Wie man mit einem Ransomware-Angriff umgeht – IBM Blog

Es sind die Nachrichten, die keine Organisation hören möchte – Sie wurden Opfer eines Ransomware Angriff, und jetzt fragen Sie sich, was als nächstes zu tun ist. 

Das erste, was Sie bedenken sollten, ist, dass Sie nicht allein sind. Bei über 17 Prozent aller Cyberangriffe handelt es sich um Ransomware-Eine Art von Malware Dadurch bleiben die Daten oder das Gerät eines Opfers gesperrt, es sei denn, das Opfer zahlt dem Hacker ein Lösegeld. Von den 1,350 in einer aktuellen Studie befragten Organisationen sind 78 Prozent erlitten einen erfolgreichen Ransomware-Angriff (Link befindet sich außerhalb von ibm.com).

Bei Ransomware-Angriffen werden verschiedene Methoden oder Vektoren verwendet, um Netzwerke oder Geräte zu infizieren. Dazu gehört auch, Einzelpersonen dazu zu verleiten, auf schädliche Links zu klicken Phishing E-Mails und die Ausnutzung von Schwachstellen in Software und Betriebssystemen, beispielsweise beim Fernzugriff. Cyberkriminelle fordern typischerweise Lösegeldzahlungen in Bitcoin und anderen schwer nachverfolgbaren Kryptowährungen und stellen den Opfern bei Zahlung Entschlüsselungsschlüssel zur Verfügung, mit denen sie ihre Geräte entsperren können.

Die gute Nachricht ist, dass jedes Unternehmen im Falle eines Ransomware-Angriffs grundlegende Schritte befolgen kann, um den Angriff einzudämmen, vertrauliche Informationen zu schützen und die Geschäftskontinuität durch Minimierung von Ausfallzeiten sicherzustellen.

Erste Reaktion

Isolieren Sie betroffene Systeme 

Da die gängigsten Ransomware-Varianten Netzwerke auf Schwachstellen scannen, die sich seitlich ausbreiten, ist es wichtig, dass betroffene Systeme so schnell wie möglich isoliert werden. Trennen Sie die Ethernet-Verbindung und deaktivieren Sie WLAN, Bluetooth und alle anderen Netzwerkfunktionen für alle infizierten oder potenziell infizierten Geräte.

Zwei weitere zu berücksichtigende Schritte: 

• Wartungsaufgaben ausschalten. Deaktivieren Sie sofort automatische Aufgaben – z. B. das Löschen temporärer Dateien oder rotierende Protokolle – betroffene Systeme. Diese Aufgaben können Dateien beeinträchtigen und die Untersuchung und Wiederherstellung von Ransomware behindern. 
• Backups trennen. Da viele neue Arten von Ransomware auf Backups abzielen, um die Wiederherstellung zu erschweren, sollten Sie Datensicherungen offline durchführen. Beschränken Sie den Zugriff auf Backup-Systeme, bis Sie die Infektion entfernt haben.

Fotografieren Sie den Lösegeldschein

Bevor Sie mit etwas anderem fortfahren, machen Sie ein Foto des Lösegeldscheins – idealerweise, indem Sie den Bildschirm des betroffenen Geräts mit einem separaten Gerät wie einem Smartphone oder einer Kamera fotografieren. Das Foto beschleunigt den Wiederherstellungsprozess und hilft bei der Einreichung eines Polizeiberichts oder eines möglichen Anspruchs bei Ihrer Versicherungsgesellschaft.

Benachrichtigen Sie das Sicherheitsteam

Sobald Sie die betroffenen Systeme getrennt haben, benachrichtigen Sie Ihr IT Sicherheit Team des Angriffs. In den meisten Fällen können IT-Sicherheitsexperten Sie zu den nächsten Schritten beraten und die Schritte Ihres Unternehmens aktivieren Vorfallreaktion Plan, also die Prozesse und Technologien Ihres Unternehmens zur Erkennung und Reaktion auf Cyberangriffe.

Starten Sie betroffene Geräte nicht neu

Vermeiden Sie im Umgang mit Ransomware einen Neustart infizierter Geräte. Hacker wissen, dass dies möglicherweise Ihr erster Instinkt ist, und einige Arten von Ransomware bemerken Neustartversuche und verursachen zusätzlichen Schaden, z. B. die Beschädigung von Windows oder das Löschen verschlüsselter Dateien. Ein Neustart kann auch die Untersuchung von Ransomware-Angriffen erschweren – wertvolle Hinweise werden im Speicher des Computers gespeichert, der bei einem Neustart gelöscht wird. 

Versetzen Sie stattdessen die betroffenen Systeme in den Ruhezustand. Dadurch werden alle Daten im Speicher in einer Referenzdatei auf der Festplatte des Geräts gespeichert und für zukünftige Analysen aufbewahrt.

Ausrottung 

Nachdem Sie die betroffenen Geräte nun isoliert haben, möchten Sie wahrscheinlich Ihre Geräte entsperren und Ihre Daten wiederherstellen. Auch wenn die Beseitigung von Ransomware-Infektionen kompliziert zu bewältigen sein kann, insbesondere bei den fortgeschritteneren Stämmen, können Ihnen die folgenden Schritte den Weg zur Wiederherstellung weisen. 

Bestimmen Sie die Angriffsvariante

Mehrere kostenlose Tools können dabei helfen, die Art der Ransomware zu identifizieren, die Ihre Geräte infiziert. Wenn Sie den spezifischen Stamm kennen, können Sie mehrere Schlüsselfaktoren besser verstehen, darunter die Art und Weise, wie er sich verbreitet, welche Dateien er sperrt und wie Sie ihn entfernen können. Laden Sie einfach ein Beispiel der verschlüsselten Datei und, falls vorhanden, einen Lösegeldschein und die Kontaktinformationen des Angreifers hoch. 

Die beiden häufigsten Arten von Ransomware sind Screen Locker und Encrypter. Bildschirmsperren sperren Ihr System, bewahren Ihre Dateien aber sicher auf, bis Sie bezahlen, wohingegen Verschlüsselungsprogramme schwieriger zu handhaben sind, da sie alle Ihre sensiblen Daten finden und verschlüsseln und diese erst entschlüsseln, nachdem Sie die Lösegeldzahlung geleistet haben. 

Suchen Sie nach Entschlüsselungstools

Sobald Sie den Ransomware-Stamm identifiziert haben, sollten Sie nach Entschlüsselungstools suchen. Es gibt auch kostenlose Tools, die bei diesem Schritt helfen, darunter Websites wie No More Ransom. Geben Sie einfach den Namen des Ransomware-Typs ein und suchen Sie nach der passenden Entschlüsselung. 

Laden Sie den umfassenden Leitfaden zu Ransomware herunter

Recovery 

Wenn Sie das Glück hatten, die Ransomware-Infektion zu entfernen, ist es an der Zeit, den Wiederherstellungsprozess zu starten.

Aktualisieren Sie zunächst Ihre Systemkennwörter und stellen Sie dann Ihre Daten aus Backups wieder her. Sie sollten immer darauf abzielen, drei Kopien Ihrer Daten in zwei verschiedenen Formaten zu haben, wobei eine Kopie extern gespeichert wird. Mit diesem als 3-2-1-Regel bekannten Ansatz können Sie Ihre Daten schnell wiederherstellen und Lösegeldzahlungen vermeiden. 

Nach dem Angriff sollten Sie auch über die Durchführung eines Sicherheitsaudits und die Aktualisierung aller Systeme nachdenken. Wenn Sie Ihre Systeme auf dem neuesten Stand halten, verhindern Sie, dass Hacker Schwachstellen in älterer Software ausnutzen. Regelmäßige Patches sorgen dafür, dass Ihre Computer aktuell, stabil und resistent gegen Malware-Bedrohungen sind. Möglicherweise möchten Sie Ihren Vorfallreaktionsplan auch anhand der gewonnenen Erkenntnisse verfeinern und sicherstellen, dass Sie den Vorfall allen erforderlichen Beteiligten ausreichend kommuniziert haben. 

Benachrichtigende Behörden 

Da es sich bei Ransomware um Erpressung und ein Verbrechen handelt, sollten Sie Ransomware-Angriffe immer den Strafverfolgungsbehörden oder dem FBI melden. 

Die Behörden können möglicherweise bei der Entschlüsselung Ihrer Dateien helfen, wenn Ihre Wiederherstellungsbemühungen nicht funktionieren. Aber selbst wenn sie Ihre Daten nicht speichern können, ist es für sie von entscheidender Bedeutung, cyberkriminelle Aktivitäten zu katalogisieren und hoffentlich anderen dabei zu helfen, ein ähnliches Schicksal zu vermeiden. 

Einige Opfer von Ransomware-Angriffen sind möglicherweise auch gesetzlich verpflichtet, Ransomware-Infektionen zu melden. Beispielsweise verlangt die HIPAA-Konformität im Allgemeinen, dass Gesundheitseinrichtungen jede Datenschutzverletzung, einschließlich Ransomware-Angriffe, dem Ministerium für Gesundheit und menschliche Dienste melden.

Entscheidung, ob bezahlt werden soll 

Entscheiden ob eine Lösegeldzahlung geleistet werden soll ist eine komplexe Entscheidung. Die meisten Experten raten, dass Sie eine Zahlung nur dann in Betracht ziehen sollten, wenn Sie alle anderen Optionen ausprobiert haben und der Datenverlust deutlich schädlicher wäre als die Zahlung.

Unabhängig von Ihrer Entscheidung sollten Sie immer die Strafverfolgungsbehörden und Cybersicherheitsexperten konsultieren, bevor Sie fortfahren.

Die Zahlung eines Lösegelds garantiert nicht, dass Sie wieder Zugriff auf Ihre Daten erhalten oder dass die Angreifer ihre Versprechen halten – Opfer zahlen oft das Lösegeld, erhalten aber nie den Entschlüsselungsschlüssel. Darüber hinaus setzt die Zahlung von Lösegeld die Aktivitäten der Cyberkriminellen fort und kann zur weiteren Finanzierung von Cyberkriminalität führen.

Verhinderung zukünftiger Ransomware-Angriffe

E-Mail-Sicherheitstools sowie Anti-Malware- und Antiviren-Software sind wichtige erste Verteidigungslinien gegen Ransomware-Angriffe.

Unternehmen verlassen sich auch auf fortschrittliche Endpunktsicherheitstools wie Firewalls, VPNs usw Multi-Faktor-Authentifizierung als Teil einer umfassenderen Datenschutzstrategie zur Abwehr von Datenschutzverletzungen.

Allerdings ist kein Cybersicherheitssystem vollständig ohne modernste Bedrohungserkennungs- und Vorfallreaktionsfunktionen, um Cyberkriminelle in Echtzeit zu fangen und die Auswirkungen erfolgreicher Cyberangriffe abzumildern.

IBM Security® QRadar® SIEM wendet neben herkömmlichen Protokollen auch maschinelles Lernen und Benutzerverhaltensanalysen (User Behavior Analytics, UBA) auf den Netzwerkverkehr an, um Bedrohungen intelligenter zu erkennen und schneller zu beheben. In einer aktuellen Forrester-Studie half QRadar SIEM Sicherheitsanalysten, über einen Zeitraum von drei Jahren mehr als 14,000 Stunden einzusparen, indem es Fehlalarme identifizierte, den Zeitaufwand für die Untersuchung von Vorfällen um 90 % reduzierte und das Risiko einer schwerwiegenden Sicherheitsverletzung um 60 % reduzierte.* Mit QRadar Mit SIEM verfügen ressourcenbeschränkte Sicherheitsteams über die Transparenz und Analysen, die sie benötigen, um Bedrohungen schnell zu erkennen und sofortige, fundierte Maßnahmen zu ergreifen, um die Auswirkungen eines Angriffs zu minimieren.

Erfahren Sie mehr über IBM QRadar SIEM

*Die Total Economic ImpactTM von IBM Security QRadar SIEM ist eine Auftragsstudie, die von Forrester Consulting im Auftrag von IBM im April 2023 durchgeführt wurde. Basierend auf prognostizierten Ergebnissen einer zusammengesetzten Organisation, die anhand von 4 befragten IBM-Kunden modelliert wurde. Die tatsächlichen Ergebnisse können je nach Client-Konfiguration und -Bedingungen variieren und daher können nicht die allgemein erwarteten Ergebnisse bereitgestellt werden.