So läuft eine Ransomware-Attacke ab

Aus Sicht des Opfers

Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.

(Bild: ©PR Image Factory/stock.adobe.com)

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Angreifer werden geschickter

Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.

Ransomware-Meldung als Finale

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Das könnte Sie auch interessieren

Die Technologie zur Digitalisierung von Wirtschaft und Gesellschaft verändert sich ständig. Zum Jahreswechsel hat der IT-Konzern Dell eine Prognose der wichtigen Trends veröffentlicht.‣ weiterlesen

Anzeige

Im Rahmen einer strategischen Partnerschaft wollen die Industrial Digital Twin Association und Open Industry 4.0 Alliance zusammenarbeiten. Erste Kooperationsprojekte werden Ende Januar vorgestellt.‣ weiterlesen

Anzeige

Im Rahmen der Autonomous Challenge @CES hat das Team der Technischen Universität München den 2. Platz belegt. Bei Geschwindigkeiten von bis zu 270km/h belegte am Ende das Team aus Mailand der ersten Platz.‣ weiterlesen

Anzeige

Bewegungen und Standorte von Werkzeugen lassen sich im Industrial Internet of Things mit überschaubarem Aufwand weltweit im Blick halten. Netzwerk-Abdeckung der gewählten Funktechnologie vorausgesetzt. Hier könnte das bewährte und verbreitete GSM-Netz punkten, das Positionen per Laterationsverfahren errechnet.‣ weiterlesen

Exklusiv für Abonnenten

"I didn't see AI", sagte Google-Mitgründer Sergey Brin noch im Jahr 2017. Selbst einer der einflussreichsten Silicon-Valley-Unternehmer hat die Revolution durch künstliche Intelligenz nicht kommen sehen. Da überrascht es nicht, dass nur wenige Führungsteams von Unternehmen ihre Aufgaben auf den produktiven Einsatz dieser Technologie ausgerichtet haben.‣ weiterlesen

Eine Studie des Engineering-, Technologie- und Beratungsdienstleisters Expleo zeigt die allgemeine Haltung von Geschäfts- und IT-Führungskräften gegenüber Transformationsprogrammen. Demnach sehen 54 Prozent der deutschen Unternehmer einen mutigeren Ansatz für digitale Technologien als Erfolgsgarant.‣ weiterlesen