• Fachbeitrag
  • Management, Awareness & Compliance

Ransomware - Die fünf gängigsten Einfallstore ins Firmennetzwerk

Es ist entscheidend zu verstehen, wie Ransomware ein Gerät infiziert und sich über ein Netzwerk verbreitet, um sicherzustellen, dass das eigene Unternehmen nicht das nächste Opfer eines Angriffs wird. Jüngste Trends zeigen, dass die Gefahr eher zu als abnimmt, durch Bedrohungsakteure den Zugriff auf Daten, Geräte und Dienste zu verlieren.

itsa 365: Hund, der mit seiner Schnauze auf einem Laptop liegt

1. Phishing & Social Engineering

Nach wie vor sind Phishing-E-Mails die von Hackern am häufigsten eingesetzte Methode, um Endpunkte mit Ransomware zu infizieren. Mithilfe von spezifischen und personalisierten Informationen erstellen die Cybererpresser gezielte E-Mails. Dabei versuchen sie möglichst authentisch wirkende Anschreiben zu konzipieren, um das Vertrauen der Empfänger zu gewinnen. Das Ziel der Hacker ist es, potenzielle Opfer dazu zu verleiten, Anhänge zu öffnen oder auf Links zu klicken, wodurch bösartige PDF- und andere Dokumentdateien heruntergeladen werden. Die Malware ist meist als harmlose Datei getarnt und für den Laien kaum von normalen Dateien zu unterscheiden. Wenn auf diese Dateien geklickt wird oder Makros aktiviert werden, wird die schädliche Software ausgeführt und der Prozess der Datenverschlüsselung auf dem Computer des Opfers gestartet.

2. Infektion über kompromittierte Websites

Ransomware wird nicht zwangsläufig immer in einer heimtückischen E-Mail verpackt. Kompromittierte Websites sind ebenfalls eine beliebte Methode, um bösartigen Code in das Unternehmensnetzwerk einzuschleusen. Das Malheur ist schnell passiert: Ein ahnungsloses Opfer besucht eine vermeintlich normale Website, vielleicht sogar eine, die der Nutzer bereits häufiger besucht hat. Die kompromittierte Website wird dann auf eine andere Seite umgeleitet, die den Benutzer auffordert, eine neuere Version einer Software herunterzuladen, z.B. den Webbrowser, ein Plugin oder einen Media-Player.

3. „Malvertising“ & Angriffe durch den Browser

Wenn ein Benutzer eine ungepatchte Schwachstelle in seinem Browser hat, kann es zu einem so genannten „Malvertising-Angriff" kommen. Cyberkriminelle können über herkömmliche Werbeanzeigen auf Websites bösartigen Code einfügen, der die Ransomware herunterlädt, sobald die manipulierte Werbung angezeigt wird. Auch wenn diese Methode einen eher weniger verbreiteten Übertragungsweg für Ransomware darstellt, ist sie dennoch eine heimtückische Gefahr, da das Opfer auch ohne das bewusste Herunterladen einer Datei hinters Licht geführt werden kann. 

4. Exploit-Kits, die vorgefertigte Malware übertragen

Angler, Neutrino und Nuclear sind Exploit-Kits, die bei Ransomware-Attacken häufig eingesetzt werden. Bei diesen Frameworks handelt es sich um eine Art bösartiger Toolkits mit vorprogrammierten Exploits, die auf Schwachstellen in Browser-Plugins wie Java und Adobe Flash abzielen. Microsoft Internet Explorer und Microsoft Silverlight sind ebenfalls häufige Ziele. Ransomware wie Locky und CryptoWall werden durch Exploit-Kits und Malvertising-Kampagnen auf präparierten Websites verbreitet.

5. Herunterladen von infizierten Dateien und Anwendungen

Jede Datei oder Anwendung, die heruntergeladen werden kann, kann theoretisch auch mit Ransomware versehen sein. Gecrackte Software auf illegalen File-Sharing-Sites ist besonders gefährlich. Ein aktuelles Beispiel sind die jüngsten Fälle von MBRLocker-Malware, welche ihre Opfer über illegal verbreitete Software auf eben solchen File-Sharing-Portalen infizierte. Es besteht auch die Möglichkeit, dass Hacker legitime Websites ausnutzen, um eine manipulierte ausführbare Datei zu übertragen. Sobald das Opfer die Datei oder Anwendung herunterlädt, wird die Ransomware eingeschleust.

Fazit

Die Evolution von Ransomware schreitet stetig voran, wobei Ransomware-as-a-Service inzwischen immer beliebter wird. Zusammen mit der Erpressungsgefahr durch Datenlecks machen es diese jüngsten Trends für Unternehmen unabdingbar, in die Sicherung von Endpunkten und Netzwerken zu investieren und zu verhindern, dass es überhaupt erst zu Sicherheitsverletzungen kommt. Der beste Netzwerk- und Geräteschutz erfolgt durch KI-gestützte Verhaltenserkennung, die nicht auf Cloud-Konnektivität angewiesen ist, sondern jedes Gerät durch einen autonomen Agenten absichert.