So läuft eine Ransomware-Attacke ab

Aus Sicht des Opfers

Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.

(Bild: ©PR Image Factory/stock.adobe.com)

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Angreifer werden geschickter

Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.

Ransomware-Meldung als Finale

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Das könnte Sie auch interessieren

Mehr als eine Milliarde Schadprogramme verzeichnet das Bundesamt für Sicherheit in der Informationstechnik im aktuellen Lagebericht. Und auch die Corona-Pandemie wirkt sich auf die aktuelle Sicherheitslage aus.‣ weiterlesen

Anzeige

Ein alltägliches Gespräch zu verfolgen und genau wiederzugeben ist eine große Herausforderung in der Forschung an künstlicher Intelligenz (KI). Forschern des Karlsruher Instituts für Technologie (KIT) ist es nun gelungen, mit einem Computersystem die Erkennungsgenauigkeit des Menschen beim Erkennen solcher spontan gesprochener Sprache zu übertreffen.‣ weiterlesen

Anzeige

Das Bewusstsein für ethische Fragestellungen beim Einsatz von künstlicher Intelligenz ist in Unternehmen und Verwaltungen gestiegen. Dennoch fällt ihre diesjährige Handlungsbilanz gemischt aus, da nur in Teilbereichen Verbesserungen erzielt wurden. Zu diesen und weiteren Erkenntnissen kommt eine Studie von Capgemin für die 2.900 Konsumenten sowie 900 Führungskräfte befragt wurden.‣ weiterlesen

Wie der ‘Digital Transformation Index 2020‘ von Dell Technologies zeigt, haben Unternehmen in Europa ihre Programme zur digitalen Transformation in diesem Jahr entscheidend vorangetrieben.‣ weiterlesen

Exklusiv für Abonnenten

Langsam, aber sicher steigen die Infektionszahlen in Deutschland wieder an – und damit die Sorge produzierender Unternehmen, wie sie Gesundheit und Hygiene in ihrem Betrieb gewährleisten können, ohne dabei einen größeren Personal- oder Produktionsausfall in Kauf nehmen zu müssen. Das Vorhandensein eines Hygienekonzeptes ist der eine, deren Einhaltung und Prüfung der andere wichtige Baustein zur Risikominimierung in Unternehmen.‣ weiterlesen

Exklusiv für Abonnenten

Die Herausforderung, übergreifende und reibungslose Abläufe von Unternehmensprozessen zu gewährleisten, bekommt während der aktuellen Covid-19-Krise nochmal eine neue Dimension. Die Themen mobiles Arbeiten, Automatisierung von Prozessen sowie die Vernetzung von Systemen beschäftigen Unternehmen und sorgen für einen Umbruch und massive strukturelle Veränderungen. Digitalisierung und Industrie 4.0 sind dabei keine Kür mehr, sondern eine Voraussetzung für optimierte Unternehmensprozesse.‣ weiterlesen