Ransomware

Bezeichnet erpresserische Schadprogramme. Durch Ransomware machen Cyberkriminelle Dateien, Festplatten, Computer oder ganze Netzwerke für ihre legitimen Nutzer unzugänglich und fordern ein Lösegeld, um die Dateien etc. wieder freizugeben. Der Begriff setzt sich zusammen aus den englischen Worten „ransom“ für Lösegeld und „-ware“ als Wortteil von Software, also Programm.

Was bedeutet Ransomware im Detail?

Ransomware-Angriffe nehmen aktuell zu. Cyberkriminelle haben Unternehmen, Behörden und Verwaltungen als lohnende Ziele für sich erkannt. Vermehrt werden aufwendige, individualisierte Angriffe auf Unternehmen beobachtet. Dabei gehen Cyberkriminelle gezielt und häufig mehrstufig vor. Mit scheinbar alltäglichen Cybervorfällen wie z. B. Spam verschaffen sie sich Zugang zum Unternehmensnetzwerk. Dann erforschen sie die IT-Infastruktur, um gezielt besonders wichtige oder sensible Daten zu verschlüsseln – oder das gesamte System inklusive angeschlossener Backups. Durch dieses Vorgehen können die Erpresser größeren Druck auf die betroffenen Unternehmen ausüben und höhere Lösegelder verlangen. Die Zahlung des Lösegeldes ist für die Cyberkriminellen der erwünschte Endpunkt ihrer Aktivitäten.
Ob sie die verschlüsselten Daten oder Systeme danach wieder freigeben, ist daher stets ungewiss. Bei einigen Ransomware-Programmen gibt es keine vorgesehene Entschlüsselung, d. h. die Daten bleiben auch nach einer Lösegeldzahlung verschlüsselt.
Bei der bekannten Ransomware WannaCry konnten geleistete Lösegeldzahlungen aufgrund eines Programmierfehlers nicht zugeordnet werden. Dadurch erfolgten keine entsprechenden Entschlüsselungen der Daten.
Auch eine zweite, höhere Lösegeldforderung kann zum Konzept der Cyberkriminellen gehören.
Technisch gesehen handelt es sich bei Ransomware um Trojaner. Ransomware kann über mehrere Wege übertragen werden: Unter anderem über infizierte E-Mail-Anhänge, über kompromittierte Webseiten, über infizierte USB-Sticks und Festplatten, über Sicherheitslücken im Netzwerk und über sogenannte Drive-by-Downloads.

Wo begegnet mir das Thema „Ransomware“ im Arbeitsalltag?

Potenziell begegnet es Ihnen bei jeder E-Mail mit Anhang, bei jeder E-Mail mit einem Link und an vielen anderen Stellen des Arbeitsalltages. Zum Beispiel bei scheinbar verlorenen oder vergessenen USB-Sticks, bei Datenübertragungen auf externe Festplatten von Kunden, beim Herunterladen eines angeblich wichtigen Updates, um ein Video im Internet sehen zu können. An all diesen Stellen können Sie mit Ihrer Umsicht großen Schaden von Ihrem Unternehmen fernhalten.

Was kann ich tun, um meine Sicherheit zu verbessern?

Im Rahmen dieses Glossars können wir nur Anregungen und Einblicke geben. Bitte besprechen und erstellen Sie ein umfassendes Vorgehen mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus.

Präventiv

Nahezu alle Maßnahmen zur Verringerung des Cyberrisikos Ihres Unternehmens verringern auch das Risiko von Ransomware-Angriffen. Zu diesen Maßnahmen gehören u. a.:

Alle Programme und Bestandteile des Netzwerkes immer auf dem neuesten Stand halten, z. B. durch automatisch Updates
Einsatz eines zuverlässigen, stets aktuell gehaltenen Viren-Scanners
Überlegter Einsatz einer zuverlässigen Firewall
Durchdachte Netzwerk-Struktur, bei der z. B. besonders sensible Bereiche oder Abteilungen ein unabhängiges Netzwerk erhalten
Monitoring des Datenverkehrs
Sensibilisierung Ihrer Mitarbeitenden: Durch ihre Aufmerksamkeit und Umsicht können Ihre Mitarbeitende Schaden auch dort abwenden, wo die Technik dies nicht kann. So können Sie z. B. eine E-Mail mit einem bisher unbekannten Trojaner als verdächtig erkennen und behandeln.
Bedenken Sie bei Sicherheitsmaßnahmen auch die sogenannte Schatten-IT (z. B. auch privat genutzte Mitarbeitersmartphones) sowie IoT-Geräte (z. B. Fitnesstracker, digitale Überwachungskameras).
Außerdem empfiehlt sich eine durchdachte Backup-Strategie. So stellen Sie sicher, dass Sie möglichst viele Ihrer Daten auch im schlimmsten Fall wiederherstellen können. Hinsichtlich Ransomware sollten Sie u. a. berücksichtigen:
- An das System angeschlossene Backups können von Ransomeware ebenfalls verschlüsselt werden. Daher empfehlen sich häufige Backups, deren Verbindung zum System nach dem Erstellen auch physisch getrennt wird.
- Eine noch nicht aktive Ransomware kann auch auf Ihrem Backup gespeichert werden und dieses nach dem Einspielen verschlüsseln. Sorgen Sie daher dafür, dass möglichst viele vorhergehende Backups gespeichert werden. Sorgen sie zudem dafür, dass diese im Modus „Read only“ gespeichert werden. Dann können diese Backups im Nachhinein nicht mehr verändert werden, auch durch Ransomware nicht. Besprechen Sie das richtige Verhalten im Akutfall mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus.
- Üben Sie es – auch mit Ihren Mitarbeitenden – ein und verschriftlichen Sie es. Im Akutfall kommt es auf eine schnelle und richtige Reaktion an. Präventiv können Sie die besten Voraussetzungen hierfür schaffen.

Nach einem scheinbar „normalem“ Cybervorfall

Lassen Sie Ihr System sehr sorgfältig auf tiefergehenden Kompromittierungen prüfen und veranlassen Sie eine besonders engmaschige Überwachung des ein- und ausgehenden Datenverkehrs
Falls Sie es noch nicht getan haben, besprechen Sie spätestens jetzt das Thema Ransomware und Sicherheitsmaßnahmen mit Ihrer IT-Abteilung und/oder einem externen IT-Sicherheitsdienstleister wie Perseus.

Im Akutfall

ACHTUNG: Diese Hinweise sind allgemein. Halten Sie sich im Akutfall an das mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus besprochene Vorgehen. Nur dieses ist auf Ihre unternehmensindividuelle IT-Infrastruktur abgestimmt!

Trennen Sie das betroffene Gerät oder System so schnell wie möglich vom Netzwerk, vom Internet und wenn irgend möglich vom Strom. Mit Glück können Sie den Verschlüsselungsprozess so vor seiner Vollendung stoppen. Lassen Sie sich nicht beirren, auch nicht von anderslautenden Meldungen auf dem Bildschirm eines befallenen Rechners.
Nicht alle Geräte lassen sich vom Strom trennen, z. B. Laptops oder Tablets mit verbauten Akkus. Wenn möglich, entnehmen Sie diese. Wenn nicht, fahren Sie das Gerät so schnell wie möglich herunter.
Alarmieren Sie Experten für das weitere Vorgehen.
Üblicherweise werden nun von den infizierten Systemen Backups angelegt. Zum einen als digitale Spurensicherung und zum anderen können viele verschlüsselte Daten wieder hergestellt werden.
Melden Sie diesen Cybervorfall der Polizei, dem BKA und der Meldestelle für Cyber-Sicherheit in Deutschland. Dadurch können Sie dazu betragen, dass die Täter gefasst und andere Unternehmen gewarnt werden.
Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Ihr Gerät oder System danach entschlüsselt wird, z. T. ist diese Möglichkeit im Programm der Ransomware nicht einmal vorgesehen. Es besteht sogar die Möglichkeit, dass Sie nach einer Zahlung mit einer zweiten Lösegeldforderung konfrontiert werden. Weiterhin ist möglich, dass die Cyberkriminellen Zahlungsweg und Zahlungsmittel kompromittieren und so z. B. sensible Kreditkarteninformationen erhalten.

Weitere Informationen und Tipps für den Akutfall von der Polizeilichen Kriminalprävention:https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ransomware/

Refers to extortionate malicious programs. Cybercriminals use ransomware to make files, hard drives, computers or entire networks inaccessible to their legitimate users and demand a ransom to release the files, etc. The term is composed of the words ‘ransom’ and ‘ware,’ which is derived from ‘software,’ meaning program.

What does ransomware mean in detail?

Ransomware attacks are currently on the rise. Cybercriminals have identified companies, public authorities and administrations as lucrative targets. Increasingly, sophisticated, customised attacks on companies are being observed. Cybercriminals proceed in a targeted and often multi-stage manner. They gain access to the company network using seemingly everyday cyber incidents such as spam. They then explore the IT infrastructure to encrypt particularly important or sensitive data – or the entire system, including connected backups. This approach allows the blackmailers to exert greater pressure on the affected companies and demand higher ransoms. For cybercriminals, payment of the ransom is the desired end point of their activities.

Whether they release the encrypted data or systems afterwards is therefore always uncertain. Some ransomware programmes do not provide for decryption, meaning that the data remains encrypted even after the ransom has been paid.

In the case of the well-known WannaCry ransomware, ransom payments could not be traced due to a programming error. As a result, the data was not decrypted.

A second, higher ransom demand may also be part of the cybercriminals‘ plan.

Technically speaking, ransomware is a type of Trojan. Ransomware can be transmitted in several ways, including via infected email attachments, compromised websites, infected USB sticks and hard drives, security vulnerabilities in the network and so-called drive-by downloads.

Where do I encounter ransomware in my everyday work?

You may potentially encounter it in every email with an attachment, in every email with a link, and in many other places in your everyday work. For example, in seemingly lost or forgotten USB sticks, when transferring data to external hard drives from customers, when downloading a supposedly important update to watch a video on the Internet. In all these situations, you can protect your company from serious damage by exercising caution.

What can I do to improve my security?

This glossary can only provide suggestions and insights. Please discuss and develop a comprehensive approach with your IT department or an external IT security service provider such as Perseus.

Preventive

Almost all measures to reduce your company’s cyber risk also reduce the risk of ransomware attacks. These measures include, among others:

Always keep all programmes and components of the network up to date, e.g. through automatic updates
Use a reliable virus scanner that is always kept up to date
Careful use of a reliable firewall
A well-designed network structure in which, for example, particularly sensitive areas or departments are given an independent network
Monitoring of data traffic
Raising awareness among your employees: Through their attentiveness and caution, your employees can avert damage even where technology cannot. For example, they can recognise and treat an email containing a previously unknown Trojan as suspicious.
When considering security measures, also take into account so-called shadow IT (e.g. employees‘ privately used smartphones) and IoT devices (e.g. fitness trackers, digital surveillance cameras).
A well-thought-out backup strategy is also recommended. This ensures that you can recover as much of your data as possible, even in the worst-case scenario. With regard to ransomware, you should consider the following, among other things:
- Backups connected to the system can also be encrypted by ransomware. We therefore recommend frequent backups, which should be physically disconnected from the system after creation.
- Ransomware that is not yet active can also be stored on your backup and encrypt it after it has been imported. Therefore, make sure that as many previous backups as possible are stored. Also ensure that they are stored in ‘read-only’ mode. Then these backups cannot be changed afterwards, even by ransomware. Discuss the correct procedure in an emergency with your IT department or an external IT security service provider such as Perseus.
- Practice it – with your employees too – and put it in writing. In an emergency, a quick and correct response is crucial. You can create the best conditions for this in advance.

After a seemingly ‘normal’ cyber incident

Have your system checked very carefully for deeper compromises and arrange for particularly close monitoring of incoming and outgoing data traffic.
If you have not already done so, discuss the topic of ransomware and security measures with your IT department and/or an external IT security service provider such as Perseus now at the latest.

In an emergency

ATTENTION: These instructions are general. In an emergency, follow the procedure discussed with your IT department or an external IT security service provider such as Perseus. Only this procedure is tailored to your company’s individual IT infrastructure!

Disconnect the affected device or system from the network, the Internet and, if possible, from the power supply as quickly as possible. With luck, you will be able to stop the encryption process before it is completed. Do not be misled, even by messages to the contrary on the screen of an infected computer.
Not all devices can be disconnected from the power supply, e.g. laptops or tablets with built-in batteries. If possible, remove these. If not, shut down the device as quickly as possible.
Alert experts for further action.
Backups are usually created from the infected systems. This serves as digital evidence and also allows many encrypted data files to be restored.
Report this cyber incident to the police, the BKA and the Cyber Security Reporting Centre in Germany. By doing so, you can help ensure that the perpetrators are caught and other companies are warned.
Do not pay any ransom. There is no guarantee that your device or system will be decrypted afterwards; in some cases, this option is not even provided for in the ransomware programme. There is even a possibility that you will be confronted with a second ransom demand after payment. Furthermore, it is possible that the cybercriminals will compromise the payment method and means of payment and thus obtain sensitive credit card information, for example.

Further information and tips for emergencies from the police crime prevention service: https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ransomware/