VietNamNet stellt einen Artikel von Herrn Dao Trung Thanh vor, einem Cybersicherheitsexperten und stellvertretenden Direktor des Blockchain and AI Institute, um den Cyberangriff auf die VNDirect Securities Company und die Gefahren von Ransomware besser zu verstehen.
Ransomware, eine Art von Schadsoftware, die Daten auf dem System eines Opfers verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt, ist heute eine der gefährlichsten Bedrohungen für die Cybersicherheit weltweit. Foto: zephyr_p/Fotolia

Der Fall VNDirect und was Ransomware gefährlich macht?

Am 24. März 2024 wurde die VNDirect Securities Company in Vietnam zum neuesten Hotspot auf der Karte internationaler Ransomware-Angriffe. Dieser Angriff ist kein Einzelfall.

Ransomware ist eine Art von Schadsoftware, die darauf ausgelegt ist, Daten auf dem System eines Opfers zu verschlüsseln und für die Entschlüsselung ein Lösegeld zu fordern. Sie ist heute eine der am weitesten verbreiteten und gefährlichsten Bedrohungen der Cybersicherheit weltweit. Die wachsende Abhängigkeit von digitalen Daten und Informationstechnologie in allen Bereichen des gesellschaftlichen Lebens macht Organisationen und Einzelpersonen anfällig für diese Angriffe.

Die Gefahr von Ransomware liegt nicht nur in ihrer Fähigkeit, Daten zu verschlüsseln, sondern auch in der Art und Weise, wie sie sich verbreitet und Lösegeld fordert. Dadurch entsteht ein Kanal für Finanztransaktionen, über den Hacker illegale Gewinne erzielen können. Aufgrund ihrer Raffinesse und Unvorhersehbarkeit stellen Ransomware-Angriffe eine der größten Herausforderungen für die heutige Cybersicherheit dar.

Der Angriff auf VNDirect ist eine eindringliche Erinnerung daran, wie wichtig es ist, Ransomware zu verstehen und sich davor zu schützen. Nur wenn wir verstehen, wie Ransomware funktioniert und welche Bedrohungen sie darstellt, können wir wirksame Schutzmaßnahmen ergreifen – von der Schulung der Benutzer über den Einsatz technischer Lösungen bis hin zum Aufbau einer umfassenden Präventionsstrategie zum Schutz kritischer Daten und Informationssysteme.

So funktioniert Ransomware

Ransomware ist eine furchterregende Bedrohung in der Welt der Cybersicherheit. Sie operiert auf komplexe und vielfältige Weise und kann für die Opfer schwerwiegende Folgen haben. Um besser zu verstehen, wie Ransomware funktioniert, müssen wir jeden Schritt des Angriffsprozesses genauer unter die Lupe nehmen.

Infektion

Der Angriff beginnt, wenn Ransomware das System infiziert. Es gibt verschiedene gängige Methoden, mit denen Ransomware in das System eines Opfers eindringt, darunter:

Phishing-E-Mails: Gefälschte E-Mails mit schädlichen Dateianhängen oder Links zu Websites, die Schadcode enthalten; Ausnutzen von Sicherheitslücken: Ausnutzen von Schwachstellen in ungepatchter Software, um automatisch und ohne Benutzerinteraktion Ransomware zu installieren; Malvertising: Nutzung von Internetwerbung zur Verbreitung von Schadcode; Downloads von bösartigen Websites: Benutzer laden Software oder Inhalte von nicht vertrauenswürdigen Websites herunter.

Verschlüsselung

Nach der Infektion beginnt die Ransomware mit der Verschlüsselung der Daten auf dem System des Opfers. Unter Verschlüsselung versteht man die Konvertierung von Daten in ein Format, das ohne den Entschlüsselungsschlüssel nicht gelesen werden kann. Ransomware verwendet häufig starke Verschlüsselungsalgorithmen und stellt sicher, dass verschlüsselte Daten ohne einen bestimmten Schlüssel nicht wiederhergestellt werden können.

Lösegeldforderung

Nach der Verschlüsselung der Daten zeigt die Ransomware auf dem Bildschirm des Opfers eine Meldung an, in der sie ein Lösegeld für die Entschlüsselung der Daten fordert. Die Benachrichtigung enthält in der Regel Anweisungen zur Zahlung (normalerweise über Bitcoin oder andere Kryptowährungen, um die Identität des Kriminellen zu verbergen) sowie eine Zahlungsfrist. Einige Versionen von Ransomware drohen zudem damit, Daten zu löschen oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

Transaktionen und Entschlüsselung (oder nicht)

Das Opfer steht dann vor einer schwierigen Entscheidung: Entweder das Lösegeld zahlen und hoffen, die Daten zurückzubekommen, oder ablehnen und die Daten für immer verlieren. Allerdings ist mit der Zahlung keine Garantie verbunden, dass die Daten entschlüsselt werden. Tatsächlich könnte dies Kriminelle sogar dazu ermutigen, ihre Taten fortzusetzen.

Die Funktionsweise von Ransomware zeugt nicht nur von technischer Raffinesse, sondern spiegelt auch eine traurige Realität wider: die Bereitschaft, die Leichtgläubigkeit und Unwissenheit der Benutzer auszunutzen. Dies unterstreicht, wie wichtig es ist, das Bewusstsein und die Kenntnisse im Bereich Cybersicherheit zu schärfen, vom Erkennen von Phishing-E-Mails bis hin zur Bereitstellung aktueller Sicherheitssoftware. Angesichts einer sich ständig weiterentwickelnden Bedrohung wie Ransomware sind Aufklärung und Prävention wichtiger denn je.

Gängige Varianten von Ransomware

In der Welt der Ransomware-Bedrohungen zeichnen sich einige Varianten durch ihre Komplexität, Verbreitungsfähigkeit und schwerwiegenden Auswirkungen auf Organisationen weltweit aus. Nachfolgend finden Sie eine Beschreibung von sieben gängigen Varianten und ihrer Funktionsweise.

REvil (auch bekannt als Sodinokibi)

Funktionen: REvil ist eine Variante von Ransomware-as-a-Service (RaaS), die es Cyberkriminellen ermöglicht, es zu „mieten“, um ihre eigenen Angriffe durchzuführen. Dadurch erhöht sich die Verbreitung dieser Ransomware und die Zahl der Opfer erheblich.

Verbreitungsmethode: Verbreitung über Sicherheitslücken, Phishing-E-Mails und Remote-Angriffstools. REvil verwendet auch Angriffsmethoden, um Daten automatisch zu verschlüsseln oder zu stehlen.

Ryuk

Merkmale: Ryuk zielt hauptsächlich auf große Organisationen ab, um das Lösegeld zu maximieren. Es verfügt über die Fähigkeit, sich für jeden Angriff individuell anzupassen, was seine Erkennung und Entfernung erschwert.

Verbreitungsmethode: Über Phishing-E-Mails und Netzwerke, die mit anderer Malware wie Trickbot und Emotet infiziert sind, verbreitet und verschlüsselt Ryuk Netzwerkdaten.

Robinhood

Funktionen: Robinhood ist für seine Fähigkeit bekannt, Regierungssysteme und große Organisationen anzugreifen, indem es eine ausgeklügelte Verschlüsselungstaktik verwendet, um Dateien zu sperren und hohe Lösegeldzahlungen zu fordern.

Verbreitungsmethode: Verbreitung durch Phishing-Kampagnen sowie durch Ausnutzen von Sicherheitslücken in Software.

DoublePaymer

Funktionen: DoppelPaymer ist eine eigenständige Ransomware-Variante mit der Fähigkeit, ernsthaften Schaden anzurichten, indem sie Daten verschlüsselt und mit der Veröffentlichung von Informationen droht, wenn kein Lösegeld gezahlt wird.

Verbreitungsmethode: Die Verbreitung erfolgt über Remote-Angriffstools und Phishing-E-Mails, wobei insbesondere Schwachstellen in ungepatchter Software ausgenutzt werden.

SNAKE (auch bekannt als EKANS)

Funktionen: SNAKE ist für Angriffe auf industrielle Steuerungssysteme (ICS) konzipiert. Es verschlüsselt nicht nur Daten, sondern kann auch industrielle Prozesse stören.

Verbreitungsmethode: Durch Phishing- und Exploit-Kampagnen, wobei der Schwerpunkt auf dem gezielten Angriff auf bestimmte Industriesysteme liegt.

Phobos

Funktionen: Phobos weist viele Ähnlichkeiten mit Dharma auf, einer anderen Ransomware-Variante, und wird häufig verwendet, um kleine Unternehmen über RDP (Remote Desktop Protocol) anzugreifen.

Verbreitungsmethode: Hauptsächlich über exponiertes oder anfälliges RDP, wodurch Angreifer Fernzugriff erhalten und Ransomware einsetzen können.

LockBit

LockBit ist eine weitere beliebte Ransomware-Variante, die nach dem Ransomware-as-a-Service-Modell (RaaS) funktioniert und für Angriffe auf Unternehmen und Regierungsorganisationen bekannt ist. LockBit führt seine Angriffe in drei Hauptphasen aus: Ausnutzen von Schwachstellen, tiefes Eindringen in das System und Bereitstellen verschlüsselter Nutzdaten.

Phase 1 – Ausnutzung: LockBit nutzt Schwachstellen im Netzwerk mithilfe von Techniken wie Social Engineering, etwa durch Phishing-E-Mails, oder Brute-Force-Angriffen auf Intranet-Server und Netzwerksysteme aus.

Phase 2 – Infiltration: Nach der Infiltration verwendet LockBit ein „Post-Exploitation“-Tool, um seine Zugriffsebene zu erhöhen und das System auf den Verschlüsselungsangriff vorzubereiten.

Phase 3 – Bereitstellung: LockBit stellt die verschlüsselte Nutzlast auf jedem zugänglichen Gerät im Netzwerk bereit, verschlüsselt alle Systemdateien und hinterlässt eine Lösegeldforderung.

LockBit nutzt während des Eindringvorgangs außerdem eine Reihe kostenloser Open-Source-Tools – von Netzwerkscannern bis hin zu Remote-Verwaltungssoftware –, um Netzwerkaufklärung, Remote-Zugriff, Diebstahl von Anmeldeinformationen und Datenexfiltration durchzuführen. In einigen Fällen droht LockBit auch mit der Veröffentlichung persönlicher Daten der Opfer, wenn die Lösegeldforderungen nicht erfüllt werden.

Aufgrund seiner Komplexität und großen Reichweite stellt LockBit eine der größten Bedrohungen in der modernen Ransomware-Welt dar. Organisationen müssen umfassende Sicherheitsmaßnahmen ergreifen, um sich vor dieser Ransomware und anderen Varianten zu schützen.

Dao Trung Thanh

Teil 2: Vom VNDirect-Angriff zur Anti-Ransomware-Strategie