So läuft eine Ransomware-Attacke ab

Aus Sicht des Opfers

Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.

(Bild: ©PR Image Factory/stock.adobe.com)

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Angreifer werden geschickter

Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.

Ransomware-Meldung als Finale

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Das könnte Sie auch interessieren

Low-Code/No-Code-Entwicklungen bieten Potenzial für Industrieunternehmen. Dadurch wird Software-Programmierung auch Mitarbeitern zugänglich, die nicht über tiefes Fachwissen verfügen. Mendix hat in einer Studie untersucht, wie es um den Low-Code/No-Code-Ansatz in Deutschland bestellt ist.‣ weiterlesen

Anzeige

Es sei an der Zeit, dass die EU ihre digitale Souveränität stärkt, schrieben Bundeskanzlerin Angela Merkel und Amtskolleginnen kürzlich in einem offenen Brief. Doch wie lässt sich das komplexe Ziel in konkrete Handlung übersetzen? Der Impuls 'Digitale Souveränität' von Acatech soll den Rahmen schaffen: Ein neues Schichtenmodell unterscheidet dabei acht Ebenen digitaler Souveränität, anhand derer sich punktgenaue Handlungsoptionen ergeben.‣ weiterlesen

Anzeige

Crate.io, Entwickler und Anbieter der für den Einsatz in IIoT-Umgebungen optimierten CrateDB, gibt bekannt, dass CrateDB ab sofort eine vollständig quelloffene Datenbanklösung ist.‣ weiterlesen

Anzeige

Mercedes-Benz und Siemens wollen mit Unterstützung des Landes Berlin bei der nachhaltigen Digitalisierung und Automatisierung der Automobilindustrie zusammenarbeiten.‣ weiterlesen

Exklusiv für Abonnenten

Von der Kommunikation mit Hologrammen bis zu ferngesteuerten Operationen – die nächste Mobilfunkgeneration 6G soll zahlreiche Hightech-Anwendungen möglich machen. An der Technischen Universität München (TUM) startet nun ein Großprojekt, das die wichtigsten Grundlagen für den neuen Standard legen will. Projektleiter Prof. Wolfgang Kellerer erklärt im Interview, wie 6G zum intelligentesten Mobilfunknetz wird, wann Deutschland eine führende Rolle einnehmen könnte und warum es in der Forschung weniger um Geschwindigkeitsrekorde, als vielmehr um eine Sicherheit von 99,999999999 Prozent geht.‣ weiterlesen

2019 hat sich die Open Industry 4.0 Alliance auf der Hannover Messe gegründet. Das mittlerweile 74 Mitglieder umfassende Konsortium stellt zur diesjährigen Messe einen eigenen App Store vor.‣ weiterlesen