Bernd Rehbein Datenschutzberatung Logo

Ran­som­wa­re

Der Begriff Ran­som­wa­re steht für eine Art von Schad­pro­gram­men, die den Zugriff auf Daten und Sys­te­me ein­schrän­ken oder unterbinden.

Für die Frei­ga­be wird dann ein Löse­geld (eng­lisch: Ran­som) verlangt.

Ent­we­der sperrt ein sol­ches Schad­pro­gramm den kom­plet­ten Zugriff auf das Sys­tem oder es ver­schlüs­selt bestimm­te Nutzerdaten.

Beson­ders ver­brei­tet ist Ran­som­wa­re, die sich gegen Win­dows-Rech­ner richtet.

Prin­zi­pi­ell aber kön­nen alle Sys­te­me von Ran­som­wa­re befal­len werden.

Die­ses ist für Ver­ant­wort­li­che ein abso­lu­ter Alp­traum, denn eben waren die Daten noch ein­wand­frei zu benut­zen und nur ein paar Sekun­den spä­ter ist alles ver­schlüs­selt und damit unbrauchbar.

Angrif­fe mit Ran­som­wa­re sind kei­ne Sel­ten­heit und Dou­ble Extor­ti­on ein belieb­tes Szenario.

Was das genau ist und wie sol­che Angrif­fe ablau­fen, ver­rät der fol­gen­de Beitrag.

Was ist Dou­ble Extor­ti­on Ransomware?

Bei übli­chen Angrif­fen mit Ran­som­wa­re gibt es zumeist ein Druckmittel.

Die Daten eines oder meh­re­rer Sys­te­me wer­den verschlüsselt.

Für die Ent­schlüs­se­lung wird ein Löse­geld gefordert.

Bei Dou­ble Extor­ti­on gilt das Mot­to „dop­pelt hält besser“.

Hier­bei ergän­zen die Angrei­fer wei­te­re Druckmittel.

Wört­lich über­setzt bedeu­tet Dou­ble Extor­ti­on näm­lich “dop­pel­te Erpressung“.

Es geht jedoch nicht um eine mehr­fa­che Erpres­sung im eigent­li­chen Sinne.

Viel­mehr geht es um den Ein­satz meh­re­rer Druck­mit­tel für die Erpres­sung, um die Löse­geld­zah­lung für das betrof­fe­ne Unter­neh­men als unum­gäng­lich darzustellen.

Die Druck­mit­tel der Angreifer

Das Schlimms­te neben Unbrauch­bar­ma­chung der eige­nen Unter­neh­mens­da­ten ist die Ver­öf­fent­li­chung fir­men­in­ter­ner Geheim­nis­se und sen­si­bler Daten.

Bei der Dou­ble Extor­ti­on kopie­ren die Angrei­fer zumeist die Daten vor ihrer Verschlüsselung.

Dabei bevor­zu­gen sie mög­lichst sen­si­ble Infor­ma­tio­nen und laden die­se häu­fig in eine ihnen zugäng­li­che Cloud hoch. Im wei­te­ren Ver­lauf wird dann mit der Ver­öf­fent­li­chung oder Ver­stei­ge­rung von genau die­sen Daten gedroht.

Dar­über hin­aus gibt es noch ande­re pro­ba­te Mit­tel, um den Druck auf ein Unter­neh­men zu erhöhen.

Häu­fig wer­den soge­nann­te DDoS-Angrif­fe (Dis­tri­bu­t­ed Deni­al Of Ser­vice) auf aus­ge­wähl­te Diens­te angedroht.

Außer­dem kön­nen Angrei­fer häu­fig vie­le Infor­ma­tio­nen auf den Sys­te­men gewin­nen, die eben­falls als Druck­mit­tel ein­setz­bar sind.

Ein Bei­spiel sind fest­ge­stell­te Ver­stö­ße gegen die DSGVO.

Hier­bei lie­gen die Löse­geld­for­de­run­gen dann häu­fig unter dem Buß­geld, wel­ches zu erwar­ten wäre. Damit wol­len die Angrei­fer die Unter­neh­men vor der öffent­li­chen Blö­ße und den Kon­se­quen­zen der Auf­sichts­be­hör­den „schüt­zen“.

Jeder Angriff besitzt sei­ne eige­nen Abläu­fe. Es gibt jedoch gän­gi­ge Sze­na­ri­en, die sich bei die­ser Art von Angrif­fen immer wie­der zeigen.

Der Angriff

Als ers­tes wird das Sys­tem kom­pro­mi­tiert, dabei exis­tie­ren eine Viel­zahl an Angriffs­mög­lich­kei­ten zum Ein­drin­gen und Infil­trie­ren vom System.

Durch Phis­hing-E-Mails, Sicher­heits­lü­cken in Soft­ware durch feh­len­de Updates und Sicher­heits­patches, sowie Man­gel­haf­te Fire­wall­kon­fi­gu­ra­tio­nen und Kom­pro­mit­tie­rung über extern ange­schlos­se­ne Geräte.

Das Ein­drin­gen

Nach erfolg­rei­chem Aus­nut­zen des Ein­falls­to­res folgt der nächs­te Schritt.

Anfangs haben die meis­ten Angrei­fer zum Ziel, ihren Zugriff aus­zu­wei­ten und meh­re­re Sys­te­me zu infil­trie­ren. Anschlie­ßend ist das Ziel das Aus­spä­hen grö­ße­rer Datenmengen.

Dafür wer­den häu­fig simp­le Tools und Pro­to­kol­le ver­wen­det. Ein typi­sches Bei­spiel wäre die Wei­ter­ver­brei­tung über das Remo­te-Desk­top-Pro­to­koll, sofern die­ses frei­ge­ge­ben ist.

Dar­über hin­aus impli­ziert die­se Pha­se zumeist noch den Ver­such, höhe­re Rech­te auf den Sys­te­men zu erlan­gen. Die soge­nann­te Pri­vi­le­ge Esca­la­ti­on soll dem Angrei­fer erhöh­te Rech­te ver­schaf­fen, um mehr Mög­lich­kei­ten und Ein­bli­cke auf den Sys­te­men zu erhalten.

Der Daten­dieb­stahl

Die Angrei­fer haben mitt­ler­wei­le einen Über­blick über die Infra­struk­tur und bewe­gen sich mit erhöh­ten Rech­ten von Sys­tem zu Sys­tem. Außer­dem erken­nen die Angrei­fer, wel­che Daten von Bedeu­tung für das Unter­neh­men sind.

So fan­gen sie anschlie­ßend an, die­se zu kopie­ren und abzuziehen.

Hier­für gibt es eben­falls meh­re­re Metho­den. Eine häu­fi­ge Metho­de ist das Hoch­la­den auf einen Cloud­spei­cher über den Brow­ser. Auf die­sen haben die Angrei­fer Zugriff, um die Daten wie­der herunterzuladen.

Die Ver­schlüs­se­lung

Durch die Pha­se der Daten-Exfil­tra­ti­on haben die Angrei­fer alles Not­wen­di­ge für sich gesichert.

Abschlie­ßend beginnt der eigent­li­che Angriff. Es wird eine Ran­som­wa­re durch die Angrei­fer plat­ziert und aus­ge­führt. Dar­aus resul­tiert eine Ver­schlüs­se­lung aller erreich­ba­ren Daten.

Die Erpres­sung

Meis­tens beinhal­tet dies auch das Able­gen einer Notiz. Die­se soge­nann­te Ran­som­no­te ist meis­tens eine Textdatei.

Sie ent­hält den Erpres­ser­brief mit Zah­lungs­auf­for­de­rung und der Mög­lich­keit der Kon­takt­auf­nah­me. Dar­über hin­aus wird meis­tens mit der Ver­öf­fent­li­chung oder Ver­stei­ge­rung der exfil­trier­ten Daten gedroht.

Der Schutz gegen Dou­ble Extor­ti­on Angriffe

Angrif­fe mit Ran­som­wa­re stel­len für Unter­neh­men eine gro­ße Her­aus­for­de­rung dar.

Es gibt aber Maß­nah­men, um sich vor sol­chen Angrif­fen zu schüt­zen. Eine wirk­sa­me Schutz­stra­te­gie gestal­tet sich dabei indi­vi­du­ell. Sie ist abhän­gig von den Gege­ben­hei­ten der zu schüt­zen­den Infrastruktur.

Nicht jede effek­ti­ve Maß­nah­me ist auch für jedes Unter­neh­men umsetzbar.

Doch durch Awa­reness-Trai­nings und Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, dem Ein­satz von Spam­fil­tern für E‑Mails und Web­fil­tern für die Inter­net­nut­zung, sowie Sper­ren nicht benö­tig­ter Ports und dem zeit­na­hen Ein­spie­len von Updates und Patches wird das Risi­ko minimiert.

Was tun bei einem Dou­ble Extor­ti­on Angriff

Zunächst gibt es vie­le sinn­vol­le Maß­nah­men, um im Fal­le eines Angriffs kei­nem voll­stän­di­gen Kon­troll­ver­lust zu unterliegen.

Dar­über hin­aus gibt es wei­te­re Maß­nah­men, um den dro­hen­den Scha­den zu begren­zen. Ein Über­wa­chung der Sys­te­me auf Ano­ma­lien und der Ein­hal­tung der DSGVO und ande­rer Vor­schrif­ten, um Erpress­bar­keit zu ver­min­dern sind nur eini­ge Wich­ti­ge Maßnahmen.

Also las­sen Sie sich gut beraten.

Add Comment