Ransomware im Unternehmen

So schützen Sie Ihr Business vor Erpressertrojanern

G DATA Ratgeber

Ransomware hält weltweit die Unternehmenswelt in Atem. Die Erpressertrojaner befallen ganze Netzwerke und verschlüsseln alle Daten, die sie finden können. Datenbanken, Patientenakten, CAD-Zeichnungen – nichts ist vor der ausgeklügelten Schadsoftware sicher. Aber wie funktioniert Ransomware eigentlich? Auf welchen Wegen gelangt sie ins Unternehmensnetzwerk und wie können Sie sich davor schützen?

Was heißt Ransomware?

Der englische Begriff "ransom" bedeutet "Lösegeld", was das Ziel von Ransomware bereits beschreibt. Die Schadsoftware verschlüsselt wichtige Dateien, macht sie dadurch unbrauchbar und verlangt für die Entschlüsselung die Zahlung einer nicht unerheblichen Geldsumme – meist in Form von Bitcoins, bei denen sich der Geldfluss leichter verschleiern lässt als bei herkömmlichen Währungen. Die Daten werden von der Schadsoftware als Geiseln gehalten und erst gegen die Zahlung eines Lösegelds wieder freigegeben. Aufgrund ihrer Funktionsweise werden diese Schädlinge daher oft auch als "Erpressertrojaner", "Verschlüsselungstrojaner" oder "Kryptotrojaner" bezeichnet.

Berühmte Beispiele im Unternehmensumfeld

WannaCry

In den frühen Morgenstunden des 12. Mai 2017 wurde eine massive Infektionswelle entdeckt, die PCs und Netzwerke mit der neuesten Version der WCry / WannaCry-Ransomware infiziert hat. In Spanien war der große Telekommunikationsanbieter Telefónica betroffen, zu dem die deutschen Mobilfunkanbieter E-Plus und O2 gehören. Auch Rechner des britischen Gesundheitssystems waren infiziert. Berühmt wurden die Bilder von Anzeigetafeln der Deutschen Bahn, auf denen nach einer Infektion durch WannaCry die Lösegeldforderung zu sehen war.

Petya

Petya wurde in einer Dropbox-Datei versteckt, die angeblich eine Bewerbungsmappe enthalten sollte. Statt der Unterlagen eines Bewerbers luden sich unbedarfte Personaler aber die Erpressersoftware herunter. Wurde diese Datei anschließend auf einem PC geöffnet, breitete sich Petya im System aus. Vor allem die zweite Welle im Juni 2017 mit einer aktualisierten Schadsoftware, richtete weltweit großen Schaden an. Die G DATA Experten tauften den Schädling "Petna". Petna sorgte dafür, dass in der Hamburger Zentrale des Beiersdorf-Konzerns die komplette IT ausfiel und Mondelēz zeitweise keine Milka-Schokolade mehr produzieren konnte. Genau wie WannaCry verbreitet sich Petna wurmartig im gesamten Netzwerk.

Locky

Eines der ersten bekannten Beispiele für Ransomware ist Locky. Im Februar 2016 befiel der Schädling vor allem in Deutschland zahlreiche Windows- und Apple-Rechner. Doch auch in den USA wurden Locky-Fälle bekannt: Über 15.000 Euro erbeuteten Täter von zwei US-amerikanischen Krankenhäusern, deren Krankenakten der Schädling verschlüsselt hatte. Auch deutsche Krankenhäuser waren von ähnlichen Erpressertrojanern betroffen.

Wie funktioniert Ransomware?

Bei Ransomware wird derzeit vor allem zwischen drei Typen unterschieden: Screenlocker sind eine harmlosere Variante, die lediglich den Bildschirm des Nutzers sperren und ihm den Zugang zu seinem System verweigern. Sie lassen sich relativ einfach entfernen und richten keinen weiteren Schaden an. File-Crypter verschlüsseln Dateien auf der Festplatte, sodass diese ohne den passenden Schlüssel nicht mehr wiederhergestellt werden können. Die gefährlichste Gattung sind sogenannte Wiper: Sie verschlüsseln genau wie File-Crypter die Daten auf der Festplatte und verlangen ein Lösegeld – nur ist hier erst gar nicht vorgesehen, dass sie die Daten auch tatsächlich wiederherstellen. Wiper sind darauf programmiert, möglichst viele Daten zu löschen und dadurch maximalen Schaden anzurichten – egal, ob ein Lösegeld gezahlt wurde oder nicht.

Vorsicht bei E-Mail-Anhängen

Ransomware kommt meist per E-Mail: Oft verschicken die Erpresser E-Mails mit einem schädlichen Anhang. Der Schädling tarnt sich beispielsweise als Excel-Tabelle mit Makros oder als EXE-Datei, die wie ein harmloses ZIP-Archiv aussieht. Öffnet der User die Datei, installiert er damit unwissentlich auch den Trojaner. Spätestens beim nächsten Neustart beginnt der Trojaner damit, die Dateien auf der Festplatte des Rechners sowie allen angeschlossenen Laufwerken zu verschlüsseln.

Einige Vertreter (wie zum Beispiel WannaCry) funktionieren zusätzlich wie ein Wurm und versuchen, über das Netzwerk andere Rechner zu infizieren. Bemerkenswert ist, dass die Erpresser teilweise sehr geschickt vorgehen: So hatte es der 2016 grassierende Schädling "GoldenEye" auf Personalabteilungen in Deutschland abgesehen. Die E-Mails waren in einwandfreiem Deutsch verfasst und bezogen sich auf tatsächliche Stellenausschreibungen des Unternehmens. Selbst vorsichtige Mitarbeiter in der Personalabteilung öffneten daher die angehängten Dateien und infizierten so ihre Rechner.

Auf dem Bildschirm der betroffenen Clients erscheint dann nur noch eine Lösegeldforderung, die verspricht, die Daten gegen Bezahlung wieder zu entschlüsseln. Dafür soll der Nutzer eine individuelle Seriennummer eingeben, die er auf Webseiten im Tor-Netzwerk gegen Bitcoins kaufen kann. Um der Forderung Nachdruck zu verleihen, werden oft alle paar Stunden einige Dateien gelöscht, bis schließlich keine Daten mehr übrig sind. Meist verteuert sich genauso regelmäßig die Seriennummer, um den Nutzer zu einem schnellen Handeln zu zwingen.

Wie kann ich mein Unternehmen schützen?

  • Legen Sie regelmäßig Backups an

    Sichern Sie die Daten aller Clients regelmäßig auf Netzlaufwerken, externen Festplatten oder in der Cloud. Achtung: Stellen Sie sicher, dass die Verbindung zu dem Speichermedium oder Netzlaufwerk nach jedem Backup getrennt wird – es droht sonst eine Verschlüsselung aller Backups!

  • Installieren Sie Updates und Patches

    Halten Sie Software wie das Betriebssystem, den Browser und Plug-ins stets auf dem aktuellen Stand. Sicherheitslücken in Programmen auszunutzen ist eine der beliebtesten Methoden von Cyberkriminellen. Ein zentrales Patch Management hilft Ihnen, die Software auf all Ihren Clients aktuell zu halten und Schadsoftware so möglichst wenig Angriffsfläche zu bieten.

  • Seien Sie vorsichtig bei E-Mails und Links

    Ein gesundes Misstrauen schadet nicht. Die E-Mail in Ihrem Posteingang ist voller Tippfehler? Oder verspricht Ihnen viel Geld, ohne dass Sie dafür etwas tun müssen? Sie kennen den Absender nicht? Löschen Sie verdächtige E-Mails sofort, ohne sie zu öffnen. Getarnt als Rechnungen, Bewerbungsunterlagen oder als Link zu einer interessanten Website versteckt sich der Schädling im Anhang. Besondere Vorsicht ist geboten bei ausführbaren EXE-Dateien sowie Office-Dokumenten, die mit Makros versehen sind. Am besten verhindern Sie die automatische Ausführung vom Makros in den Office-Suiten aller Clients. Sensibilisieren Sie Ihre Mitarbeiter in Seminaren dafür, vorsichtig zu sein und woran sie potentiell gefährliche Dateien und Vorgänge erkennen können.

    G DATA Sicherheitslösungen bieten einen speziellen Spamschutz mit OutbreakShield-Technologie. Dieser Schutz erkennt schädliche E-Mails noch bevor sie vom E-Mail-Programm auf den Rechner geladen werden. So wird die E-Mail mit den schädlichen Inhalten erst gar nicht zugestellt oder direkt aus dem Postfach entfernt.

  • Verwenden Sie eine aktuelle Sicherheitslösung

    Ransomware ist eine Art von Malware. Virenscanner und Verhaltensüberwachung erkennen bekannte Ransomware, bevor diese Schaden anrichten können. Ein zusätzlicher Schutz vor Exploits können die Infektion ebenfalls verhindern. Oft werden Schadprogramme auch an universellen Codeabfolgen erkannt, die typisch sind für Kompression, Verschlüsselung, Downloadroutinen, Backdoor-Aktivitäten, Tarnmechanismen oder dergleichen. Heuristische und generische Signaturen erkennen solche allgemeingültigen Befehlssequenzen auch bei bislang unbekannten Malware-Familien.

    Doch Ransomware verbreitet sich nicht nur per E-Mail - sondern auch über Webseiten oder andere Internetdienste ("Drive-by-Attacken"). G DATA Sicherheitslösungen arbeiten mit der URL-Cloud, die eine ständig aktualisierte Liste von Webseiten vorhält, die kompromittiert wurden und nun Rechner unbemerkt mit Schadsoftware versorgen. Wenn eine Seite als schädlich markiert wurde, wird der Zugang blockiert. Außerdem überprüft die G DATA Software alle im Browser eingehenden Daten auf Schadcode – seien es Dateidownloads oder aktive Skripte in der Webseite.

Zahlen Sie auf keinen Fall Lösegeld!

Auch wenn Sie das geforderte Lösegeld aufbringen, erhalten Sie im Gegenzug nur selten einen funktionierenden Key zur Entschlüsselung. Bei sogenannten "Wipern" sind Ihre Daten in jedem Fall verloren, selbst wenn Sie das Lösegeld bezahlt haben – hier ist es technisch erst gar nicht vorgesehen, dass die Daten auch wieder entschlüsselt werden können. Signalisieren Sie Zahlungsbereitschaft, nutzt es der Erpresser zudem vielleicht aus und verschlüsselt Ihre Dateien erneut, indem er gut versteckte Teile der Schadsoftware nach einer Weile reaktiviert und erneut Geld fordert. Ganz abgesehen davon, dass die Masche für die Erpresser durch die zahlenden Opfer lukrativ bleibt, was immer wieder Nachahmer mit neuer Schadsoftware auf den Plan rufen wird.

Das ist zu tun, wenn das Netzwerk infiziert wurde

Ist Ihr Netzwerk trotz aller Vorsichtsmaßnahmen von Ransomware befallen, sollten Sie die betroffenen Clients oder Server sofort isolieren. Kappen Sie alle Netzwerkverbindungen (am besten physikalisch), damit sich der Schädling nicht weiter ausbreiten kann. Setzen Sie dann die infizierten Rechner zurück und spielen Sie das jeweils letzte Backup ein. Scannen Sie alle anderen Clients und Server im Netzwerk mit einer zuverlässigen Sicherheitslösung, um eine Infektion auszuschließen. Dieser Schritt ist sehr wichtig: Manche Schädlinge verstecken sich im Betriebssystem, um erst zu einem späteren Zeitpunkt zuzuschlagen – ein auf den ersten Blick "sauberer" Client kann also durchaus von Schadsoftware befallen sein.

Falls Sie kein aktuelles Backup des befallenen Clients oder Servers haben, sind Ihre Daten dennoch nicht zwingend verloren: Vor allem für ältere Ransomwares gibt es oft bereits ein Gegenmittel. Versierte Sicherheitsexperten haben die Verschlüsselungsroutinen vieler Schädlinge geknackt und Programme entwickelt, die die Daten wieder entschlüsseln und die Ransomware unschädlich machen können. Schauen Sie im Internet nach entsprechenden Tools, die meist nach dem Schema "XY Decrypter" oder ähnlich benannt sind. 

Ist die Situation komplexer oder helfen die herkömmlichen Methoden nicht weiter, bietet sich eine professionelle Beratung durch einen erfahrenen Dienstleister aus dem Bereich IT Security an. Die Experten der G DATA Advanced Analytics bieten zum Beispiel nicht nur Erste Hilfe bei Sicherheitsvorfällen ("Incident Response"), sondern auch Maßnahmen zur Datenrettung sowie eine tiefgehende Malware-Analyse an. So können Sie nach einer Infektion sicher gehen, dass der Schädling sich nicht tief in den Systemen verbirgt und zu einem späteren Zeitpunkt erneut ausbricht. 

25253505

Lösegeld haben Opfer in den letzten zwei Jahren gezahlt. Ransomware hat sich für Cyberkriminelle zu einem Multi-Millionen-Dollar-Geschäft entwickelt.

Quelle: Research at Google, Juli 2017
Weitere Informationen

60

höchstens braucht die Ransomware "Cerber" nach der Infektion eines Computers für die vollständige Verschlüsselung.

Quelle: Research at Google, Juli 2017
Weitere Information

Simon Weiss
Online editor

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar