Eine Schadsoftware kann über eine Vielzahl ausgeklügelter Verfahren verbreitet werden. Die drei am häufigsten Methoden sind bösartige Anhänge und Links in E-Mails, Drive-by-Downloads und Fernzugriff. Wie man sich schützen kann und das Infektionsrisiko minimieren kann, wird im Folgenden erklärt.
Die häufigsten Ransomware-Infektionswege:
E-Mail-Malware: Der Dauerbrenner
Dieser Infektionsweg lässt sich in zwei Varianten unterteilen: Das Herunterladen bösartiger Anhänge und das Klicken auf bösartige Links innerhalb des E-Mail-Textes. Für beide Varianten ist eine Aktion des Nutzers erforderlich, wodurch sie zu den am leichtesten vermeidbaren Infektionswegen gehören.
Das Vorgehen: Der Angreifer erstellt zunächst eine E-Mail, die angeblich von einem seriösen Unternehmen kommt. Im Anhang befindet sich eine Datei im Format einer komprimierten übertragbaren ausführbaren Datei (PE), eines Word-Dokuments oder einer Windows-Skriptdatei. Hier ist nun die Aktion des Anwenders erforderlich. Da der Empfänger glaubt, die E-Mail stamme von einem vertrauenswürdigen Absender, öffnet er die Datei. Sobald die Datei geöffnet wurde oder im Falle des Word-Dokuments Makros aktiviert sind, wird die versteckte Schadensfunktion (ein sogenannter Payload) der Malware automatisch heruntergeladen und die Infizierung des Systems beginnt.
Bösartige Links in E-Mails unterscheiden sich nur insofern, dass sie direkt im Text der E-Mail integriert sind. Indem man auf den Link klickt, wird die Ransomware heruntergeladen. Oft lassen sich diese Betrugsversuche jedoch an schlechten Formulierungen oder Rechtschreibfehlern erkennen.
Drive-by-Downloads: Infizierung des Systems
Exploit-Kits sind Programmcodes, die Schwachstellen in einem System ausnutzen. Meistens werden sie ausgeführt, wenn das Opfer eine kompromittierte Website aufruft oder von einer gehackten vertrauenswürdigen Seite auf die schädliche Seite umgeleitet wird. Der Schadcode ist dabei im Code der Seite versteckt. Häufig handelt es sich hier um Werbeanzeigen, die den Nutzer unbemerkt auf die Zielseite des Exploit-Kits weiterleiten.
Sollte das System über Schwachstellen verfügen, kann durch einen Drive-by-Download bösartige Software auf Ihrem Computer ausgeführt und das System gegen ein Lösegeld gesperrt werden. Ohne weiteres Zutun des Anwenders können Hacker so Zugang zum System erhalten. Hierbei werden nicht geschlossene Sicherheitslücken in beliebten Programmen ausgenutzt. Dadurch bleibt die Infizierung unbemerkt, bis eine Lösegeldforderung angezeigt wird, und man hat keine Ahnung, woher diese kommt.
Fernzugriff: Schnelle Infizierung von Netzwerken durch Angriffe auf RDP-Server
RDP-Angriffe (Remote Desktop Protocol – ein Windows-Protokoll für Fernzugriff) sind möglich, wenn Unternehmen die RDP-Clientports für das Internet offen lassen. Angreifer scannen dazu Blöcke von IP-Adressen nach offenen RDP-Ports. Wurden welche gefunden, werden daran sehr schnell verschiedenste Wortkombinationen ausprobiert, um die Zugangsdaten für den Fernzugriff herauszufinden. Nutzen Server-Administratoren dann Zugangsdaten wie Benutzername: admin / Kennwort: admin, wird das natürlich zum Kinderspiel. Diesen Fehler sollte man vermeiden, indem man keine einfachen Kennwörter verwenden.
Sobald die Hacker Zugriff auf das System haben, können sie eine Datei ausführen, die alle lokal und über das Netzwerk angeschlossenen Laufwerke aufspürt und die Verschlüsselung durchführt. Mit Zugriff auf das Netzwerk können Hacker nahezu alles tun.
Mehrschichtiger Schutz zum Vorbeugen von Ransomware
Da Ransomware leicht auf den Computer gelangen kann, sind gute Vorbeugungsmaßnahmen der beste Schutz. Mit den richtigen Sicherheitsvorkehrungen gelangt ein Rootkit gar nicht erst so weit.
Praktische Tipps, wie Sicherheitslücken in dem System geschlossen werden können:
Gesunder Menschenverstand als Schutz vor E-Mail- und Drive-by-Angriffen
Erst denken, dann klicken. Sollten Zweifel bestehen, öffnen Sie die E-Mail nicht, sondern melden Sie sich direkt bei der Seite an, von der Sie die Datei angeblich erhalten haben.
Schwierige Kennwörter zum Vorbeugen von RDP-Angriffen
Verwenden Sie immer schwierige Kennwörter und eine zweistufige Authentisierung – insbesondere für den Administratorzugriff. Vergeben Sie für Letzteren einen möglichst unauffälligen Benutzernamen und sofern Sie es nicht benötigen, können Sie das Administratorkonto auch ganz deaktivieren. Richten Sie das System so ein, dass Benutzer nach mehreren fehlgeschlagenen Anmeldeversuchen für eine bestimmte Zeit gesperrt sind. Stellen Sie auch gerade beim Administratorzugriff sicher, dass die Authentifizierung auf Netzwerkebene korrekt eingerichtet ist.
Regelmäßige Systemreinigungen zum Verhindern von Malware in jeglicher Form
Sichern Sie wichtige Dateien und bringen Sie diese Sicherung regelmäßig auf den neuesten Stand. Reinigen Sie regelmäßig Ihr System, um einen Ransomware-Befall zu vermeiden. Führen Sie eine leistungsstarke Anti-Malware-Lösung aus und halten Sie sie auf dem neuesten Stand.
