiel zu haben, ein lukratives Geschäftsmodell. Inzwischen aber richten sie ihr Interesse auch auf größere Organisationen, die über eine höheres Budget zur Zahlung von Lösegeldern verfügen. Bei diesen potenziellen Opfern finden sich außerdem wichtigere Dateien und Computersysteme, ohne die das Tagesgeschäft nicht funktioniert.
Während einzelne Anwender und kleine Firmen meist Typen von Ransomware zum Opfer fielen, die massenhaft in Umlauf gebracht wurden und sich über Phishing-Mails, Drive-by-Downloads oder kompromittierte Webseiten verbreiteten, verlagern die Angreifer ihre Taktik inzwischen auf gezieltere Ransomware-Attacken. Immer häufiger suchen sie sich bewusst eine bestimmte, zahlungskräftige Organisation aus, die ohne ihre IT-Systeme nicht lange bestehen kann und deshalb leicht zu überzeugen ist, eine empfindlich hohe Lösegeldsumme zu zahlen.
Die Täter verstehen sich auf die Mathematik der Gewinnmaximierung. Gezielt attackierte Organisationen müssen damit rechnen, mit hohen Lösegeldforderungen konfrontiert zu werden, zu deren Festlegung sich die Angreifer genau überlegt haben, was das Opfer wohl zu zahlen bereit sein könnte. Oberflächlich betrachtet ähneln sich die Attacken, die auf massenhaft verteilter Malware basieren und diejenigen, die gezielt ablaufen. Tatsächlich aber gibt es technische Unterschiede. Angriffe mit Massen-Ransomware laufen typischerweise automatisiert und sehr schnell ab – oft vergehen von der ersten Infektion bis zur Lösegeldforderung nicht mehr als 15 Minuten – und die Hacker sind darin geübt, sie perfekt zu orchestrieren. Gezielte Attacken dagegen gleichen weitgehend den bekannten Advanced Persistent Threats (APTs). Sie werden meist von einer Person und nicht von einem automatisierten System gesteuert und schreiten bedeutend langsamer voran. Auch die Werkzeuge für beide Arten von Angriffen unterscheiden sich. Massen-Attacken bedienen sich häufiger spezifischer oder nur für einen Angriff entwickelter Tools, während die Kriminellen bei gezielten Aktionen Standard-Werkzeuge für die Reconaissance-Phase nutzen, für den Verschlüsselungsvorgang aber auf maßgeschneiderte Software zurückgreifen.
- Die Anatomie einer Ransomware-Attacke
- Gewinnmaximierung für Cyber-Kriminelle
- Umgang mit einer Ransomware-Attacke
- Den Schaden eingrenzen
Lesen Sie mehr zum Thema
