Fünf häufige Arten von Ransomware

Ransomware ist zu einer ernsten Bedrohung für Unternehmen und Privatpersonen weltweit geworden. Der Coveware by Veeam Q4 2024 Report zeigt, dass die durchschnittliche Lösegeldzahlung im 4. Quartal 2024 bei 553.959 USD lag (was einem Anstieg von 16 % gegenüber dem 3. Quartal 2024 entspricht), der Median der Lösegeldzahlungen in diesem Zeitraum lag bei 110.890 USD. Zwar kann jede Form von Viren, Würmern oder Malware schädlich sein, Ransomware kann jedoch besonders großen Schaden anrichten, da sie darauf abzielt, unter Androhung von Datenverlusten oder -lecks Geld von den Opfern zu erpressen.

In diesem Artikel werden häufige Arten von Ransomware, ihre Funktionsweise und die Möglichkeiten für Benutzer und Systemadministratoren zur Verringerung des Infektionsrisikos erläutert.

Welche fünf Arten von Ransomware gibt es?

Ransomware kann nach der Art der Bedrohung, die sie für ihre Opfer darstellt, in fünf Hauptkategorien eingeteilt werden.

• Lockers: Bei dieser Art von Ransomware werden Benutzer von ihren Computern ausgeschlossen und die Opfer werden aufgefordert, dem Angreifer eine Zahlung (in der Regel in Kryptowährung) zu überweisen, damit die Sperre aufgehoben wird. Die Warnung kann eine Drohung enthalten, die Daten der Benutzer zu löschen, wenn sie der Aufforderung nicht innerhalb eines bestimmten Zeitraums nachkommen.
• Krypto-Ransomware: Diese Variante ist Lockers ähnlich, allerdings werden die Dateien der Opfer hier zusätzlich verschlüsselt, um eine Wiederherstellung jeglicher Daten auf dem System zu verhindern, bis das Lösegeld bezahlt wird. Einige Opfer können möglicherweise auch nach Zahlung des Lösegelds nicht alle verschlüsselten Dateien wiederherstellen.
• Scareware: Scareware ist weniger zerstörerisch als andere Arten von Ransomware. Hier werden die Opfer gewarnt, ihr System sei mit einem Trojaner oder Virus infiziert, und zum Kauf eines Produkts aufgefordert, um das Problem zu beheben.
• Doxware/Leakware: Anstatt den Zugriff auf Daten einzuschränken oder mit ihrer Löschung zu drohen, drohen Doxware-Entwickler damit, sensible Dokumente auf infizierten Rechnern zu veröffentlichen. Doxware und Scareware überschneiden sich manchmal. So werden Benutzer von Piraterie-Websites Ziel von Ransomware, die damit droht, die Behörden darüber zu informieren, dass sie illegale Dateien heruntergeladen haben.
• Ransomware-as-a-Service (RaaS): Professionelle Hacker bieten unerfahrenen Angreifern ihre Dienste an. Die Hacker verbreiten die Ransomware, nehmen Zahlungen an und kümmern sich um die Entschlüsselung. Hierfür erhalten sie einen Prozentsatz der Zahlung.

Computer können versehentlich mit Ransomware infiziert werden, wenn Benutzer infizierte Software von bösartigen Websites herunterladen, oder durch gezielte Angriffe. Es ist ein weit verbreiteter Witz, dass Malware jetzt mit Kundenservice kombiniert wird, da die Hacker den Opfern beim Kauf von Kryptowährungen und der Überweisung zur Zahlung des Lösegelds behilflich sind.

Beispiele für Ransomware-Varianten

Es gibt mehrere Ransomware-Varianten, mit jeweils eigenem Infektionsmechanismus. Einige der bekanntesten Ransomware-Varianten sind:

• Akira: Diese Ransomware wurde im März 2023 erstmals entdeckt. Akira zielte zunächst auf Windows-Systeme ab, im April 2023 kam dann aber eine Linux-Variante hinzu. Von dieser Ransomware waren vermutlich mehr als 250 Unternehmen betroffen, die Hacker haben Lösegeld in Höhe von mehr als 42 Millionen USD erbeutet.
• RansomHub: RansomHub wurde im Februar 2024 veröffentlicht und ist eine Form von Ransomware, die Daten verschlüsselt und exfiltriert. Bislang hat es bereits mehr als 200 Opfer dieser Ransomware gegeben, darunter auch Organisationen des öffentlichen Gesundheitswesens und Behörden. Die Methoden der Datenexfiltration von RansomHub variieren, je nachdem, welche Gruppe das Tool verwendet.
• Blacksuit (Royal): Royal-Ransomware ist eine relativ neue Variante, die im Jahr 2023 veröffentlicht wurde. Diese Ransomware führt eine Datenexfiltration durch und gibt die Daten der Opfer öffentlich im Internet preis, wenn kein Lösegeld gezahlt wird. Die Ransomware zielt in der Regel auf große Organisationen ab; die Lösegeldforderungen belaufen sich auf bis zu 60 Millionen USD.
• Cicada3301: Cicada3301 weist viele Ähnlichkeiten mit der Ransomware BlackCat auf, ist in Rust geschrieben und hat sich zu einem beliebten Tool unter Black-Hat-Pentestern entwickelt, die als Ransomware-Affiliates Geld verdienen wollen. Diese Ransomware zielt in erster Linie auf kleine und mittelgroße Unternehmen ab und kann eine Vielzahl gängiger moderner Betriebssysteme und Architekturen infizieren.
• Fog: Fog wurde erstmals im Mai 2024 beobachtet. Es handelt sich hier um eine Ransomware, die zunächst auf US-amerikanische Bildungseinrichtungen abzielte. Sie arbeitet schnell und schafft es in nur zwei Stunden vom ersten Eindringen bis zur Datenexfiltration und Verschlüsselung. Die Ransomware nutzt für ihre Befehls- und Steuerungskommunikation eine legitime Remote-Desktop-Anwendung. Dadurch ist es schwierig, Angriffe bereits in den frühen Stadien der Infektion zu erkennen.
• Qilin: Dieser Ransomware-as-a-Service-Betreiber erschien 2022 auf der Bildfläche und wurde 2024 berühmt, nachdem er gestohlene Daten von Synnovis, einem Zulieferer des britischen National Health Service, veröffentlichte. Qilin zahlt Affiliates 80 % des Lösegelds, das sie verdienen, und hat zahlreiche große Organisationen in den USA und Europa infiziert.

FAQ zu Ransomware

Die Antworten auf die folgenden häufig gestellten Fragen können weitere Einblicke in Ransomware-Angriffe gewähren.

Was ist die häufigste Art eines Ransomware-Angriffs?

Krypto-Ransomware ist die häufigste Art eines Ransomware-Angriffs. Bei dieser Art von Ransomware werden die Dateien der Opfer verschlüsselt, sodass sie bis zur Zahlung des Lösegelds nicht mehr darauf zugreifen können. In vielen Fällen sind die Daten auch nach Zahlung des Lösegelds nicht wiederherstellbar.

Was sind die vier am häufigsten verwendeten Vektoren für Ransomware?

Zu den vier häufigsten Angriffsvektoren für Ransomware gehören E-Mail-Anhänge, Browser-Pop-ups, Sofortnachrichten und Textnachrichten. Die meisten Angriffe verleiten die Benutzer dazu, eine bösartige ausführbare Datei auszuführen.

Was sind die drei Hauptursachen für erfolgreiche Ransomware-Angriffe?

Die häufigsten Ursachen für erfolgreiche Ransomware-Angriffe sind Benutzerfehler (wenn Benutzer beispielsweise auf Phishing-Angriffe hereinfallen) oder unzureichende Cybersicherheitspraktiken. Wenn Sie beispielsweise Software aus einer unbekannten Quelle installieren, auf einen bösartigen Link klicken oder unbekannte USB-Geräte an einen Computer anschließen, könnte es zu einer Ransomware-Infektion kommen.

Schützen Sie sich vor Ransomware mit Veeam

Mit verschiedenen Maßnahmen können sich Organisationen vor Ransomware schützen.

Die Verwendung von Antivirensoftware und Werbeblocker-Tools kann die Wahrscheinlichkeit einer Infektion verringern. Die regelmäßige Durchführung von Sicherheitsupdates stellt eine weitere wichtige Sicherheitsmaßnahme dar.

Technische Lösungen können jedoch nur bis zu einem gewissen Grad unterstützen. Es ist wichtig, Ihre Mitarbeiter in Sachen Cybersicherheit zu schulen, damit sie weniger leicht auf Phishing-Angriffe oder Social-Engineering-Versuche hereinfallen.

Doch selbst mit diesen Vorsichtsmaßnahmen besteht noch das Risiko, Opfer eines neuen Angriffs zu werden. Hier ist der Ransomware-Schutz von Veeam die Lösung. Moderne Ransomware ist so raffiniert, dass einige Varianten die Windows-Systemwiederherstellung deaktivieren und auf Ihre Netzlaufwerk-Backups zugreifen können, sodass Sie Ihre Daten nicht mehr wiederherstellen können. Wir empfehlen Unternehmen, für einen optimalen Datenschutz die Regel 3-2-1-1-0 zu befolgen. Selbst wenn Ihre Netzwerk-Backups in irgendeiner Weise von der Ransomware betroffen sind, können Sie immer noch auf ein externes und Offline-Backup zurückgreifen, um einen Notfall zu vermeiden.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre Daten mit Veeam Backup & Replication vor Ransomware schützen können, nehmen Sie noch heute Kontakt mit uns auf, um mit einem Vertriebsmitarbeiter zu sprechen oder eine Demo zu vereinbaren.