Was ist Ransomware?

In der Praxis wird bei einem Ransomwareangriff der Zugriff auf Ihre Daten blockiert, bis ein Lösegeld bezahlt wird.

Tatsächlich ist Ransomware eine Art von Malware oder Phishing-Cybersicherheitsangriff, der Dateien und Ordner auf einem Computer, Server oder Gerät zerstört oder verschlüsselt.

Sobald Geräte oder Dateien gesperrt oder verschlüsselt sind, können Cyberkriminelle Geld von den Unternehmens- oder Gerätebesitzern im Austausch für einen Schlüssel erpressen, um die verschlüsselten Daten zu entsperren. Aber selbst wenn sie bezahlt werden, geben Cyberkriminelle den Schlüssel möglicherweise nie an das Unternehmen oder den Besitzer des Geräts heraus, wodurch der Zugriff dauerhaft verhindert wird.

Microsoft Copilot für Sicherheit nutzt KI, um Ransomware-Angriffe zu mindern. Weitere Microsoft-Lösungen für Ransomware finden Sie unter Ransomware-Lösungsbibliothek.

Wie funktionieren Ransomwareangriffe?

Ransomware kann automatisiert sein oder menschliche Interaktionen auf einer Tastatur umfassen – ein Angriff mit von Menschen platzierter Ransomware, wie bei kürzlich aufgetretenen Angriffen mit der LockBit-Ransomware.

Von Menschen durchgeführte Ransomware-Angriffe umfassen die folgenden Phasen:

  1. Erste Kompromittierung: Der Bedrohungsakteur verschafft sich zunächst Zugriff auf ein System oder eine Umgebung, nachdem er Informationen darüber gesammelt hat, um Schwachstellen in der Verteidigung zu identifizieren.

  2. Persistenz und Entdeckungsumgehung: Der Bedrohungsakteur verschafft sich über eine Hintertür oder einen anderen Mechanismus, der im Verborgenen arbeitet, einen Zugang zum System oder zur Umgebung, um eine Entdeckung durch Incident Response-Teams zu vermeiden.

  3. Lateral Movement: Der Bedrohungsakteur nutzt den ursprünglichen Eintrittspunkt, um auf andere Systeme zuzugreifen, die mit dem kompromittierten Gerät oder der kompromittierten Netzwerkumgebung verbunden sind.

  4. Zugriff auf Anmeldeinformationen: Der Bedrohungsakteur verwendet eine gefälschte Anmeldeseite, um Benutzer- oder Systemanmeldeinformationen abzuschöpfen.

  5. Datendiebstahl: Der Bedrohungsakteur stiehlt Finanzdaten oder andere Daten von kompromittierten Benutzern oder Systemen.

  6. Auswirkung: Der betroffene Benutzer oder die betroffene Organisation kann materielle Schäden oder Reputationsschäden davontragen.

Häufige Schadsoftware, die in Ransomware-Kampagnen verwendet wird

  • Qakbot – Verwendet Phishing zum Verbreiten bösartiger Links, bösartiger Anlagen und zum Ablegen bösartiger Nutzlasten wie Kobalt Strike Beacon

  • Ryuk – Datenverschlüsselung in der Regel auf Windows ausgerichtet

  • Trickbot – Hat Microsoft-Anwendungen wie Excel und Word ins Visier genommen. Trickbot wurde typischerweise über E-Mail-Kampagnen verbreitet, die aktuelle Ereignisse oder finanzielle Köder nutzten, um Benutzer dazu zu verleiten, schädliche Dateianhänge zu öffnen oder auf Links zu Websites zu klicken, die die schädlichen Dateien hosten. Seit 2022 scheint die Entschärfung durch Microsoft von Kampagnen, die diese Schadsoftware verwenden, ihre Nützlichkeit unterbrochen zu haben.

Gängige Bedrohungsakteure, die mit Ransomware-Kampagnen verbunden sind

  • LockBit – Finanziell motivierte Ransomware-as-a-Service (RaaS)-Kampagne und produktivster Ransomware-Bedrohungsakteur im Zeitraum 2023-24
  • Black Basta – Erhält Zugriff über Spear-Phishing-E-Mails und verwendet PowerShell zum Starten von Verschlüsselungsladungen

Wie Microsoft bei einem laufenden Ransomware-Angriff helfen kann

Um laufende Ransomware-Angriffe zu mindern, kann Microsoft Incident Response Microsoft Defender for Identity nutzen und bereitstellen – eine cloudbasierte Sicherheitslösung, die hilft, Identitätsbedrohungen zu erkennen und darauf zu reagieren. Das Frühzeitige Bereitstellen der Identitätsüberwachung in die Reaktion auf Vorfälle unterstützt das Sicherheitsteam der betroffenen Organisation, um die Kontrolle wieder zu erlangen. Die Reaktion auf Microsoft-Vorfälle verwendet Defender for Identity, um den Vorfallumfang und betroffene Konten zu identifizieren, kritische Infrastruktur zu schützen und den Bedrohungsakteur zu entfernen. Das Reaktionsteam bringt dann Microsoft Defender für Endpunkt ein, um die Bewegungen des Bedrohungsakteurs nachzuverfolgen und ihre Versuche, kompromittierte Konten zu verwenden, um die Umgebung erneut zu verwenden. Nachdem der Vorfall und dieregaining- und vollständige Administrative Kontrolle über die Umgebung enthalten sind, arbeitet Microsoft Incident Response mit dem Kunden zusammen, um zukünftige Cyberangriffe zu verhindern.

Automatisierte Angriffe mit Ransomware

Commodity-Ransomware-Angriffe erfolgen in der Regel automatisiert. Diese Cyberangriffe können sich wie ein Virus ausbreiten, Geräte durch Methoden wie E-Mail-Phishing und Übermittlung von Schadsoftware infizieren und die Beseitigung von Schadsoftware erfordern.

Daher können Sie Ihr E-Mail-System mit Microsoft Defender für Office 365 schützen, das vor Schadsoftware und Phishingübermittlung schützt. Microsoft Defender for Endpoint arbeitet mit Defender for Office 365 zusammen, um verdächtige Aktivitäten auf Ihren Geräten automatisch zu erkennen und zu blockieren, während Microsoft Defender XDR Malware und Phishing-Versuche frühzeitig erkennt.

Angriffe mit von Menschen platzierter Ransomware

Von Menschen betriebene Ransomware ist das Ergebnis eines aktiven Angriffs durch Cyberkriminelle, die in die lokale oder cloudbasierte IT-Infrastruktur eines Unternehmens eindringen, deren Privilegien erweitern und Ransomware auf kritische Daten anwenden.

Diese Angriffe, an denen Personen aktiv beteiligt sind, zielen in der Regel auf Organisationen und nicht auf einzelne Geräte ab.

Vom Menschen gesteuert bedeutet auch, dass es menschliche Eindringlinge gibt, die Erkenntnisse über gängige System- und Sicherheitsfehlkonfigurationen nutzen. Sie versuchen, die Organisation zu infiltrieren, sich im Netzwerk zu bewegen und sich an die Umgebung und ihre Schwächen anzupassen.

Zu den typischen Merkmalen dieser von Menschen ausgeführten Angriffe mit Ransomware gehören Diebstahl von Anmeldeinformationen und Lateral Movement mit einer Erhöhung der Berechtigungen gestohlener Konten.

Die Aktivitäten können während Wartungszeitfenstern stattfinden und betreffen von Cyberkriminellen entdeckte Lücken in der Sicherheitskonfiguration. Das Ziel ist die Bereitstellung einer Ransomware-Nutzlast für alle Ressourcen mit hohen geschäftlichen Auswirkungen, welche die Bedrohungsakteure auswählen.

Wichtig

Diese Angriffe können schwerwiegende Folgen für den Geschäftsbetrieb haben und sind schwer zu bereinigen, da eine vollständige Beseitigung des durch die Angreifer verursachten Schadens erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zu Commodity-Ransomware, die gewöhnlich nur eine Schadsoftwarebehandlung erfordert, bedroht die von Menschen platzierte Ransomware Ihren Geschäftsbetrieb auch nach dem ersten Auftreten weiter.

Auswirkungen und Wahrscheinlichkeit, dass die Angriffe durch von Menschen platzierte Ransomware fortgesetzt werden

Schutz Ihrer Organisation vor Ransomware

Verhindern Sie zunächst Phishingversuche und Malware-Delivery-Methoden mithilfe von Microsoft Defender für Office 365. Mit Microsoft Defender for Endpoint können verdächtige Aktivitäten auf Ihren Geräten automatisch erkannt werden, und Microsoft Defender XDR erkennt Malware und Phishingversuche frühzeitig.

Eine umfassende Übersicht über Ransomware und Erpressung und den Schutz Ihrer Organisation erfahren Sie in der PowerPoint-Präsentation Human-Operated Ransomware Mitigation Project Plan (Projektplan zur Entschärfung von Menschen platzierter Ransomware).

Folgen Sie dem Ansatz der Microsoft Incident Response zur Verhinderung und Entschärfung von Ransomware.

  1. Bewerten Sie die Situation, indem Sie die verdächtige Aktivität analysieren, die Ihr Team auf den Angriff aufmerksam gemacht hat.

  2. Wann haben Sie zum ersten Mal von dem Vorfall erfahren? Welche Protokolle sind verfügbar und gibt es Anzeichen dafür, dass der Akteur derzeit auf Systeme zugreift?

  3. Identifizieren Sie die betroffenen Branchenanwendungen und erhalten Sie alle betroffenen Systeme wieder online. Erfordert die betroffene Anwendung eine Identität, die möglicherweise kompromittiert wurde?

  4. Sind Sicherungen der Anwendung, Konfiguration und Daten mithilfe einer Wiederherstellungsübung verfügbar und regelmäßig überprüft?

  5. Ermitteln Sie den Kompromittierungswiederherstellungsprozess (Compromise Recovery, CR), um den Bedrohungsakteur aus der Umgebung zu entfernen.

Hier ist eine Zusammenfassung der Von Microsoft betriebenen Ransomware-Gegenmaßnahmen-Projektplan:

Zusammenfassung der Anweisungen im Projektplan zur Entschärfung von durch Menschen platzierte Ransomware

  • Bei Ransomware und erpresserischen Angriffen steht viel auf dem Spiel.
  • Die Angriffe haben jedoch Schwachstellen, die die Wahrscheinlichkeit verringern können, dass Sie angegriffen werden.
  • Es gibt drei Schritte, um Ihre Infrastruktur so zu konfigurieren, dass sie die Schwächen von Exploitangriffen ausnutzen kann.

Informationen zu den drei Schritten, die dabei helfen, die Schwächen von Exploitangriffen auszunutzen, finden Sie in der Lösung zum Schützen Ihrer Organisation vor Ransomwareangriffen. Auf diese Weise können Sie Ihre IT-Infrastruktur schnell für den bestmöglichen Schutz konfigurieren:

  1. Bereiten Sie Ihre Organisation so vor, dass Sie nach einem Angriff eine Wiederherstellung durchführen können, ohne das Lösegeld bezahlen zu müssen.
  2. Begrenzen Sie den Umfang des Schadens eines Angriffs mit Ramsomware, indem Sie privilegierte Rollen schützen.
  3. Machen Sie es für einen Bedrohungsakteur schwieriger, auf Ihre Umgebung zuzugreifen, indem Sie Risiken inkrementell beseitigen.

Die drei Schritte zum Schutz vor Ransomware und Erpressung

Laden Sie die das Poster Schützen Sie Ihre Organisation vor Ransomware für einen Überblick über die drei Phasen als Schutzebenen vor Ransomware-Angriffen.

Poster „Schützen Ihrer Organisation vor Ransomware“

Zusätzliche Ressourcen zur Verhinderung von Ransomware

Wichtige Informationen von Microsoft:

Microsoft Defender XDR:

Microsoft Defender for Cloud-Apps:

Microsoft Azure:

Microsoft Copilot für Security:

Zu den wichtigsten Strategien zur Eindämmung von OpenAI-Ransomware gehören laut ChatGPT folgende:

  1. Trainingsdatenkuratierung

  2. Sicherheitsschichten und Filter

  3. Empirische Tests und Red Teaming

  4. Kontinuierliche Überwachung

  5. Ausrichtungs- und Sicherheitsforschung

  6. Community-Berichterstellung und Feedback

  7. Partnerschaften und Richtlinien

Ausführlichere Informationen finden Sie in der offiziellen Dokumentation von OpenAI zu ihrem Ansatz für Sicherheit und Schutz vor Missbrauch bei der KI.

Ransomware-Entschärfungsressourcen von Microsoft Security:

Die neueste Liste der Ransomware-Artikel ist im Microsoft Security-Blog verfügbar.