So läuft eine Ransomware-Attacke ab

Aus Sicht des Opfers

Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.

(Bild: ©PR Image Factory/stock.adobe.com)

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Angreifer werden geschickter

Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.

Ransomware-Meldung als Finale

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Das könnte Sie auch interessieren

In einem offenen Brief haben sich IT-Forscher verschiedener Institutionen und Unternehmen an die Politik gewandt und fordern, Lösegeldzahlungen nach Ransomware-Angriffen zu unterbinden.‣ weiterlesen

Anzeige

Exklusiv für Abonnenten

Schulungen zu organisieren ist oft mit großem Aufwand verbunden. Maschinenbauunternehmen stehen zusätzlich vor der logistischen Herausforderung, das Schulungsmaterial - darunter große Maschinen oder Maschinenteile - zur Verfügung zu stellen. Diese Hürden fallen weg, wenn Unternehmen ihre Trainings ins Metaverse verlagern. Wie das gelingen kann zeigt das Beispiel der Hess Group.‣ weiterlesen

Anzeige

Forrester Consulting hat im Auftrag von Instaclustr die Untersuchung "The Advantages of Using Free And Open Source Software vs. Open Core Software" durchgeführt. Ein Ergebnis der Studie: 84 Prozent der Befragten erwägen, eine Managed-Services-Plattform mit Open-Source-Technologien zu nutzen.‣ weiterlesen

Daten lesen, speichern und weiterleiten - darum geht es beim Thema Edge Analytics. Kai Schwab, Regional Sales Director DACH bei Crosser, erklärt im Gespräch mit dem INDUSTRIE 4.0 & MAGAZIN, welche Use Cases dafür prädestiniert sind und warum eine zentrale Datenverarbeitung immer wichtiger wird.‣ weiterlesen

Wie stehen Fach- und Führungskräfte zum zunehmenden Einsatz von Robotern? Dieser Frage ist der Robotik-Spezialist Fruitcore Robotics nachgegangen. Demnach gibt es Seitens der Befragten zwar sorgen, die Hoffnungen, die mit dieser Entwicklung verbunden sind, überwiegen jedoch.‣ weiterlesen

Nach wie vor herrscht in vielen Unternehmen Unsicherheit darüber, wie ein guter Einstieg in das IoT gelingen kann. Rike Ermeling, Produktmanagerin bei Reichelt Elektronik, erklärt, wie IoT-Neulinge mit den richtigen Sensoren durchstarten können.‣ weiterlesen