Was ist Ransomware?

Die Cybersecurity and Infrastructure Security Agency (CISA) definiert Ransomware als eine Art von Malware, die Bedrohungsakteure verwenden, um Computer zu infizieren und Computerdateien zu verschlüsseln, bis ein Lösegeld gezahlt wird. Während eines Ransomware-Angriffs tarnt sich die Malware als legitime Datei und überzeugt Benutzer davon, dass das Öffnen sicher ist. Sobald sie jedoch geöffnet wird, verbreitet sich die Ransomware im Netzwerk, um im Hintergrund Dateien zu infizieren und zu verschlüsseln, ohne dass der Benutzer davon Kenntnis hat.

Sobald das Netzwerk infiziert ist, nehmen die Hacker die verschlüsselten Dateien als Geisel und fordern einen Lösegeldbetrag für die Entschlüsselung der Dateien – oft in Form von Bitcoin oder einer anderen nicht nachverfolgbaren Kryptowährung. Die Hacker drohen dann damit, die gestohlenen Dateien zu veröffentlichen oder im Dark Web zu versteigern. Oft werden Anweisungen zur Lösegeldzahlung bereitgestellt, wobei dem Opfer eine begrenzte Frist zur Zahlung des Lösegelds gesetzt wird, bevor die Dateien offengelegt oder verkauft werden. Sobald der Lösegeldbetrag gezahlt ist, senden die Bedrohungsakteure einen Entschlüsselungscode, damit das Unternehmen seine Dateien wiederherstellen kann.

Auch wenn sie einfach erscheinen mögen, sind Ransomware-Angriffe vielschichtig und folgen einer Reihe sorgfältig aufgebauter Schritte. Die meisten Ransomware-Angriffe nutzen ausgenutzte Schwachstellen oder Social-Engineering-Methoden, um in ein Netzwerk einzudringen. Die bedauerliche Realität ist, dass sich viele Unternehmen nicht vollständig vom Reputations- oder Finanzschaden eines Ransomware-Angriffs erholen – er hinterlässt eine Spur der Verwüstung im öffentlichen und privaten Sektor.

Im Durchschnitt wurden allein zwischen Januar und Februar 2024 weltweit 59 % der Organisationen Opfer eines Ransomware-Angriffs. Diese beliebte Cyberbedrohung ist zu einer bevorzugten Methode für die meisten Kriminellen und Hacktivisten bei privaten und staatlichen Angriffen geworden. Ransomware-Angriffe können verheerende Auswirkungen auf Unternehmen, Einzelpersonen und ganze Länder haben.

  • Unternehmen: Statista stellte fest, dass 2023 über 72 % der Unternehmen weltweit von Ransomware-Angriffen betroffen waren. Typischerweise erleidet ein von Ransomware betroffenes Unternehmen noch lange nach dem eigentlichen Angriff anhaltende Verluste. Von finanziellen und Reputationsschäden hin zu Betriebsausfällen und rechtlichen Konsequenzen – Unternehmen werden durch die Wiederherstellung nach einem Ransomware-Angriff oft lahmgelegt. Kleine und mittlere Unternehmen riskieren die Schließung, wenn die Mittel für eine effektive Wiederherstellung fehlen.
  • Einzelpersonen: Ransomware betrifft auch die Allgemeinheit. Indem Kundendaten und -informationen genutzt und möglicherweise im Dark Web offengelegt werden, können Ransomware-Angriffe zu allgemeinem Misstrauen gegenüber Unternehmen und zu weiteren gezielten Cyberangriffen auf Einzelpersonen führen.
  • Regierungen/Staatliche Einrichtungen: Kritische Infrastrukturen sind ein bekanntermaßen anfälliger Sektor für Ransomware-Angriffe. Gesundheitseinrichtungen, Behörden und andere kritische Branchen werden aufgrund der Schwere von Ausfallzeiten, bei denen Störungen tödlich sein können, häufig ins Visier genommen.

Während die Auswirkungen und die Verwüstung durch Ransomware exponentiell zuzunehmen scheinen, hatte die Malware selbst recht bescheidene Anfänge. Werfen wir also einen Blick auf die Geschichte der Ransomware von ihren Anfängen bis heute.

What Is Ransomware?

Wie funktioniert ein Ransomware-Angriff?

Die Geschichte der Ransomware

„Kenne deinen Feind“ – dieses Gefühl lässt sich auf fast jede Situation anwenden, und Ransomware ist da keine Ausnahme. Die Untersuchung der Ursprünge der Malware gibt Organisationen und der Öffentlichkeit ein besseres Verständnis dafür, wie sich Ransomware-Angriffe entwickelt haben und wie sie sich weiterentwickeln könnten. Wir haben eine praktische Zeitachse erstellt, um die genaue Geschichte der Ransomware, wie wir sie kennen, darzustellen.

1989: Die Geburt der Ransomware

Der erste aufgezeichnete Ransomware-Angriff fand 1989 statt, als Dr. Joseph Popp 20.000 infizierte Disketten an seine Forscherkollegen auf einer internationalen AIDS-Konferenz der Weltgesundheitsorganisation verteilte. Der führende Biologe verschickte Trojaner-Malware, getarnt als Fragebogen, der angeblich helfen sollte, das Risiko von Patienten, an AIDS zu erkranken, zu bestimmen. Die Malware blieb auf den Computern ruhend, bis diese 90 Mal neu gestartet wurden. Dann wurden die Dateien des Benutzers verschlüsselt, und eine Lösegeldforderung erschien auf dem Bildschirm, die verlangte, 189 US-Dollar an die PC Cyborg Corp. an ein Postfach in Panama zu senden. Diese Malware wurde später als das erste „digitale AIDS“ bekannt.

1992: David Naccache und Sebastiaan von Solms

Wenige Jahre nach Popps Ransomware-Aktion hatten David Naccache und Sebastiaan von Solms 1992 die Idee, anonyme Geldsysteme zu nutzen, um Lösegeld bei Entführungen sicher einzusammeln. Diese Technik nutzte eine Zeitung, um das Geld elektronisch zu übermitteln – da Kryptowährungen damals noch nicht existierten.

1996: Young und Yong

Adam L. Young und Moti Yung waren opportunistische Hacker, die die Idee der Public-Key-Kryptographie in Ransomware-Angriffe einführten, indem sie ein Proof-of-Concept implementierten, das eine Mischung aus Rivest-Shamir-Adleman (RSA) und Tiny Encryption Algorithm (TEA) verwendete, um die Daten des Opfers mit einem öffentlichen Schlüssel zu verschlüsseln. Im Gegensatz zum AIDS-Trojaner musste diese Ransomware den Entschlüsselungsschlüssel nicht enthalten – so konnten die Angreifer ihn geheim halten. Der ursprüngliche experimentelle Kryptovirus von Young und Yung sah vor, dass das Opfer den asymmetrischen Chiffretext an den Angreifer sendet, der ihn dann entschlüsselt und den darin enthaltenen symmetrischen Entschlüsselungsschlüssel gegen eine Gebühr an das Opfer zurückgibt.

2000: Onel de Guzman

Im Jahr 2000 schuf Onel de Guzman den berüchtigten „Lovebug“- oder „ILOVEYOU“-Virus – einen Computerwurm, der Dateien überschrieb, Passwörter stahl und Kopien von sich selbst an alle Kontakte in der E-Mail-Liste des Empfängers sendete. Der Virus betraf Millionen weltweit und verursachte weitreichenden Datenverlust.

Mitte der 2000er: Verschlüsselungsbasierte Ransomware

Zur Jahrhundertwende explodierte die Internetnutzung förmlich, die Zahl der Internetnutzer stieg von 39,14 Millionen im Jahr 1995 auf 2 Milliarden im Jahr 2010. Die massive Digitalisierung öffnete die Tür für fortschrittliche Ransomware-Angriffe. Viele Hacker nutzten benutzerdefinierte Entschlüsselungsschlüssel, wie beim 20-Dollar-GPCode-Decrypt-Hack, der 2005 stattfand.

2013–2015: Der Aufstieg der Bitcoin-Ransomware

Das Aufkommen von Bitcoin und anderen Kryptowährungen im Jahr 2010 revolutionierte die Ransomware-Szene nachhaltig, indem es eine anonyme und nicht nachverfolgbare Zahlungsmethode bot. Dies bereitete die Bühne für eine neue Art von Ransomware namens CryptoLocker im Jahr 2013 – eine Malware, die die Leistungsfähigkeit von Bitcoin mit fortschrittlicher Verschlüsselung kombinierte. Sie verwendete 2048-Bit-RSA-Schlüsselpaare, die von einem Command-and-Control-Server generiert wurden, und übermittelte sie an das Opfer, um dessen Dateien zu verschlüsseln und 300 US-Dollar für den Schlüssel zu fordern.

2015 – Heute: Big Game Hunting (Jagd auf große Ziele)

Seitdem sind Bedrohungsakteure von opportunistischen Angriffen zu gezielten Ransomware-Kampagnen gegen bestimmte Organisationen übergegangen – dem sogenannten Big Game Hunting. Obwohl Ransomware-Angriffe auf kleinere Ziele weiterhin existieren, gab es eine deutliche Verschiebung hin zur Fokussierung auf hochwertige Unternehmen, bei denen höhere Lösegelder gefordert werden konnten. In jüngster Zeit wurden kritische Infrastrukturen aufgrund der entscheidenden Natur ihrer Dienste zu einem stark angegriffenen Sektor – was diese Einrichtungen anfälliger dafür macht, ein Lösegeld zu zahlen, um den Betrieb aufrechtzuerhalten.

Wie wir aus der obigen Zeitachse sehen können, hat Ransomware in den vergangenen Jahrzehnten einige Entwicklungssprünge gemacht. Von Kleinkriminalität und simplen Disketten hin zu vielschichtigen und komplexen Cyberbedrohungen ist Ransomware zu einer großen Cybersicherheitsgefahr geworden. Zu allem Überfluss sind wir jetzt in der Phase der Ransomware-as-a-Service-Plattformen angekommen.

Das Ransomware-as-a-Service (RaaS) Geschäftsmodell

Das Ransomware-as-a-Service (RaaS) Geschäftsmodell wurde von Programmierern und Hackern entwickelt, um Ransomware-Angriffsmodelle zu erstellen und an Affiliates (Partner) zu verkaufen. Genau genommen ermöglicht RaaS jedem Bedrohungsakteur, vorgefertigte Ransomware zu nutzen, um seinen eigenen Cyberangriff durchzuführen – unabhängig von seiner Expertise oder seinem Wissen. Es existieren heute mehrere RaaS-Websites, die eine einfache Servicegebühr für schädlichen Code verlangen und so den Kreis der Ransomware-Angreifer auf Amateur-Hacker ausweiten.

Forbes berichtete, dass das RaaS-Modell erstmals nach der Erfindung der Kryptowährung im Jahr 2009 auftauchte. Natürlich trug Kryptowährung dazu bei, den Aufstieg von Ransomware zu befeuern, indem sie eine nicht nachverfolgbare Zahlungsmethode für Lösegeld bot und es Hackern erleichterte, bösartige Software und Dienste voneinander zu kaufen und zu verkaufen, ohne ihre Identität preiszugeben. Infolgedessen entwickelte sich RaaS zu einer florierenden Branche. Heute wird die weltweit produktivste Ransomware, Lockbit, nach einem RaaS-Modell betrieben, ebenso wie REvil, Ryuk und Egregor.

Ransomware-as-a-Service hat Ransomware zweifellos in den Mainstream gebracht, wo fast jeder für den richtigen Geldbetrag einen Angriff orchestrieren kann. Jetzt ist Ransomware eine der beliebtesten Formen von Malware, die gegen Organisationen eingesetzt wird. Statista unterstrich den Anstieg der Ransomware-Angriffe über mehrere Jahre hinweg – wobei deutlich wurde, dass die Pandemie 2021 ein beliebter Zeitraum für die meisten Ransomware-Angriffe war. 

Annual Number of Ransomware Attempts Worldwide in Millions

Jährliche Anzahl der weltweiten Ransomware-Versuche in Millionen

Quelle: Statista

Im Laufe der Jahre haben sich Ransomware-Angriffe weiterentwickelt, und die Angriffshäufigkeit schwankte. Um das Ausmaß der Zerstörung durch Ransomware-Angriffe richtig einordnen zu können, betrachten wir nun einige der Top-Ransomware-Angriffe des letzten Jahrzehnts.

Die größten Ransomware-Angriffe (2014–2025)

Da sich die Technologie rasant weiterentwickelt und wir uns immer weiter in eine dynamische digitale Ära bewegen, ist es wichtig, aus unseren Fehlern zu lernen.

Top Ransomware-Angriffe 2024

Ransomware-Angriffe sind zu einem Trendthema in allen Sektoren geworden. Insbesondere informierte die Weltgesundheitsorganisation kürzlich die UN über den alarmierenden Anstieg von Cyberangriffen auf Gesundheitseinrichtungen. Im Juli wurde der gemeinnützige Blutspendedienst OneBlood Opfer eines Ransomware-Angriffs, der kritische Softwaresysteme betraf.  

Der Einsatz von KI beim Hacken ist ebenfalls zu einem Besorgnis erregenden Thema für 2024 und darüber hinaus geworden. KI-Cyberangriffe haben seit der breiten Nutzung der Technologie enorm zugenommen – generative KI erleichtert die Erstellung von Schadcode und Phishing-Inhalten. 

Top Ransomware-Angriffe 2023

Cl0p Ransomware nutzt MOVEit-Schwachstellen aus

Im Mai begann der MOVEit-Ransomware-Angriff, als die Cl0p-Ransomware-Gruppe begann, eine zuvor unbekannte SQL-Injection-Schwachstelle (CVE-2023-34362) in der MOVEit Transfer-Software auszunutzen. Die Software wurde von mehreren Unternehmen – und US-Bundesbehörden – verwendet, um Dateien sicher innerhalb von Unternehmenssystemen zu verschieben. Obwohl die Gruppe darauf bestand, alle während der Angriffe gestohlenen Daten von Regierungen, Militär und Kinderkrankenhäusern gelöscht zu haben, wurden dennoch mehrere US-Bundesbehörden von der MOVEit-Sicherheitsverletzung getroffen. Dies führte dazu, dass das „Rewards for Justice“-Programm des US-Außenministeriums ein Kopfgeld von 10 Millionen US-Dollar für Informationen auslobte, die die Cl0p-Ransomware-Angriffe mit einer ausländischen Regierung in Verbindung bringen.

Akira zielt auf kleine und mittlere Unternehmen ab

Nach ihrem Auftauchen im Jahr 2023 bekannte sich die Akira-Ransomware-Gruppe zu Angriffen auf 4LEAF, Park-Rite und Family Day Care Services. Mit Lösegeldforderungen zwischen 50.000 und 500.000 US-Dollar begann Akira Ransomware, aktiv kleine und mittlere Unternehmen auf der ganzen Welt ins Visier zu nehmen, mit Hauptfokus auf die USA und Kanada. Akira dringt häufig über VPN-Dienste in die Zielsysteme von Windows und Linux ein, insbesondere wenn Benutzer keine Multi-Faktor-Authentifizierung aktiviert haben.

Top Ransomware-Angriffe 2022

Contis Ransomware-Kartell

Costa Rica war gezwungen, den Notstand auszurufen, nachdem der Conti-Ransomware-Angriff das Land im April 2022 ins Chaos gestürzt hatte. Der Präsident, Rodrigo Chaves, erklärte, dass die Hacker 27 staatliche Institutionen infiltriert hätten, darunter Gemeinden und staatliche Versorgungsunternehmen. Das Conti-Ransomware-Kartell, das vermutlich von Russland aus operiert, forderte ein Lösegeld von 10 Millionen US-Dollar als Gegenleistung dafür, keine Informationen zu veröffentlichen, die dem Finanzministerium gestohlen wurden und potenziell sensible Informationen wie Steuererklärungen von Bürgern und in der Nation tätigen Unternehmen enthielten.

BlackCat (ALPHV) Advanced Ransomware-as-a-Service

BlackCat operiert nach einem Ransomware-as-a-Service-Modell, bei dem die Entwickler der Malware anderen Gruppen erlauben, sie zu nutzen, und im Gegenzug einen Prozentsatz des Lösegelds erhalten. Bedrohungsakteure, die BlackCat verwenden, setzen oft Triple-Extortion-Taktiken ein: Sie fordern Lösegeld für die Entschlüsselung infizierter Dateien, dafür, gestohlene Daten nicht zu veröffentlichen, und dafür, keinen Denial-of-Service (DoS) oder Distributed-Denial-of-Service (DDoS)-Angriff gegen das Opfer zu starten. Das FBI hat BlackCat mit über 60 Sicherheitsverletzungen während seiner ersten vier Aktivitätsmonate zwischen November 2021 und März 2022 in Verbindung gebracht – und erklärt, dass die Bande bis September 2023 mindestens 300 Millionen US-Dollar an Lösegeldern von über 1.000 Opfern erpresst hat.

Top Ransomware-Angriffe 2021

Colonial Pipeline Angriff verursacht Treibstoffmangel

Bei einem der bedeutendsten Angriffe auf Lieferketten wurde die Colonial Pipeline Company im Mai 2021 Opfer eines Ransomware-Angriffs. Das Unternehmen stellte seine betroffenen IT-Systeme sowie seine Hauptpipeline ein – die für den Transport von hundert Millionen Gallonen Treibstoff täglich zwischen Texas und New York verantwortlich ist. Das FBI bestätigte, dass die DarkSide-Ransomware-Bande für den Angriff verantwortlich war.

DarkSide

Der deutsche Chemiedistributor Brenntag SE zahlte Berichten zufolge ein Lösegeld von 4,4 Millionen US-Dollar in Bitcoin an die DarkSide-Ransomware-Bande, um einen Entschlüsseler für Dateien zu erhalten, die von den Hackern während eines Ransomware-Angriffs auf das Unternehmen verschlüsselt wurden. Bedrohungsakteure verschlüsselten Geräte im Netzwerk und behaupteten, während ihres Angriffs 150 GB an Daten gestohlen zu haben – was sie durch die Erstellung einer privaten Datenleck-Seite mit einer Beschreibung der entwendeten Daten und Screenshots von Dateien bewiesen.

Kaseya VSA Supply-Chain-Angriff

In 2021, REvil affiliates exploited zero-day vulnerabilities in a systems management and monitoring tool developed by a company called Kaseya - compromising over 30 managed service providers (MSPs) from around the world and over 1,000 business networks managed by those MSPs. Net losses have been predicted to be around US$ 200m. 

Top Ransomware-Angriffe 2020

Maze Ransomware

Die Maze-Ransomware trat erstmals durch bösartige E-Mail-Anhänge in Erscheinung. Die Malware wurde jedoch aggressiver, indem sie Datendiebstahl mit Verschlüsselung kombinierte. Maze Ransomware wurde bekannt für ihre Double-Extortion-Methoden – die Veröffentlichung gestohlener Daten, falls das Lösegeld nicht gezahlt wurde. Zu den Opfern der Gruppe gehören der Cyberversicherungsriese Chubb, Southwire, Stockdale Radiology und Sunset Radiology.

Angriff auf Garmin stört GPS-Dienste

Garmin erlitt eine Dienstunterbrechung, nachdem es Ziel eines Angriffs mit einem Malware-Stamm namens WastedLocker wurde – der angeblich von der Evil Corp-Bande eingesetzt wurde. Am Ende erhielt Garmin einen Entschlüsselungsschlüssel, um den Ransomware-Angriff zu stoppen und seine verschlüsselten Dateien freizugeben. Obwohl nicht veröffentlicht wurde, ob ein Lösegeld gezahlt wurde, teilte ein Mitarbeiter BleepingComputer mit, dass die ursprüngliche Lösegeldforderung 10 Millionen US-Dollar betrug.

REvil

Im IBM Security X-Force Incident Response Report 2020 stellte das Unternehmen fest, dass jede dritte Ransomware-Infektion REvil/Sodinokibi betraf. Der Bericht erklärte weiter, dass die Revil Ransomware-as-a-Service die am häufigsten gefundene in diesem Jahr war – sie nutzte kombinierte Ransomware- und Erpressungsangriffe. Während die Ransomware bei ihrem ersten Auftreten Schwachstellen in Servern und anderen kritischen Assets von KMUs ausnutzte, begann sie im Laufe der Zeit, andere Infektionsvektoren zu verwenden – wie Phishing und Exploit-Kits.

Top Ransomware-Angriffe 2019

Ryuk zielt auf große Organisationen ab

By 2019, the Ryuk ransomware raked in around US$ 3.7 million in Bitcoin payments. According to analysis, the crime organization called Grim Spider has specialized in going after a bigger game with Ryuk – targeting large organizations for a higher ransom return.

Bis 2019 hatte die Ryuk-Ransomware rund 3,7 Millionen US-Dollar an Bitcoin-Zahlungen eingenommen. Analysen zufolge hat sich die kriminelle Organisation namens Grim Spider mit Ryuk darauf spezialisiert, größere Ziele („Big Game“) anzugreifen – sie visierte große Organisationen an, um höhere Lösegelder zu erzielen. 

Sodinokibi (REvil) taucht auf

REvil – oder Sodinokibi – war eine in Russland ansässige, private Ransomware-as-a-Service (RaaS)-Operation, die durch den Einsatz von Double-Extortion-Taktiken bekannt wurde. Sodinokibi ist der Name organisierter Ransomware-Angriffe, die die Transportbranche und den Finanzsektor zum Opfer hatten. REvil, auch bekannt als Sodinokibi, trat erstmals im April 2019 in Erscheinung und gewann an Bedeutung, nachdem eine andere RaaS-Bande namens GandCrab ihren Dienst einstellte.

Top Ransomware-Angriffe 2018

Ryuk Ransomware taucht auf

Die Ryuk-Ransomware ist eine hochentwickelte Cyberbedrohung, die seit 2018 Unternehmen, Krankenhäuser, Regierungseinrichtungen und andere Organisationen ins Visier nimmt. Die Ransomware sorgte für Aufsehen, nachdem sie über die Weihnachtsfeiertage jenes Jahres den Betrieb aller Zeitungen von Tribune Publishing lahmlegte. Die Gruppe hinter der Malware ist dafür bekannt, manuelle Hacking-Techniken und Open-Source-Tools zu verwenden, um sich lateral durch private Netzwerke zu bewegen und administrativen Zugriff auf so viele Systeme wie möglich zu erlangen, bevor die Dateiverschlüsselung eingeleitet wird. Ryuk etablierte sich schnell als „Big Game Hunting“-Malware – zu ihren Zielen gehörten Zeitungen, Krankenhäuser und städtische Organisationseinheiten. 

SamSam-Angriff auf kommunale Systeme der USA

Die SamSam-Ransomware wurde von BOSS SPIDER entwickelt und betrieben – sie nutzte ungepatchte serverseitige Software, um in Netzwerke einzudringen. SamSam steckte hinter dem Ransomware-Angriff auf die Stadt Atlanta, Georgia, im Jahr 2018, der 8.000 Stadtangestellte ohne ihre Computer zurückließ und Bürger daran hinderte, ihre Wasserrechnungen und Parkgebühren zu bezahlen.

GandCrab nutzt Exploit-Kits zur Verbreitung

Im Jahr 2018 wurde die GandCrab-Ransomware über Exploit-Kits verbreitet. Die Ransomware war die erste, die die DASH-Währung akzeptierte. Untersuchungen zeigten, dass GandCrab durch eine Malvertising-Kampagne namens Seamless verbreitet wurde, die Besucher dann zum RIG-Exploit-Kit weiterleitete. Das Exploit-Kit versuchte anschließend, Schwachstellen in der Software des Besuchers auszunutzen, um GandCrab ohne dessen Erlaubnis zu installieren. 

Top Ransomware-Angriffe 2017

WannaCry betrifft 230.000 globale Systeme

Der WannaCry-Ransomware-Angriff wird oft als einer der größten in der Geschichte betrachtet – er infizierte mindestens 75.000 Computer in 99 Ländern und störte Krankenhäuser und Unternehmen weltweit. Shadow Brokers – eine Hackergruppe – nutzte EternalBlue, um eine Schwachstelle in Microsoft Windows-PCs auszunutzen. Sie verschlüsselten Dateien auf Computern weltweit – rund 230.000 Computer – und forderten ein Lösegeld zwischen 300 und 600 US-Dollar in Bitcoin. 

NotPetya Ransomware-Angriff

Leveraging the same EternalBlue exploits as the WannaCry attack, the NotPetya ransomware attack took a more destructive route 

Unter Nutzung derselben EternalBlue-Exploits wie der WannaCry-Angriff verfolgte der NotPetya-Ransomware-Angriff einen destruktiveren Weg und verschlüsselte Dateien dauerhaft, indem er den Master Boot Record von Windows-Computern infizierte, um das System als Geisel zu nehmen. Die modifizierte Ransomware stellte sicher, dass die Dateien nicht wiederhergestellt werden konnten, obwohl das Opfer das Lösegeld zahlte. Der durch NotPetya verursachte Schaden wurde auf mehr als 10 Milliarden US-Dollar geschätzt – er betraf Branchenriesen wie Maersk, FedEx Mondelez, Merck, WPP, Reckitt Benckiser und Saint-Gobain. 

Bad Rabbit Targets Media and Transportation

The Bad Rabbit strain of ransomware is a suspected variant of Petya. Like most ransomware, the virus locks the victim’s computer, server, or files to leverage a ransom payment. The strain first appeared in a ransomware attack on Russia, Turkey, Germany, and Ukraine. While initial attacks were carried out on the Ukrainian Ministry of Infrastructure and Kyiv Public Transport System, the attack seemed to also target media outlets – such as Interfax and Fontanka.ru.

Der Bad Rabbit-Stamm von Ransomware wird als Variante von Petya vermutet. Wie die meisten Ransomware sperrt der Virus den Computer, Server oder die Dateien des Opfers, um eine Lösegeldzahlung zu erzwingen. Der Stamm trat erstmals bei einem Ransomware-Angriff auf Russland, die Türkei, Deutschland und die Ukraine auf. Während die ersten Angriffe auf das ukrainische Infrastrukturministerium und das öffentliche Verkehrssystem von Kiew abzielten, schien der Angriff auch Medienunternehmen – wie Interfax und Fontanka.ru – ins Visier zu nehmen. 

Top Ransomware-Angriffe 2016

Locky zielt auf Krankenhäuser und Gesundheitssysteme ab

Eine massive Welle der Locky-Ransomware wurde gegen Krankenhäuser eingesetzt – sie infizierte Systeme mit der dateiverschlüsselnden Malware. Forschern zufolge wurde die Nutzlast über ".DOCM"-Anhänge eingeschleust, bei denen es sich um makrofähige Office 2007 Word-Dokumente handelt. Krankenhäuser sind aufgrund ihrer kritischen Natur und der Fülle an persönlichen Daten, die sie speichern, oft ein attraktives Ziel für Ransomware-Angriffe. 

Petya führt Master Boot Record (MBR)-Verschlüsselung ein

Die Petya-Ransomware-Variante trat erstmals Anfang 2016 auf und kann als 3-stufige Ransomware betrachtet werden. Bei der Ausführung überschreibt Petya als Erstes den Master Boot Record (MBR) der Festplatte und implantiert einen benutzerdefinierten Bootloader, was zum Absturz von Windows führt. Nach dem Neustart zeigt das System einen gefälschten CHKDSK-Bildschirm und einen blinkenden Totenkopf an. Nach Drücken einer beliebigen Taste erscheinen die Anweisungen zur Lösegeldzahlung. Die Entwickler von Petya gehen über die einfache Verschlüsselung von Dateien hinaus und nehmen auch den gesamten Inhalt der Festplatte als Geisel, indem sie zusätzlich die Master File Table (MFT) verschlüsseln – wodurch das gesamte Dateisystem unbrauchbar wird, bis das Lösegeld gezahlt ist.

Top Ransomware-Angriffe 2015

TeslaCrypt zielt auf Spieledateien ab

TeslaCrypt war die erste Ransomware, die aktiv Spieledateien auf PCs ins Visier nahm. Die Malware verschlüsselte Datendateien von Spielen wie Call of Duty, Dragon Age, Minecraft, Diablo und mehr – sie wurde über eine kompromittierte Website verbreitet, die Besucher mithilfe eines Flash-Clips zum Angler-Exploit-Kit weiterleitete. Die Malware sperrt typischerweise das System des Opfers, fordert eine Zahlung und erklärt, dass die Dateien des Benutzers verschlüsselt wurden. 

FBI warnt vor starkem Anstieg von Ransomware-Fällen

Im Jahr 2015 verzeichnete der Internet Crime Report des FBI 2.453 Ransomware-Beschwerden – ein starker Anstieg im Vergleich zu den insgesamt 1.402 im Jahr 2014. Das FBI warnte vor der Zunahme von Ransomware-Angriffen und erklärte, dass Computer, als Ransomware erstmals auftrat, überwiegend über E-Mail-Anhänge infiziert wurden, während eine wachsende Zahl von Vorfällen nun „Drive-by“-Ransomware beinhaltet, bei der Benutzer ihre Computer allein durch den Klick auf eine kompromittierte Website infizieren können. 

Top Ransomware-Angriffe 2014

Wiederaufleben von CryptoLocker

CryptoLocker war von September 2013 bis Ende Mai 2014 aktiv und verbreitete Malware über infizierte E-Mail-Anhänge und das Gameover ZeuS-Botnetz. Nach der Installation verschlüsselte die Ransomware die Dateien auf dem Computer des Opfers und forderte eine Zahlung in Bitcoin oder per Prepaid-Cash-Gutschein.

SynoLocker infiziert Synology NAS-Geräte

Synology, ein auf Network Attached Storage (NAS) spezialisiertes Unternehmen, bestätigte, dass einige ihrer DiskStation-Geräte von einer „SynoLocker“-Malware gehackt wurden – sie verbreitete sich über eine Schwachstelle in älteren Versionen ihrer NAS-Software. Die Angreifer forderten 0,6 Bitcoin zur Entschlüsselung der Dateien.

CryptoWall

Die CryptoWall-Ransomware begann, Netzwerke zu infiltrieren, indem sie sich über ausgenutzte Browser-Plug-ins Zugang verschaffte und die Nutzlast herunterlud oder indem sie als Nutzlast in einem Bild verschlüsselt und über anonyme E-Mail-Kampagnen versendet wurde. Sobald das infizierte Bild heruntergeladen wurde, führte die Nutzlast das CryptoWall-Skript aus und infizierte den Computer. Laut dem FBI gingen zwischen April 2014 und Juni 2015 mehr als 992 Beschwerden im Zusammenhang mit CryptoWall ein – in diesem Zeitraum meldeten Opfer Verluste von über 18 Millionen US-Dollar.

Beliebte Ransomware-Gruppen

Während der Durchschnittsbürger möglicherweise Schwierigkeiten hat, einen groß angelegten Ransomware-Angriff durchzuführen, werden die meisten Ransomware-Angriffe von Ransomware-as-a-Service-Banden oder von einigen der führenden Ransomware-Banden selbst durchgeführt. Dies sind einige der wichtigsten Namen im Bereich der aktuellen Ransomware.

Brain Cipher ist eine Ransomware-Gruppe, die Schlagzeilen machte, indem sie in das nationale Rechenzentrum Indonesiens eindrang und ein Lösegeld von 8 Millionen US-Dollar forderte. Die Gruppe wurde erstmals Mitte 2024 identifiziert. Ihre Ransomware ähnelt stark derjenigen, die mit dem geleakten LockBit 3.0 Builder erstellt wurde – was darauf hindeutet, dass die Gruppe diesen Builder wahrscheinlich zur Erstellung ihrer Malware verwendet hat. Die Gruppe leitet Opfer oft auf eine Tor-basierte Kommunikationsseite für Lösegeldverhandlungen – und nutzt weiterhin Dark-Web-Plattformen, um Sicherheitsverletzungen bekannt zu geben und den Ruf zu schädigen, um Lösegeldzahlungen zu beschleunigen.

Die Hellcat-Ransomware-Gruppe erlangte seit Oktober 2024 in kurzer Zeit massive Aufmerksamkeit, indem sie hochkarätige Organisationen angriff. Im November griff die Gruppe das französische multinationale Unternehmen Schneider Electric an und behauptete, 40 GB Daten gestohlen zu haben. Merkwürdigerweise forderte die Gruppe ein Lösegeld von 125.000 US-Dollar in Form von Baguettes, um Schlagzeilen zu machen, gab dann aber an, eine Zahlung in Monero, einer auf Privatsphäre ausgerichteten Kryptowährung, zu erwarten. Die Ransomware-Gruppe infiltriert normalerweise hochsensible Systeme, um große Mengen sensibler Daten zu stehlen, und droht dann mit deren Veröffentlichung, falls ihre Lösegeldforderungen nicht erfüllt werden. 

Die Ransomware-Gruppe REvil – auch bekannt als Ransomware Evil oder Sodinokibi – war eine berüchtigte russische Ransomware-as-a-Service (RaaS)-Plattform. Die Gruppe bekannte sich zu vielen hochkarätigen Angriffen und wurde schnell zu einer ernstzunehmenden Kraft. Die Gruppe wurde jedoch 2022 auf Ersuchen der USA zerschlagen

Die DarkSide-Ransomware-Gruppe trat im August 2020 in Erscheinung und wurde schnell zu einer führenden Ransomware-as-a-Service-Plattform. DarkSide gibt sich als professionelle Gruppe aus und verfolgt oft einen sehr gezielten Ansatz – wobei Double-Extortion Teil ihres Arsenals ist. Die Gruppe war für den Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021 verantwortlich. 

Die CL0P-Ransomware-Gruppe entstand 2019 und verwendet ihre namensgebende Ransomware, die zur Cryptomix-Ransomware-Familie gehört. Die Ransomware verwendet die Erweiterung „.clop“, nachdem sie die Dateien eines Opfers verschlüsselt hat. Ein weiteres einzigartiges Merkmal der Malware ist die Zeichenfolge „Don’t Worry C|0P" in der hinterlassenen Lösegeldforderung. Die Ransomware versucht, Windows Defender zu deaktivieren und Microsoft Security Essentials zu entfernen, um einer Erkennung zu entgehen.

Die RansomHub-Ransomware-Gruppe tauchte Anfang 2024 auf und gilt bereits als eine der produktivsten Ransomware-Gruppen überhaupt. Laut einer Warnung der US-Regierung haben mit der RansomHub-Gruppe verbundene Bedrohungsakteure seit ihrer Gründung im Februar 2024 Daten von mindestens 210 Opfern verschlüsselt und exfiltriert. Die Gruppe ist wahrscheinlich eine aktualisierte Iteration der älteren Knight-Ransomware und zielt auf mehrere Plattformen ab, um Schwachstellen für den Erstzugriff auszunutzen. Die Ransomware-as-a-Service-Plattform hat auch hochkarätige Affiliates von anderen prominenten Varianten angezogen – wie LockBit und ALPHV. 

Die Play- oder PlayCrypt-Ransomware-Gruppe ist seit Juni 2022 aktiv und hat weltweit eine breite Palette von Unternehmen und kritischen Infrastrukturen betroffen. Dem FBI waren bis Oktober 2023 etwa 300 betroffene Einrichtungen bekannt, die angeblich von der Ransomware-Gruppe ausgenutzt wurden. Es wird vermutet, dass es sich um eine geschlossene Gruppe handelt, die darauf ausgelegt ist, „die Geheimhaltung von Deals zu garantieren“, und oft Double-Extortion-Methoden verwendet, um Daten zu exfiltrieren und als Druckmittel einzusetzen. 

Die Hunters International Ransomware-Gruppe wurde Ende 2023 gestartet und aufgrund ihrer Code-Ähnlichkeiten als mögliches Rebranding von Hive eingestuft. Im Jahr 2024 meldete die Gruppe 134 Ransomware-Angriffe gegen verschiedene Organisationen weltweit – womit sie auf Platz zehn der aktivsten Gruppen in diesem Bereich rangiert.

Die Akira-Ransomware-Gruppe tauchte 2023 auf und stieg schnell auf, indem sie mehrere Organisationen angriff. Die Ransomware ist darauf ausgelegt, Daten auf infizierten Computern zu verschlüsseln, indem sie die Erweiterung „.akira“ an Dateinamen anhängt. Laut einer IC3-Warnung hat die Ransomware-Gruppe bis Januar 2024 über 250 Organisationen betroffen und Lösegelder in Höhe von etwa 42 Millionen US-Dollar erpresst.

Organisationen vor Ransomware schützen

Cybersicherheit muss für alle Organisationen, die im digitalen Zeitalter expandieren möchten, zur Priorität werden. Die Folgen eines Cyberangriffs sind zu gravierend, um den Fokus auf Ransomware-Schutz und -Prävention zu vernachlässigen. Hier sind einige Möglichkeiten, wie sich Ihre Organisation gegen Ransomware verteidigen kann.

Proaktive Maßnahmen

Paul Webber, Senior Director Analyst bei Gartner, erklärte, dass Organisationen sich auf Vorbereitung und frühzeitige Abwehr konzentrieren müssen, um Verluste durch Ransomware zu minimieren. Proaktive Cybersicherheit bedeutet, Angriffe vorherzusehen und durch das Erkennen potenzieller Schwachstellen im Netzwerk zu verhindern, bevor sie ausgenutzt werden können. Beispiele für proaktive Maßnahmen sind der Einsatz von Bedrohungserkennung, Firewalls oder Schwachstellentests.

  • Organisationen sollten regelmäßige Datensicherungen durchführen und Backup-Systeme isolieren – zum Beispiel durch das Sichern von Unternehmensdaten auf einem passwortgeschützten externen Laufwerk, das vom Hauptnetzwerk getrennt ist und so bei einem Ransomware-Angriff nicht erreicht werden kann.
  • Ein effektives Endpoint Detection and Response (EDR)-Tool sorgt dafür, dass die Endpunkte Ihres Netzwerks genau überwacht und geschützt sind. Sangfor Endpoint Secure verwendet innovative Anti-Ransomware-Tools – wie den weltweit ersten Ransomware-Honeypot für Endpoints – um den Verschlüsselungsprozess schnell zu erkennen und zu beenden, wodurch Schäden minimiert werden. Die Verschlüsselungsanwendung wird identifiziert und auf anderen betroffenen Systemen lokalisiert, sodass sie mit einem einzigen Klick („One-Click Kill“) im gesamten Unternehmen entfernt werden kann.
  • Phishing-E-Mails sind eine der häufigsten Methoden, wie Malware in ein Netzwerk gelangt. Stärken Sie Ihr Unternehmen proaktiv, indem Sie starke E-Mail-Sicherheitsrichtlinien und Spam-Filter in Ihrer gesamten Belegschaft durchsetzen. E-Mail-Gateways können Dateien anhand ihrer Erweiterung filtern – stellen Sie daher sicher, dass Ihr Unternehmen E-Mails mit ungewöhnlichen oder verdächtigen „.EXE“-Erweiterungen blockiert.

Mitarbeiterschulungen

Ihre Mitarbeitenden sind die erste Verteidigungslinie bei einem Cyberangriff. Ihr Verhalten entscheidet in den ersten kritischen Minuten über Ausmaß und Wirkung eines Ransomware-Angriffs. Daher ist es entscheidend, Ihr Personal im richtigen Verhalten zu schulen. Laut einer Studie führen Schulungen zur Cybersecurity-Bewusstseinsbildung zu einer 70%igen Risikoreduktion bei sicherheitsrelevanten Vorfällen.

  • Schulen Sie Ihre Mitarbeitenden in Bezug auf Phishing-Angriffe und grundlegende Cyberhygiene. So stellen Sie sicher, dass sie keine verdächtigen Links anklicken oder Anhänge öffnen und sich sicher im Internet bewegen. Investieren Sie in Kampagnen zur Cybersicherheitsaufklärung und fördern Sie eine Kultur digitaler Vorsicht.
  • Bereiten Sie Ihr Team zusätzlich durch regelmäßige Simulationen vor, um das Bewusstsein und Wissen zu testen. Diese Tests helfen den Mitarbeitenden, aus Fehlern zu lernen und ihre Reaktionsstrategien in einem sicheren und konstruktiven Umfeld zu verbessern. Organisationen können auch Anreize für korrekte Reaktionen bieten – um gutes Verhalten in der Cyberhygiene positiv zu verstärken.

Anti-Ransomware-Lösungen

Anti-Ransomware-Lösungen sind Dienste und Plattformen, die speziell dafür entwickelt wurden, Ransomware-Angriffe zu vermeiden, zu erkennen, zu bekämpfen und sich davon zu erholen. Während viele Sicherheitslösungen einen umfassenden Schutz bieten, bieten Anti-Ransomware-Lösungen einen gezielten, praktischen und proaktiven Ansatz zur Reduzierung von Angriffen, zur Stärkung der Endpunkte und zur Absicherung von Schwachstellen – und somit zur Beruhigung von Unternehmen aller Branchen.

Pläne zur Reaktion auf Sicherheitsvorfälle

Wenn ein Ransomware-Angriff im Gange ist, ist es wichtig, ruhig zu bleiben und klaren Anweisungen zu folgen, um weitere Schäden, Ausfallzeiten und Datenverluste zu vermeiden. Dies erfolgt durch die Erstellung eines soliden Reaktionsplans auf Sicherheitsvorfälle. Ziel dieses Plans ist es, die Sicherheitsverletzung einzudämmen, den Schaden zu minimieren und den normalen Betrieb schnell wiederherzustellen.

  • Entwickeln Sie eine spezifische Reaktionsstrategie für Ransomware. Dieser Plan sollte die Benachrichtigung der Behörden, Datensicherung, Sicherung von Endpunkten und die Kontaktaufnahme mit einem professionellen Incident-Response-Team umfassen.
  • Um finanzielle Verluste bei einem Ransomware-Angriff abzufedern, sollte Ihre Organisation in eine Cyber-Versicherung investieren. Diese Police schützt Ihr Unternehmen vor hohen Kosten – sowohl bei einer möglichen Lösegeldzahlung als auch bei der Wiederherstellung.

Während all diese Maßnahmen wirksam sind, stellen Cybersicherheits-Compliance-Standards eine verlässliche Möglichkeit dar, um konsequente Praktiken zur Ransomware-Prävention aufrechtzuerhalten.

Wichtige Compliance-Standards für Cybersicherheit

Ransomware ist ein globales Problem, und digitale Bedrohungen können von Regierungsbehörden und Systemen nicht länger ignoriert werden. Deshalb spielen Cybersicherheits-Compliance-Standards eine entscheidende Rolle beim Schutz von Organisationen vor Ransomware und anderen Cyberbedrohungen. Diese Vorschriften und Gesetze halten Organisationen in Schach und bieten Richtlinien, Strafen und Bestimmungen zur Aufrechterhaltung ausreichender Cybersicherheitspraktiken. Betrachten wir einige der wichtigsten heute verfügbaren Cybersicherheits-Compliance-Standards.

Das NIST-Framework bietet eine Reihe von Standards für viele Unternehmen des privaten Sektors, um Cyberangriffe effektiv zu erkennen, darauf zu reagieren und sich davon zu erholen. Es schafft eine gemeinsame Sprache zum Verständnis komplexer Cyberbedrohungen und zur Lösung schwieriger Cybersicherheitsprobleme. NIST ist eine nicht regulierende Behörde des US-Handelsministeriums, die 1901 gegründet wurde.

Das ISO 27001-Framework konzentriert sich auf mehrere Faktoren der Grundlage von Cybersicherheits-Compliance-Anforderungen. Die Vorschriften werden verwendet, um das Informationssicherheitsmanagement zu gewährleisten, und werden durch eine Zertifizierung geleitet, die den Standard einer Cybersicherheitslösung oder eines Programms validiert.

Der California Consumer Privacy Act von 2018 (CCPA) gibt Verbrauchern mehr Kontrolle über die personenbezogenen Daten, die Unternehmen über sie sammeln, während die CCPA-Vorschriften Anleitungen zur Umsetzung des Gesetzes geben.

Die Europäische Datenschutz-Grundverordnung (DSGVO) ist eines der strengsten Datenschutz- und Sicherheitsgesetze der Welt. Obwohl sie von der Europäischen Union (EU) entworfen und verabschiedet wurde, legt sie Organisationen überall Verpflichtungen auf, solange sie Daten von Personen in der EU gezielt erheben oder sammeln.

Der HIPAA Act von 1996 ist ein Bundesgesetz, das sensible Patientengesundheitsinformationen vor der Offenlegung ohne Zustimmung oder Wissen des Patienten schützt. Dies stellt sicher, dass medizinisches Personal und Organisationen keine Patientenakten oder Informationen offenlegen können. HIPAA besteht auch auf administrativen, physischen und technischen Vorschriften.

Die Hongkong Personal Data (Privacy) Ordinance (Chapter 486 of the Laws of Hongkong) („PDPO“) ist eines der ältesten umfassenden Datenschutzgesetze Asiens und regelt den Umgang mit personenbezogenen Daten durch Datennutzer.

Der Personal Data Protection Act (PDPA) bietet einen grundlegenden Schutzstandard für personenbezogene Daten in Singapur. Er ergänzt sektorspezifische gesetzliche und regulatorische Rahmenbedingungen wie das Bankengesetz und das Versicherungsgesetz. Er umfasst auch verschiedene Anforderungen an die Erhebung, Nutzung, Offenlegung und Pflege personenbezogener Daten in Singapur. 

Der Personal Data Protection Act BE 2562 (2019) (PDPA) von Thailand ist ein primäres Verbraucherdatenschutzgesetz, das die Datenintegrität von Einzelpersonen schützt. Das Gesetz umreißt die Rechte der Nutzer über ihre persönlichen Informationen, gibt Richtlinien für die legale Erhebung und Nutzung von Verbraucherinformationen vor und listet die Strafen für die Verletzung dieser Anforderungen auf. 

Der Data Privacy Act von 2012 - oder Republic Act No. 10173 - schützt die Privatsphäre von Einzelpersonen und gewährleistet gleichzeitig den freien Informationsfluss zur Förderung von Innovation und Wachstum. Das Gesetz regelt auch die Erhebung, Aufzeichnung, Organisation, Speicherung, Aktualisierung oder Änderung, Abfrage, Konsultation, Nutzung, Konsolidierung, Sperrung, Löschung oder Zerstörung personenbezogener Daten. Es stellt ferner sicher, dass die Philippinen die internationalen Standards für den Datenschutz durch die National Privacy Commission (NPC) einhalten.

The Personal Data Protection Act 2010 (PDPA) of Act 709 regulates the processing of personal data of individuals involved in commercial transactions. Under the law, users are protected from any form of abuse during the storage or processing of personal data of individuals in the public and private sectors of Malaysia.

Der Personal Data Protection Act 2010 (PDPA) von Act 709 regelt die Verarbeitung personenbezogener Daten von Einzelpersonen, die an kommerziellen Transaktionen beteiligt sind. Nach dem Gesetz sind Nutzer vor jeglicher Form des Missbrauchs bei der Speicherung oder Verarbeitung personenbezogener Daten von Einzelpersonen im öffentlichen und privaten Sektor Malaysias geschützt. 

Die Sangfor-Lösung für Ransomware-Angriffe

Ransomware entwickelt sich ständig weiter und findet immer fortschrittlichere Wege, um Netzwerke zu infiltrieren. Auch wenn es für Einzelpersonen unmöglich erscheinen mag, etwas zu tun, wenn große Unternehmen angegriffen werden, können doch geeignete Cybersicherheitsmaßnahmen auf kleinerer Ebene implementiert werden, um sicherzustellen, dass man nicht das nächste Opfer eines Ransomware-Angriffs wird.

Sangfor Technologies ist ein Weltklasse-Anbieter für Cybersicherheit und Cloud Computing, der intensive und fortschrittliche Anti-Ransomware-Prävention sowie hochmoderne IT-Infrastruktur bietet. Die Erkennung und Vermeidung von Ransomware war noch nie einfacher als mit dieser integrierten Lösung, die mehrere fortschrittliche Sangfor-Produkte zusammenfügt: 

Sangfor Anti-Ransomware Solution

Sangfor Network Secure, Sangfor Endpoint Secure und Sangfor Engine Zero bilden zusammen die Sangfor-Sicherheitslösung gegen Ransomware. Die Lösung nutzt Sangfor Network Secure, eine fortschrittliche Next-Generation Firewall (NGFW) für umfassende und integrierte Überwachung und Schutz Ihres gesamten Sicherheitsnetzwerks, um jegliche bösartigen Bedrohungen auszumerzen. Zusammen mit Sangfor Endpoint Secure (Endpoint Protection Platform) identifiziert die Lösung bösartige Dateien sowohl auf Netzwerkebene als auch an den Endpunkten. Zusätzlich liefert die Lösung mit Sangfor Engine Zero eine Erkennungsrate von 99,76 % für bekannte und unbekannte Malware im Internet. 

Sangfor Anti-Ransomware Solution

Sangfor Network Secure: Next-Generation Firewall (NGFW)

Sangfor Network Secure ist eine Next Generation Firewall (NGFW), die umfassenden und zuverlässigen Schutz für die Netzwerke und Systeme Ihrer Organisation bietet. Zu den zentralen Vorteilen zählen Kosteneffizienz, KI- und Threat-Intelligence-gestützte Sicherheit, mühelose Sicherheitsoperationen sowie einzigartige Funktionen wie Cloud Deception, WAF und vieles mehr. Sangfor Network Secure wurde im Gartner Magic Quadrant 2022 zum zweiten Mal in Folge als „Visionary“ Anbieter anerkannt, bereits zum 8. Mal im Gartner Magic Quadrant für Network Firewalls vertreten, sowie als ‘Voice of the Customer’ in Gartner® Peer Insights™ von Kunden ausgezeichnet. Zudem wurde Sangfor von Frost & Sullivan zur „Asia-Pacific Next Generation Firewall Company of the Year 2023“ gekürt.

Next-Generation Firewall (NGFW)

Sangfor Cyber Command: Network Detection and Response (NDR) Solution

Die bahnbrechende Network Detection and Response (NDR)-Lösung von Sangfor, Cyber Command, bietet automatisierte Reaktionen auf Bedrohungen, die Ihr System infiltrieren. Sie stärkt die IT-Sicherheit eines Unternehmens durch wachsame Überwachung des gesamten Netzwerkverkehrs, Korrelation von Sicherheitsereignissen aus verschiedenen Quellen und Anwendung von KI-basierter Netzwerkanalyse und Verhaltensanalyse, alles unterstützt durch globale Threat Intelligence. Gartner hat Sangfor Technologies mit Cyber Command zum zweiten Mal in Folge als repräsentativen Anbieter für NDR in seinem Market Guide anerkannt. 

Cyber Command NDR

Sangfor Endpoint Secure: Endpoint Protection Platform (EPP)

Sangfor Endpoint Secure ist eine leistungsstarke Lösung zur Ransomware-Prävention, da sie fortschrittliche Ransomware-Honeypot-Technologie installiert, um Dateiverschlüsselungsprozesse schnell zu identifizieren und zu beenden, bevor größerer Schaden entsteht. Sie erkennt verdächtige Ransomware-bezogene Prozesse und blockiert sie in nur 3 Sekunden, um minimale Auswirkungen auf die Assets der Benutzer sicherzustellen. Sangfor Endpoint Secure erreicht eine Erkennungsgenauigkeit von 99,83 %, indem es Ransomware-Kompromittierungsindikatoren (Indicators of Compromise) einsetzt, die von über 12 Millionen Geräten gesammelt wurden.  

Sangfor Endpoint Secure

Frequently Asked Questions

Ransomware ist eine Art von Schadsoftware, die Dateien verschlüsselt oder Benutzer aus ihren Systemen aussperrt, bis ein Lösegeld gezahlt wird, typischerweise in Kryptowährung. Ein Ransomware-Angriff findet statt, wenn ein Computer oder Netzwerk mit Ransomware infiziert wird, was zur Datenverschlüsselung oder Systemsperrung führt, bis ein Lösegeld gezahlt wird. Einige bekannte Beispiele für Ransomware sind WannaCry, NotPetya, Ryuk usw. Die Entwicklung von Ransomware mit fortschrittlichen Techniken für Einbruch und Lösegelderpressung wird zu einer großen Bedrohung für Organisationen weltweit.

Im Laufe der Ransomware-Geschichte gab es verschiedene Arten von Ransomware, jede mit ihren einzigartigen Merkmalen und Funktionsweisen. Einige Beispiele für Ransomware-Typen sind:

  • Verschlüsselnde Ransomware: CryptoLocker, WannaCry, Locky.
  • Locker Ransomware: Winlocker, Ransomware mit Polizei-Thema.
  • Mobile Ransomware: Android/Simplocker, Pegasus (iOS).
  • Ransomware-as-a-Service (RaaS): Cerber, Satan, Philadelphia.
  • Scareware: Gefälschte Antivirensoftware, Tech-Support-Betrug.
  • Doxware/Leakware: Maze, REvil/Sodinokibi.

Im Laufe der Entwicklung von Ransomware sind Cyberkriminelle raffinierter geworden und nutzen verschiedene Methoden, um Computer mit Ransomware zu infizieren. Einige gängige Methoden umfassen Phishing-E-Mails, bösartige Links, Exploit-Kits, Malvertising, Angriffe auf das Remote Desktop Protocol (RDP), Drive-by-Downloads, Filesharing-Netzwerke und raubkopierte Software.

Einige der berüchtigtsten Ransomware-Angriffe in der Geschichte der Ransomware umfassen: den WannaCry-Angriff 2017, der 200.000 Computer in 150 Ländern betraf und einen Nettoverlust von 4 Milliarden US-Dollar verursachte; NotPetya (Petya) 2017, das einen Verlust von 10 Milliarden US-Dollar verursachte; den Colonial Pipeline-Angriff 2021, der zu finanziellen Verlusten von 4,4 Millionen US-Dollar führte; und REvil, das zwischen 2019 und 2021 200 Millionen US-Dollar erpresste.

Ransomware trat erstmals Ende der 1980er Jahre auf, wobei der früheste dokumentierte Fall der AIDS-Trojaner (auch bekannt als PC-Cyborg) im Jahr 1989 war. Diese Ransomware wurde über Disketten verbreitet und zielte auf Organisationen im Gesundheitswesen ab. Der AIDS-Trojaner verschlüsselte Dateien auf infizierten Systemen und forderte eine Zahlung von 189 US-Dollar an ein Postfach in Panama, um einen Entschlüsselungsschlüssel zu erhalten. Seit dem ersten Angriff hat sich die Ransomware schneller entwickelt, viel schneller als Organisationen erwartet hatten.

Frühe Formen von Ransomware waren im Vergleich zu modernen Varianten relativ simpel. Aufgrund der Entwicklung von Ransomware im Laufe der Zeit sind sie ausgefeilter und weiter verbreitet worden, mit Fortschritten bei Verschlüsselungsalgorithmen, Verbreitungsmethoden (wie E-Mail-Phishing und Exploit-Kits) und Mechanismen zur Lösegeldzahlung (wie Bitcoin und andere Kryptowährungen).

  • Durchführung regelmäßiger Risikobewertungen und Audits zur Sicherstellung der Compliance.
  • Sicherstellung ordnungsgemäßer Protokollierungs-, Überwachungs- und Berichtsmechanismen.
  • Aktualisierung von Datenschutz- und Cookie-Richtlinien zur sicheren Datenerhebung.
  • Bereitstellung wesentlicher Unterstützung für Benutzer, die der Bereitstellung spezifischer Informationen widersprechen möchten (Opt-out).
  • Investition in gemanagte Cybersicherheitsplattformen und Expertise zur Aufrechterhaltung der Compliance.
  • Förderung einer Kultur der Transparenz und Verantwortung am Arbeitsplatz zur Verstärkung positiven Verhaltens.
  • Schulung der Mitarbeiter zu Compliance-Richtlinien und deren Aktualisierung bei Änderungen.

Organisationen können die Welle von Ransomware nicht allein abwehren. Genau deswegen haben viele Länder Organisationen, die sich der Cybersicherheitsverteidigung und Bedrohungsprävention widmen. Ein Schlüsselelement dieser Zusammenarbeit ist die Förderung einer Beziehung zwischen Branchenkollegen zur Verhinderung von Ransomware-Angriffen.

Dies ermöglicht es Organisationen, Bedrohungsdaten und Informationen mit Kollegen zu teilen, um zukünftige Bedrohungen zu mindern und sich leicht zu erholen. Organisationen sollten auch eine Beziehung zu ihren lokalen Strafverfolgungsbehörden aufbauen, um sicherzustellen, dass die Behörden schnell in ihren Incident-Response-Plan einbezogen werden – was spätere rechtliche Probleme mindert und eine Grundlage für ein Strafverfahren schafft. Organisationen sollten sich auch an Agenturen wenden, die sich der Cybersicherheitsintervention widmen.

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) bietet zahlreiche Tools, Ressourcen und Dienste zur Identifizierung und zum Schutz vor Cyberangriffen. Die Agentur arbeitet auch mit Regierungen auf allen Ebenen – sowie mit internationalen und privatwirtschaftlichen Einrichtungen – zusammen, um Informationen auszutauschen und bei der Sicherung von Netzwerken auf globaler Ebene zusammenzuarbeiten.