Was sind die Anzeichen und Symptome eines Ransomware-Angriffs?

Wir alle haben Berichte von Einzelpersonen und Unternehmen gelesen, die aus ihren gesamten Netzwerken ausgesperrt und gezwungen wurden, ein Lösegeld für die Entschlüsselung der Daten zu zahlen, oder die sich ihrer schlimmsten Angst stellen mussten:

Hacker dabei beobachten, wie sie vertrauliche Unternehmens- und persönliche Informationen in die freie Laufbahn bringen!

Aber nichts geschieht über Nacht. Jedes Mal, wenn Sie von Hackern hören, die die Kontrolle über das gesamte System erlangen, geschieht dies nicht automatisch bei einem einzigen erfolgreichen Versuch. In der Tat, um ein ganzes Netzwerk zu durchdringen, verlassen sich Hacker auf Techniken wie Phishing-E-Mails, etc.

Im Falle von Phishing erhalten Sie oder ein Mitarbeiter eine E-Mail und werden aufgefordert, eine Datei herunterzuladen und zu installieren, schlimmer noch, der Angriff kann durch die einfache Öffnung einer mit einer Nutzlast gebundenen Datei erfolgen, die unter anderem durch einen Exploit wie einen Pufferüberlauf ausgeführt wird.

Sobald das Opfer die beabsichtigte Aktion durchgeführt hat, wird den Angreifern Zugang gewährt, sodass die Ransomware-Verschlüsselung nur noch wenige Klicks und Befehle von der Umsetzung entfernt ist.

Sie hatten ja keine Ahnung, dass genau diese Datei, die Sie heruntergeladen und versehentlich versucht haben zu installieren oder ganz einfach geöffnet haben, einen Virus enthält, der Hackern durch eine Hintertür Zugang zu Ihrer Website und/oder Ihrem Netzwerk verschafft. Um Ihnen zu helfen, einen Ransomware-Vorfall zu verstehen und zu verhindern, erörtern wir verschiedene Anzeichen eines Ransomware-Angriffs.

Eine der am weitesten verbreiteten Methoden eines Ransomware-Angriffs ist die Ausnutzung offener Verbindungen von RDP-Ports (Remote Desktop Protocol) durch Brute-Force- und Wörterbuch-Angriffe.

Im Laufe der nächsten Tage oder Wochen bleibt die Hintertür im Hintergrund offen, ohne dass Sie es merken, und protokolliert alle Ihre Tastatureingaben, andere Eingaben, ermöglicht böswilligen Fernzugriff und sendet Daten an die Hacker zurück.

Über RAT (Remote Access Trojan/Tool) und Keylogger erhalten Hacker Administrator-Zugriff, ändern Passwörter und setzen schließlich Ransomware-Verschlüsselung über das Netzwerk ein, wodurch alle Systeme, auf die bei dem Angriff zugegriffen werden kann, nutzlos werden.

Wenn heute ein Lösegeld-Angriff stattgefunden hat, bedeutet dies in der Regel, dass sich Hacker vor etwa einer Woche Zugang zu dem Computer/Netzwerk verschafft haben.

Tatsächlich gibt es unmittelbar Anzeichen für einen Ransomware-Angriff, die unmittelbar auf die Gefahr hinweisen können. Wenn Sie eines oder alle dieser bemerken, trennen Sie sofort die Verbindung zum Netzwerk, rufen Sie Ihre IT-Experten an und melden Sie den Vorfall Ihrer lokalen Intillegence-Agentur und deren Abteilung für Cyberkriminalität. Hier sind einige Vorkommnisse, die Sie beachten müssen:

1. Sie erhalten eine Ransomware-Mitteilung

Gerade das, was bei einem Ransomware-Angriff immer passiert, ist eine Ransomware-Benachrichtigung. Wenn Sie mit verschlüsselten kritischen Informationen aus Ihrem System ausgesperrt wurden und eine Nachricht erhalten, in der mehrere, wenn nicht sogar Zehntausende von Dollar für Bitcoin-Zahlungen gefordert werden, ist das nicht zum Lachen.

Ihr System, ist in der Tat mit Ransomware infiziert.

2. Sie erhalten neue Software-Installationen, die Sie nicht erkennen

Wenn Sie bei der Verwendung eines der Rechner in Ihrem Netzwerk eine komische oder seltsam aussehende Software im Startmenü, eine Desktop-Verknüpfung oder eine nicht erkannte EXE-Datei bemerken, ist das ein Weckruf! Dies ist eines von vielen häufigen Anzeichen für einen Ransomware-Angriff und oder eine bevorstehende Ransomware-Verschlüsselung.

Wenn Sie sich wirklich nicht mehr an die Installation erinnern, trennen Sie Ihr System sofort vom Netzwerk und wenden Sie sich an den IT-Support, der Ihnen bei der Entfernung von Malware zusammen mit einer Reihe forensischer Tests und Berichten hilft.

Denken Sie daran, Hacker sperren Sie nie am ersten Tag aus Ihrem System aus! Es braucht einige Zeit, und Sie haben ein kleines Zeitfenster, vielleicht etwa eine Woche oder so. Verwenden Sie es mit Bedacht!

3. Ihr Computer ist träge oder reagiert langsam

Wenn es Jahre dauert, eine einfache Word Doc-Datei zu öffnen, dann ist etwas faul. Windows-PCs sind berüchtigt dafür, dass sie sich im Laufe der Zeit überladen und verlangsamen, aber all dies geschieht innerhalb einer bestimmten Zeitspanne. Es kann ein Jahr oder so dauern, bis Ihr PC langsamer wird. Wenn Sie jedoch eine schleppende und/oder schlechte PC-Leistung feststellen, ist es an der Zeit, einen Scan durchzuführen, ein Backup zu erstellen, die Festplatte zu formatieren und eine neue Kopie des Betriebssystems zu installieren.

Normalerweise wird Ihr System aufgrund von Festplattenfragmentierung und abnehmenden Speicherressourcen, die als Swap genutzt werden können, träge, aber wir sollten uns Sorgen machen, ob Viren und Malware kontinuierlich Ihre Aktivitäten verfolgen und zuweilen CPU und RAM auslasten, was definitiv ein Zeichen für einen Ransomware-Angriff wäre.

4. Geschützte oder verschlüsselte Dateien

Wenn Ihnen auffällt, dass Daten mit unbekannten Dateierweiterungen angehängt wurden, an deren Änderung Sie sich gar nicht erst erinnern, ist das ein klares Zeichen für einen erfolgreichen Ransomware-Angriff.

Hacker setzen eine AES-Verschlüsselung ein, um Ihre Daten zu verschlüsseln, was durch das Hinzufügen einer Ebene der cypherbasierten Verschleierung zu binären Daten geschieht, die Dateien erstellt, die die Gesamtheit von Dateiinhalten und Dateierweiterungen ändern, wodurch sie für Sie völlig nutzlos werden.

Sobald Sie versuchen, eine verschlüsselte Datei zu öffnen und die folgende Warnung bemerken, sind Sie kompromittiert und ein Ransomware-Angriff wurde erfolgreich ausgeführt:

Windows kann diese Datei nicht öffnen. Um diese Datei zu öffnen, muss Windows wissen, welches Programm Sie verwenden möchten, um sie zu öffnen.

5. Die Webbrowser sind gesperrt und verschlüsselt

Was passiert, wenn Sie im Internet surfen müssen? Sie verwenden Edge, Chrome, Firefox, Opera oder einen anderen verfügbaren Browser.

Wenn eine Herausforderung entsteht, ist das Erste, was einem in den Sinn kommt, die Suche nach der Antwort bei Google!

Aber Moment…Sie können anscheinend nicht auf Ihre Browser zugreifen und erhalten ständig eine Benachrichtigung:

Zahlen Sie 13.000 $ in Bitcoin an diese Adresse, um Ihren Browser und Ihre Dateien zu entsperren!

Da haben Sie’s! Nichts ist ein eklatanteres Zeichen für einen Ransomware-Angriff als eine Forderung nach Bitcoin-Zahlung beim Öffnen von Browsern!

6. Eine Instanz von MimiKatz läuft

MimiKatz ist eine Open-Source-Anwendung, die von Hackern zusammen mit Microsoft Process Explorer verwendet wird, um Benutzeranmeldeinformationen zu stehlen. Sobald Sie eine Instanz von MimiKatz bemerken, isolieren Sie sich sofort von den Netzlaufwerken und schalten Sie Ihre Systeme aus.

Indem Sie dies tun, können Sie die Verbreitung des Virus und einen möglichen Ransomware-Angriff einfach stoppen.

7. Sie erhalten Anweisungen für eine Ransomware-Zahlung

Ein bestätigtes Zeichen einer Ransomware-Infektion ist, dass Sie irgendwo auf dem Desktop, Meine Dokumente, etc. eine Textdatei mit Zahlungsanweisungen erhalten.

Der Dateiname beginnt in der Regel mit einem Unterstrich (_) und die Worte sind in Grossbuchstaben geschrieben, als ob die Bande Sie um Lösegeld anschreit!

8. Sie senden und empfangen unbekannte Massen-E-Mails

Hier ein Beispiel dafür, wie einer unserer Kunden kürzlich im August 2020 Ziel eines Phishing-Angriffs wurde:

Wie sieht eine typische Phishing-E-Mail aus?

Die E-Mail wurde von einer legitimen Adresse über das infiltrierte Netzwerk eines Partnerunternehmens gesendet, jedoch hatte die From-Adressleiste eine seltsam aussehende E-Mail-Adresse. Diese E-Mail wurde von der IT-Abteilung verschickt und vermittelt den Eindruck eines internen Angreifers! Haben Sie das gesehen?

Die Doc-Datei war in der Tat ein Virus und bevor es heruntergeladen wurde, wurde das Problem bereits von unseren Experten hervorgehoben.

9. Ihr Computer stürzt immer wieder ab

Wenn Ihre Leerlaufressourcen ausgereizt werden, z. B. CPU und RAM, sollten Sie bedenken, dass etwas möglicherweise nicht stimmt. Das bedeutet, dass die von Hackern hinterlassenen Viren ihre schmutzigen Geschäfte im Hintergrund ausführen und Ihr System immer wieder zum Absturz bringen.

10. Ihr Active Directory und Ihre Domänencontroller sind deaktiviert

Wie wir bereits erwähnt haben, kommt es nicht über Nacht zu einem Ransomware-Angriff. Hacker infiltrieren Netzwerke und verbringen Wochen damit, das Nutzerverhalten und den Wert von Informationen zu studieren, bevor sie schließlich aufs Ganze gehen und eine Ransomware-Nutzlast starten!

Abgesehen von einem Begrüßungsbildschirm und verschlüsselten Dateien deaktivieren Hacker Antivirensoftware, Active Directory und Domänencontroller, auch wenn sie die Sicherungsdaten auf den Netzlaufwerken nicht schonen.

Was ist bei einem Ransomware-Angriff zu tun?

Ein Ransomware-Angriff ist unglaublich gefährlich, ganze Unternehmen und Konzerne können nach großen Datenverlusten geschlossen werden.

Wenn Sie mehr zu diesem Thema erfahren möchten, haben wir einen ausführlichen Blog-Beitrag zum Thema Was ist im Falle eines Lösegeldangriffs zu tun? Kurz gesagt, hier ist, was Sie tun müssen:

1. Trennen Sie die Systeme vom Netzwerk, und schalten Sie sie nach Möglichkeit ab.
2. Trennen Sie die Sicherungslaufwerke vom System.
3. Suchen Sie die Ursache des Angriffs.
4. Bewertung der Schäden
5. Kommunizieren Sie unter KEINEN Umständen mit den Hackern.
6. Rufen Sie ein Experten-Datenwiederherstellungsunternehmen wie BeforeCrypt an, um mit Hackern zu verhandeln.
7. Entscheiden Sie, ob es wirtschaftlicher ist, das Lösegeld zu zahlen, als das gesamte Büro für Wochen, wenn nicht gar Monate geschlossen zu halten.

Ransomware-Angriffe verschwinden nicht so schnell, und die Geschwindigkeit, mit der sie weiterhin Schaden anrichten, wird wahrscheinlich zunehmen. Entschuldigen Sie, dass ich Ihnen das sagen muss, aber das ist eine ziemlich unangenehme Wahrheit. Zudem empfehlen wir Ihnen nicht, sich einfach auf Ihre Antiviren-Software zu verlassen, wenn es darum geht, Lösegeld zu verhindern und viel weniger, wenn es um die Rückgewinnung von Ransomware geht.

Bleiben Sie wachsam! Halten Sie Ausschau nach allem, was verdächtig aussieht oder sich anfühlt, und halten Sie Ihre Antivirensysteme immer auf dem neuesten Stand. Klicken Sie keine Links in einer E-Mail an, die nicht klar zuzuordnen ist und nicht erwartet wurde.

Wenn Sie sich an die oben genannten Richtlinien halten, ist die Wahrscheinlichkeit, dass Sie kompromittiert und von Ransomware heimgesucht werden, sehr gering.