Was ist Ransomware?

In der Praxis wird bei einem Ransomwareangriff der Zugriff auf Ihre Daten blockiert, bis ein Lösegeld bezahlt wird.

Tatsächlich ist Ransomware eine Art von Malware oder Phishing-Cybersicherheitsangriff, der Dateien und Ordner auf einem Computer, Server oder Gerät zerstört oder verschlüsselt.

Sobald Geräte oder Dateien gesperrt oder verschlüsselt sind, können Cyberkriminelle Geld von den Unternehmens- oder Gerätebesitzern im Austausch für einen Schlüssel erpressen, um die verschlüsselten Daten zu entsperren. Aber selbst wenn sie bezahlt werden, geben Cyberkriminelle den Schlüssel möglicherweise nie an das Unternehmen oder den Besitzer des Geräts heraus, wodurch der Zugriff dauerhaft verhindert wird.

Wie funktionieren Ransomwareangriffe?

Ransomware kann automatisiert sein oder menschliche Interaktionen auf einer Tastatur umfassen – ein Angriff mit von Menschen platzierter Ransomware, wie bei kürzlich aufgetretenen Angriffen mit der LockBit-Ransomware.

Von Menschen durchgeführte Ransomware-Angriffe umfassen die folgenden Phasen:

1. Erste Kompromittierung: Der Bedrohungsakteur verschafft sich zunächst Zugriff auf ein System oder eine Umgebung, nachdem er Informationen darüber gesammelt hat, um Schwachstellen in der Verteidigung zu identifizieren.

2. Persistenz und Entdeckungsumgehung: Der Bedrohungsakteur verschafft sich über eine Hintertür oder einen anderen Mechanismus, der im Verborgenen arbeitet, einen Zugang zum System oder zur Umgebung, um eine Entdeckung durch Incident Response-Teams zu vermeiden.

3. Lateral Movement: Der Bedrohungsakteur nutzt den ursprünglichen Eintrittspunkt, um auf andere Systeme zuzugreifen, die mit dem kompromittierten Gerät oder der kompromittierten Netzwerkumgebung verbunden sind.

4. Zugriff auf Anmeldeinformationen: Der Bedrohungsakteur verwendet eine gefälschte Anmeldeseite, um Benutzer- oder Systemanmeldeinformationen abzuschöpfen.

5. Datendiebstahl: Der Bedrohungsakteur stiehlt Finanzdaten oder andere Daten von kompromittierten Benutzern oder Systemen.

6. Auswirkung: Der betroffene Benutzer oder die betroffene Organisation kann materielle Schäden oder Reputationsschäden davontragen.

Häufige Schadsoftware, die in Ransomware-Kampagnen verwendet wird

• Qakbot – Verwendet Phishing zum Verbreiten bösartiger Links, bösartiger Anlagen oder neuerdings, eingebetteter Bilder
• Ryuk – Datenverschlüsselung in der Regel auf Windows ausgerichtet
• Trickbot – Hat Microsoft-Anwendungen wie Excel und Word ins Visier genommen. Trickbot wurde typischerweise über E-Mail-Kampagnen verbreitet, die aktuelle Ereignisse oder finanzielle Köder nutzten, um Benutzer dazu zu verleiten, schädliche Dateianhänge zu öffnen oder auf Links zu Websites zu klicken, die die schädlichen Dateien hosten. Seit 2022 scheint die Entschärfung durch Microsoft von Kampagnen, die diese Schadsoftware verwenden, ihre Nützlichkeit unterbrochen zu haben.

Gängige Bedrohungsakteure, die mit Ransomware-Kampagnen verbunden sind

• LockBit – Finanziell motivierte Ransomware-as-a-Service (RaaS)-Kampagne und produktivster Ransomware-Bedrohungsakteur im Zeitraum 2023-24
• Black Basta – Erhält Zugriff über Spear-Phishing-E-Mails und verwendet PowerShell zum Starten von Verschlüsselungsladungen

Automatisierte Angriffe mit Ransomware

Commodity-Ransomware-Angriffe erfolgen in der Regel automatisiert. Diese Cyberangriffe können sich wie ein Virus ausbreiten, Geräte durch Methoden wie E-Mail-Phishing und Übermittlung von Schadsoftware infizieren und die Beseitigung von Schadsoftware erfordern.

Daher können Sie Ihr E-Mail-System mit Microsoft Defender für Office 365 schützen, das vor Schadsoftware und Phishingübermittlung schützt. Microsoft Defender for Endpoint arbeitet mit Defender for Office 365 zusammen, um verdächtige Aktivitäten auf Ihren Geräten automatisch zu erkennen und zu blockieren, während Microsoft Defender XDR Malware und Phishing-Versuche frühzeitig erkennt.

Angriffe mit von Menschen platzierter Ransomware

Von Menschen betriebene Ransomware ist das Ergebnis eines aktiven Angriffs durch Cyberkriminelle, die in die lokale oder cloudbasierte IT-Infrastruktur eines Unternehmens eindringen, deren Privilegien erweitern und Ransomware auf kritische Daten anwenden.

Diese Angriffe, an denen Personen aktiv beteiligt sind, zielen in der Regel auf Organisationen und nicht auf einzelne Geräte ab.

Vom Menschen gesteuert bedeutet auch, dass es menschliche Eindringlinge gibt, die Erkenntnisse über gängige System- und Sicherheitsfehlkonfigurationen nutzen. Sie versuchen, die Organisation zu infiltrieren, sich im Netzwerk zu bewegen und sich an die Umgebung und ihre Schwächen anzupassen.

Zu den typischen Merkmalen dieser von Menschen ausgeführten Angriffe mit Ransomware gehören Diebstahl von Anmeldeinformationen und Lateral Movement mit einer Erhöhung der Berechtigungen gestohlener Konten.

Die Aktivitäten können während Wartungszeitfenstern stattfinden und betreffen von Cyberkriminellen entdeckte Lücken in der Sicherheitskonfiguration. Das Ziel ist die Bereitstellung einer Ransomware-Nutzlast für alle Ressourcen mit hohen geschäftlichen Auswirkungen, welche die Bedrohungsakteure auswählen.

Wichtig

Diese Angriffe können schwerwiegende Folgen für den Geschäftsbetrieb haben und sind schwer zu bereinigen, da eine vollständige Beseitigung des durch die Angreifer verursachten Schadens erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zu Commodity-Ransomware, die gewöhnlich nur eine Schadsoftwarebehandlung erfordert, bedroht die von Menschen platzierte Ransomware Ihren Geschäftsbetrieb auch nach dem ersten Auftreten weiter.

Auswirkungen und Wahrscheinlichkeit, dass die Angriffe durch von Menschen platzierte Ransomware fortgesetzt werden

Schutz Ihrer Organisation vor Ransomware

Verhindern Sie zunächst Phishingversuche und Malware-Delivery-Methoden mithilfe von Microsoft Defender für Office 365. Mit Microsoft Defender for Endpoint können verdächtige Aktivitäten auf Ihren Geräten automatisch erkannt werden, und Microsoft Defender XDR erkennt Malware und Phishingversuche frühzeitig.

Eine umfassende Übersicht über Ransomware und Erpressung und den Schutz Ihrer Organisation erfahren Sie in der PowerPoint-Präsentation Human-Operated Ransomware Mitigation Project Plan (Projektplan zur Entschärfung von Menschen platzierter Ransomware).

Zusammenfassung des Leitfadens:

Zusammenfassung der Anweisungen im Projektplan zur Entschärfung von durch Menschen platzierte Ransomware

• Bei Ransomware und erpresserischen Angriffen steht viel auf dem Spiel.
• Die Angriffe haben jedoch Schwachstellen, die die Wahrscheinlichkeit verringern können, dass Sie angegriffen werden.
• Es gibt drei Schritte, um Ihre Infrastruktur so zu konfigurieren, dass sie die Schwächen von Exploitangriffen ausnutzen kann.

Informationen zu den drei Schritten, die dabei helfen, die Schwächen von Exploitangriffen auszunutzen, finden Sie in der Lösung zum Schützen Ihrer Organisation vor Ransomwareangriffen. Auf diese Weise können Sie Ihre IT-Infrastruktur schnell für den bestmöglichen Schutz konfigurieren:

1. Bereiten Sie Ihre Organisation so vor, dass Sie nach einem Angriff eine Wiederherstellung durchführen können, ohne das Lösegeld bezahlen zu müssen.
2. Begrenzen Sie den Umfang des Schadens eines Angriffs mit Ramsomware, indem Sie privilegierte Rollen schützen.
3. Machen Sie es für einen Bedrohungsakteur schwieriger, auf Ihre Umgebung zuzugreifen, indem Sie Risiken inkrementell beseitigen.

Laden Sie die das Poster Schützen Sie Ihre Organisation vor Ransomware für einen Überblick über die drei Phasen als Schutzebenen vor Ransomware-Angriffen.

Zusätzliche Ressourcen zur Verhinderung von Ransomware

Wichtige Informationen von Microsoft:

• Die neuesten Ransomware Trends von Microsoft, neuester Ransomware Blog von Microsoft
• Schneller Schutz vor Ransomware und Erpressung
• Microsoft Digital Defense Report 2023
• Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal
• Microsoft Incident Response Team (früher DART) – Ransomware-Ansatz und bewährte Methoden und Fallstudie

Microsoft 365:

• Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
• Schutz vor Schadsoftware und Ransomware in Microsoft 365
• Schützen Ihres Windows 10-PCs vor Ransomware
• Behandeln von Ransomware in SharePoint Online
• Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender XDR-Portal

Microsoft Defender XDR:

• Suchen nach Ransomware mit erweitertem Hunting

Microsoft Defender for Cloud-Apps:

• Erstellen Sie Richtlinien zur Anomalieerkennung in Defender for Cloud-Apps

Microsoft Azure:

• Azure-Schutzmaßnahmen für Ransomware-Angriffe
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach kompromittierter Systemidentität
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusion-Erkennung für Ransomware in Microsoft Sentinel

Microsoft Copilot für Security:

• Schutz vor menschlichen Ransomware-Angriffen mit Microsoft Copilot für Sicherheit​

Ransomware-Entschärfungsressourcen von Microsoft Security:

Die neueste Liste der Ransomware-Artikel ist im Microsoft Security-Blog verfügbar.

• Schutz Ihrer Organisation vor Ransomware (Mai 2024)

• Automatische Unterbrechung der von Menschen platzierten Angriffe durch Eindämmung kompromittierter Benutzerkonten (Oktober 2023)

• Ransomware as a Service: Verstehen der Cyberkriminalität in der Gig Economy und wie Sie sich schützen können (Mai 2022)

  Wichtige Schritte dazu, wie das Microsoft Incident Response-Team (ehemals DART/CRSP) Ransomware-Vorfalluntersuchungen durchführt.

• Ermitteln des Erholungsprozesses nach einem Ransomware-Angriff (Mai 2024)

  Empfehlungen und bewährte Methoden

• Information über aktuelle Ransomware-Bedrohungen (Juni 2024)