Freigeben über


Was ist Ransomware?

In der Praxis wird bei einem Ransomwareangriff der Zugriff auf Ihre Daten blockiert, bis ein Lösegeld bezahlt wird.

Tatsächlich ist Ransomware eine Art von Malware oder Phishing-Cybersicherheitsangriff, der Dateien und Ordner auf einem Computer, Server oder Gerät zerstört oder verschlüsselt.

Sobald Geräte oder Dateien gesperrt oder verschlüsselt sind, können Cyberkriminelle Geld von den Unternehmens- oder Gerätebesitzern im Austausch für einen Schlüssel erpressen, um die verschlüsselten Daten zu entsperren. Aber selbst wenn sie bezahlt werden, geben Cyberkriminelle den Schlüssel möglicherweise nie an das Unternehmen oder den Besitzer des Geräts heraus, wodurch der Zugriff dauerhaft verhindert wird.

Wie funktionieren Ransomwareangriffe?

Ransomware kann automatisiert sein oder menschliche Interaktionen auf einer Tastatur umfassen – ein Angriff mit von Menschen platzierter Ransomware, wie bei kürzlich aufgetretenen Angriffen mit der LockBit-Ransomware.

Von Menschen durchgeführte Ransomware-Angriffe umfassen die folgenden Phasen:

  1. Erste Kompromittierung: Der Bedrohungsakteur verschafft sich zunächst Zugriff auf ein System oder eine Umgebung, nachdem er Informationen darüber gesammelt hat, um Schwachstellen in der Verteidigung zu identifizieren.

  2. Persistenz und Entdeckungsumgehung: Der Bedrohungsakteur verschafft sich über eine Hintertür oder einen anderen Mechanismus, der im Verborgenen arbeitet, einen Zugang zum System oder zur Umgebung, um eine Entdeckung durch Incident Response-Teams zu vermeiden.

  3. Lateral Movement: Der Bedrohungsakteur nutzt den ursprünglichen Eintrittspunkt, um auf andere Systeme zuzugreifen, die mit dem kompromittierten Gerät oder der kompromittierten Netzwerkumgebung verbunden sind.

  4. Zugriff auf Anmeldeinformationen: Der Bedrohungsakteur verwendet eine gefälschte Anmeldeseite, um Benutzer- oder Systemanmeldeinformationen abzuschöpfen.

  5. Datendiebstahl: Der Bedrohungsakteur stiehlt Finanzdaten oder andere Daten von kompromittierten Benutzern oder Systemen.

  6. Auswirkung: Der betroffene Benutzer oder die betroffene Organisation kann materielle Schäden oder Reputationsschäden davontragen.

Automatisierte Angriffe mit Ransomware

Commodity-Ransomware-Angriffe erfolgen in der Regel automatisiert. Diese Cyberangriffe können sich wie ein Virus ausbreiten, Geräte durch Methoden wie E-Mail-Phishing und Übermittlung von Schadsoftware infizieren und die Beseitigung von Schadsoftware erfordern.

Daher können Sie Ihr E-Mail-System mit Microsoft Defender für Office 365 schützen, das vor Schadsoftware und Phishingübermittlung schützt. Microsoft Defender for Endpoint arbeitet mit Defender for Office 365 zusammen, um verdächtige Aktivitäten auf Ihren Geräten automatisch zu erkennen und zu blockieren, während Microsoft Defender XDR Malware und Phishing-Versuche frühzeitig erkennt.

Angriffe mit von Menschen platzierter Ransomware

Von Menschen betriebene Ransomware ist das Ergebnis eines aktiven Angriffs durch Cyberkriminelle, die in die lokale oder cloudbasierte IT-Infrastruktur eines Unternehmens eindringen, deren Privilegien erweitern und Ransomware auf kritische Daten anwenden.

Diese Angriffe, an denen Personen aktiv beteiligt sind, zielen in der Regel auf Organisationen und nicht auf einzelne Geräte ab.

Vom Menschen gesteuert bedeutet auch, dass es menschliche Eindringlinge gibt, die Erkenntnisse über gängige System- und Sicherheitsfehlkonfigurationen nutzen. Sie versuchen, die Organisation zu infiltrieren, sich im Netzwerk zu bewegen und sich an die Umgebung und ihre Schwächen anzupassen.

Zu den typischen Merkmalen dieser von Menschen ausgeführten Angriffe mit Ransomware gehören Diebstahl von Anmeldeinformationen und Lateral Movement mit einer Erhöhung der Berechtigungen gestohlener Konten.

Die Aktivitäten können während Wartungszeitfenstern stattfinden und betreffen von Cyberkriminellen entdeckte Lücken in der Sicherheitskonfiguration. Das Ziel ist die Bereitstellung einer Ransomware-Nutzlast für alle Ressourcen mit hohen geschäftlichen Auswirkungen, welche die Bedrohungsakteure auswählen.

Wichtig

Diese Angriffe können schwerwiegende Folgen für den Geschäftsbetrieb haben und sind schwer zu bereinigen, da eine vollständige Beseitigung des durch die Angreifer verursachten Schadens erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zu Commodity-Ransomware, die gewöhnlich nur eine Schadsoftwarebehandlung erfordert, bedroht die von Menschen platzierte Ransomware Ihren Geschäftsbetrieb auch nach dem ersten Auftreten weiter.

Auswirkungen und Wahrscheinlichkeit, dass die Angriffe durch von Menschen platzierte Ransomware fortgesetzt werden

Schutz Ihrer Organisation vor Ransomware

Verhindern Sie zunächst Phishingversuche und Malware-Delivery-Methoden mithilfe von Microsoft Defender für Office 365. Mit Microsoft Defender for Endpoint können verdächtige Aktivitäten auf Ihren Geräten automatisch erkannt werden, und Microsoft Defender XDR erkennt Malware und Phishingversuche frühzeitig.

Eine umfassende Übersicht über Ransomware und Erpressung und den Schutz Ihrer Organisation erfahren Sie in der PowerPoint-Präsentation Human-Operated Ransomware Mitigation Project Plan (Projektplan zur Entschärfung von Menschen platzierter Ransomware).

Zusammenfassung des Leitfadens:

Zusammenfassung der Anweisungen im Projektplan zur Entschärfung von durch Menschen platzierte Ransomware

  • Bei Ransomware und erpresserischen Angriffen steht viel auf dem Spiel.
  • Die Angriffe haben jedoch Schwachstellen, die die Wahrscheinlichkeit verringern können, dass Sie angegriffen werden.
  • Es gibt drei Schritte, um Ihre Infrastruktur so zu konfigurieren, dass sie die Schwächen von Exploitangriffen ausnutzen kann.

Informationen zu den drei Schritten, die dabei helfen, die Schwächen von Exploitangriffen auszunutzen, finden Sie in der Lösung zum Schützen Ihrer Organisation vor Ransomwareangriffen. Auf diese Weise können Sie Ihre IT-Infrastruktur schnell für den bestmöglichen Schutz konfigurieren:

  1. Bereiten Sie Ihre Organisation so vor, dass Sie nach einem Angriff eine Wiederherstellung durchführen können, ohne das Lösegeld bezahlen zu müssen.
  2. Begrenzen Sie den Umfang des Schadens eines Angriffs mit Ramsomware, indem Sie privilegierte Rollen schützen.
  3. Machen Sie es für einen Bedrohungsakteur schwieriger, auf Ihre Umgebung zuzugreifen, indem Sie Risiken inkrementell beseitigen.

Die drei Schritte zum Schutz vor Ransomware und Erpressung

Laden Sie die das Poster Schützen Sie Ihre Organisation vor Ransomware für einen Überblick über die drei Phasen als Schutzebenen vor Ransomware-Angriffen.

Poster „Schützen Ihrer Organisation vor Ransomware“

Zusätzliche Ressourcen zur Verhinderung von Ransomware

Wichtige Informationen von Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Defender for Cloud-Apps:

Microsoft Azure:

Blogbeiträge des Microsoft-Sicherheitsteams:

Für die neueste Liste der Ransomware-Artikel im Microsoft Security-Blog, klicken Sie hier.