9 Wege, wie sich Ransomware verbreitet und wie man sie aufhält

Cyberkriminelle werden auf der Suche nach neuen Wegen, wie sie an Ihre Daten kommen, immer kreativer.

Doch selbst wenn Ransomware immer ausgeklügelter wird, sollte man im Hinterkopf behalten, dass für diesen Schädling dieselben Regeln gelten wie für andere Malware auch.

Sie muss also auch erst einmal verteilt werden und Ihr System infizieren, bevor sie ihren schädlichen Code ausführen kann. Folglich lässt sie sich auch durch eine aktive Sicherheitsstrategie aufhalten.

Wie kann Ihr Computer mit Ransomware infiziert werden? In diesem Artikel erklären wir Ihnen die häufigsten Wege, wie Ransomware auf ein System gelangt und wie Sie Ihr Infektionsrisiko minimieren können.

1. E-Mail-Anhänge

Ransomware wird häufig über E-Mails verbreitet, die den Empfänger dazu auffordern, einen schädlichen Anhang zu öffnen. Die Datei kann dabei in zahllosen Formaten vorliegen, etwa als ZIP-Archiv, PDF, Word-Dokument oder Excel-Tabelle. Wurde der Anhang einmal geöffnet, kann sich die Ransomware sofort ausbreiten. Mitunter warten die Angreifer jedoch auch Wochen oder sogar Monate damit, die Dateien des Opfers zu verschlüsseln, wie es beispielsweise bei Emotet/Trickbot-Angiffen der Fall war.

Angreifer können auch umfangreiche Nachforschungen zu ihrem Opfer anstellen, um besonders glaubwürdige und überzeugende E-Mails zu schreiben. Dabei konzentrieren sie sich meistens auf eine hochrangige Person in einer bestimmten Firma oder Organisation. Je seriöser die E-Mail aussieht, umso wahrscheinlicher ist es, dass der Empfänger den Anhang öffnet.

Tipps zum Vorbeugen

• Öffnen Sie ausschließlich Anhänge von vertrauenswürdigen Absendern.
• Überprüfen Sie, ob die E-Mail-Adresse des Absenders auch wirklich stimmt. Beachten Sie dabei, dass sich Domainnamen und Anzeigenamen leicht fälschen lassen.
• Öffnen Sie keine Anhänge, für die Sie Makros aktivieren müssen. Sollten Sie der Ansicht sein, dass der Anhang legitim ist, beraten Sie sich mit Ihrer IT-Abteilung.
• In dieser Anleitung erhalten Sie weitere Tipps, wie Sie sich vor Phishing-E-Mails schützen können.

2. Bösartige Links

Angreifer nutzen auch gern E-Mails und soziale Netzwerke, um Ransomware über Nachrichten mit schädlichen Links zu verbreiten. Zahlen von Coveware zufolge wurden im dritten Quartal 2019 für nahezu jeden vierten Ransomware-Angriff Phishing-E-Mails genutzt.

Um die Opfer dazu zu animieren, auf den schädlichen Link zu klicken, sind die Nachrichten häufig so formuliert, dass sie ein Gefühl der Dringlichkeit oder Neugier hervorrufen. Durch Klicken auf den Link wird die Ransomware heruntergeladen, die dann Ihr System verschlüsselt und zur Freigabe Ihrer Daten ein Lösegeld fordert.

Tipps zum Vorbeugen

• Seien Sie bei allen Links, die ihn E-Mails oder Direktnachrichten vorkommen, vorsichtig.
• Überprüfen Sie den URL zunächst, bevor Sie ihn anklicken, indem Sie den Mauszeiger darauf bewegen.
• Verwenden Sie CheckShortURL, um den vollständigen URL eines gekürzten Links anzuzeigen.
• Geben Sie URLs manuell in Ihren Browser ein, um nicht auf mögliche Phishing-Links zu klicken.

3. Remotedesktopprotokoll

Das Remotedesktopprotokolle (RDP) – ein Kommunikationsprotokoll, mit dem Sie über eine Netzwerkverbindung auf einen anderen Computer zugreifen können – ist eine weitere beliebte Angriffsmethode. Ransomware-Versionen, die sich auf diese Weise verbreiten, sind beispielsweise SamSam, Dharma, GandCrab und viele mehr.

Beim RDP werden Verbindungsanfragen standardmäßig über Port 3389 empfangen. Cyberkriminelle nutzen dies zu ihrem Vorteil, indem sie das Internet mithilfe von Portscannern nach Computern mit ungesicherten Ports absuchen. Durch das Ausnutzen von Sicherheitslücken oder mithilfe von Brute-Force-Angriffen versuchen sie dann, die Anmeldedaten des Rechners zu knacken und so Zugriff darauf zu erhalten.

Sobald die Angreifer Zugriff auf den Computer haben, können sie mehr oder weniger damit machen, was sie wollen. Dazu gehört beispielsweise das Deaktivieren von Antivirensoftware und anderen Sicherheitslösungen, das Löschen von zugänglichen Sicherungen und die Einrichtung der Ransomware. Außerdem richten sie sich möglicherweise zur späteren Verwendung eine Hintertür ein.

Tipps zum Vorbeugen

• Verwenden Sie starke Passwörter.
• Legen Sie für RDP einen anderen Port als den Standardport 3389 fest.
• Verwenden Sie RDP nur falls notwendig.
• Verwenden Sie ein VPN.
• Aktivieren Sie für den Fernzugriff die Zwei-Faktor-Authentisierung.

4. MSPs und RMMs

Cyberkriminelle haben es oft auch auf MSPs (Managed Service Provider) abgesehen. Dabei setzen sie auf Phishing-Angriffe oder machen sich die RMM-Software (Fernüberwachung und -verwaltung) zunutze, die häufig von MSPs eingesetzt wird.

Durch einen erfolgreichen Angriff auf einen MSP können Cyberkriminelle im schlimmsten Fall dessen gesamten Kundenstamm mit Ransomware infizieren, wodurch sie ein starkes Druckmittel zur Zahlung des Lösegelds haben. Im August 2019 wurden 22 Städte in Texas Opfer einer Ransomware, die über MSP-Tools verbreitet worden war. Zum Entschlüsseln der Dateien forderten die Angreifer 2,5 Millionen USD.

Tipps zum Vorbeugen

• Aktivieren Sie in einer RMM-Software die Zwei-Faktor-Authentisierung.
• MSPs sollten hinsichtlich Phishing-Versuchen besonders aufmerksam sein.

5. Malvertising

Das Malvertising (also schädliche Werbung) gewinnt bei der Verbreitung von Ransomware immer mehr an Beliebtheit.

Malvertising macht sich dieselben Infrastrukturen und Tools zunutze, die auch für reguläre Werbung im Internet eingesetzt werden. In der Regel kaufen die Angreifer Werbeplatz, in dem dann ein Exploit-Kit verlinkt wird. Bei der Anzeige kann es sich um ein provokantes Bild, die Benachrichtigung zu einer Mitteilung oder ein Angebot für kostenlose Software handeln.

Klicken Sie auf die Anzeige, überprüft das Exploit-Kit Ihr System nach Informationen über dessen Software, Browser-Daten und vieles mehr. Entdeckt es dann eine Sicherheitslücke, versucht es, die Ransomware zu installieren. Es gibt viele große Ransomware-Angriffe, die sich über Malvertising verbreiten, wie CryptoWall und Sodinokibi.

Tipps zum Vorbeugen

• Halten Sie Ihre Software, wie Anwendungen oder Browser, sowie Ihre Betriebssysteme immer aktuell.
• Deaktivieren Sie Plug-ins, die Sie nicht regelmäßig verwenden.
• Verwenden Sie einen Werbeblocker. Die Experten von Emsisoft empfehlen dafür uBlock Origin.
• Aktivieren Sie in Ihrem Browser die Click-to-Play-Funktion, damit Plug-ins wie Flash oder Java nicht automatisch starten. Diese Plug-ins werden häufig für Malvertising ausgenutzt.

6. Drive-by-Downloads

Hierbei handelt es sich um jegliche Downloads, die ohne Ihr Wissen ausgeführt werden. Ransomware-Angreifer setzen Drive-by-Downloads ein, indem sie den schädlichen Code entweder auf ihrer eigenen Seite hosten oder – die gängigere Methode – über Schwachstellen in seriöse Websites einschleusen.

Wenn Sie dann die infizierte Website aufrufen, analysiert der Schadcode Ihr Gerät auf bestimmte Schwachstellen und führt im Hintergrund automatisch die Ransomware aus.

Im Gegensatz zu anderen Angriffsmethoden ist für Drive-by-Downloads keine Aktion des Anwenders erforderlich. Sie müssen auf nichts klicken, nichts installieren und auch keinen bösartigen Anhang geöffnet haben – allein der Besuch der infizierten Website reicht, um sich den Schädling einzufangen.

Tipps zum Vorbeugen

• Installieren Sie immer die neuesten Sicherheitspatches.
• Entfernen Sie unnötige Browser-Plugins.
• Installieren Sie einen Werbeblocker, wie uBlock Origin.

7. Netzwerkpropagierung

Ältere Ransomware-Varianten waren nur in der Lage, den lokalen Rechner zu verschlüsseln. Fortschrittlichere Versionen verfügen jetzt über Funktionen zur Selbstverbreitung und können sich damit auch auf andere Geräte im Netzwerk verteilen. Ein erfolgreicher Angriff kann auf diese Weise ganze Unternehmen außer Gefecht setzen.

Einige der bisher verheerendsten Ransomware-Angriffe nutzten diese Selbstverbreitungsfunktion, etwa WannaCry, Petya und SamSam.

Tipps zum Vorbeugen

• Segmentieren Sie Ihr Netzwerk und nutzen Sie das sogenannte Prinzip der geringsten Berechtigungen.
• Richten Sie eine zuverlässige Sicherungsstrategie zum Schutz vor Ransomware ein und verfolgen Sie diese konsequent.

8. Raubkopien

Ransomware ist dafür bekannt, sich über raubkopierte Software zu verbreiten. Einige der geknackten Programme werden im Paket mit Adware in Umlauf gebracht, hinter der sich Ransomware verbergen könnte – so beispielsweise bei der letzten STOP-Djvu-Kampagne geschehen (hier gibt es den kostenlosen Decrypter dazu). Außerdem sind Websites, auf denen raubkopierte Software bereitgestellt wird, anfälliger für Malvertising und Drive-by-Downloads.

Auch indirekt kann die Verwendung von Raubkopien das Risiko einer Ransomware-Infektion erhöhen. Nicht lizenzierte Software erhält in der Regel auch keine offiziellen Updates des Entwicklers, sodass kritische Sicherheitslücken nicht gestopft werden und Gaunern einen Angriff erleichtert wird.

Tipps zum Vorbeugen

• Verwenden Sie keine Raubkopien.
• Besuchen Sie keine Websites, die Raubkopien, Cracks, Aktivierungstools oder Key Generators (also Schlüsselgeneratoren) bereitstellen.
• Lassen Sie bei Software-Angeboten, die zu gut klingen, um wahr zu sein, Vorsicht walten.

9. USB-Laufwerke und tragbare Computer

USB-Laufwerke und tragbare Computer sind ein weiterer häufig verwendeter Ransomware-Überträger. Wird ein infiziertes Gerät angeschlossen, kann die Ransomware den lokalen Computer verschlüsseln und sich möglicherweise im gesamten Netzwerk ausbreiten.

Meistens handelt es sich dabei um ein Versehen, etwa wenn ein Mitarbeiter unbewusst ein infiziertes USB-Gerät ansteckt. Es gibt jedoch auch vorsätzliche Infizierungsversuche. Vor ein paar Jahren fanden beispielsweise die Bewohner von Pakenham, einem Stadtteil von Melbourne, nicht gekennzeichnete USB-Laufwerke in ihrem Briefkasten. Die Geräte enthielten Ransomware, die sich als ein Werbeangebot von Netflix ausgab.

Tipps zum Vorbeugen

• Schließen Sie niemals unbekannte Geräte an Ihren Computer an.
• Schließen Sie Ihre Geräte nie an öffentlichen Systemen an, wie Automaten zum Drucken von Fotos oder Computern in Internetcafés.
• Unternehmen sollten umfassende BYOD-Sicherheitsrichtlinien einführen und konsequent durchsetzen.
• Verwenden Sie eine vertrauenswürdige Antivirensoftware, die Wechseldatenträger scannen und schützen kann.

Fazit

Ransomware nutzt viele verschiedene Möglichkeiten zur Verbreitung. Einige davon, wie E-Mail-Anhänge, Phishing-Links oder Wechseldatenträger, setzen auf menschliches Versagen. Für andere wiederum muss ein Anwender gar nichts tun, damit sie funktionieren, wozu Malvertising, Drive-by-Downloads oder Netzwerkpropagierung gehören.

Unabhängig davon, welche dieser Wege Ransomware zur Verbreitung nutzt, gibt es viele Möglichkeiten, wie Sie Ihr Infektionsrisiko senken und die Auswirkungen eines Angriffs minimieren können. Investieren Sie in eine bewährte Antivirus-Software, legen Sie Sicherungen an und seien Sie vorsichtig, worauf Sie klicken. Damit haben Sie schon viel erreicht, um Ihr System und Ihre Daten vor Ransomware zu schützen.

Welche Angriffsmethode finden Sie am gefährlichsten?

Übersetzung: Doreen Schäfer