Bei Ransomware handelt es sich um eine Art von Malware, die die Daten oder das Gerät eines Opfers in Geiselhaft nimmt und damit droht, sie nicht mehr freizugeben – oder sie nur dann freizugeben, wenn das Opfer ein Lösegeld zahlt.
Laut dem IBM Security X-Force Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 % aller Cyberangriffe aus.
Die ersten Ransomware Attacken verlangten einfach ein Lösegeld im Austausch für den Chiffrierschlüssel, mit dem der Zugriff auf die betroffenen Daten oder die Nutzung des infizierten Geräts wiederhergestellt werden konnte. Durch regelmäßige oder fortlaufende Datensicherungen kann ein Unternehmen die Kosten für diese Art von Ransomware-Attacken begrenzen und die Zahlung des geforderten Lösegelds oft vermeiden.
In den letzten Jahren haben sich Ransomware-Attacken jedoch zu Doppel- und Dreifach-Erpressungsangriffen weiterentwickelt, die das Risiko erheblich erhöhen. Selbst Opfer, die konsequent Datensicherungen durchführen oder die erste Lösegeldforderung bezahlen, sind gefährdet. Bei Angriffen mit doppelter Erpressung wird zusätzlich damit gedroht, die Daten des Opfers zu stehlen und online zu veröffentlichen. Bei Angriffen mit dreifacher Erpressung wird zusätzlich damit gedroht, die gestohlenen Daten für Angriffe auf die Kunden oder Geschäftspartner des Opfers zu verwenden.
Der X-Force Threat Intelligence Index 2023 stellt fest, dass der Anteil von Ransomware an den gesamten Cybersicherheitsvorfällen von 2021 bis 2022 um 4 Prozent zurückgegangen ist. Dieser Rückgang ist wahrscheinlich darauf zurückzuführen, dass die Verteidiger Ransomware Attacken erfolgreicher erkennen und verhindern konnten. Dieses positive Ergebnis verblasst jedoch angesichts einer massiven Verkürzung der durchschnittlichen Angriffszeit um 94 % – von zwei Monaten auf weniger als vier Tage, sodass Unternehmen nur sehr wenig Zeit haben, potenzielle Angriffe zu erkennen und zu verhindern.
Ransomware-Opfer und Unterhändler scheuen sich, den Betrag der Lösegeldzahlungen offenzulegen. Laut dem Ultimativen Ransomware-Handbuch sind die Lösegeldforderungen jedoch auf sieben- und achtstellige Beträge gestiegen. Und Lösegeldzahlungen machen nur einen Teil der Gesamtkosten einer Ransomware-Infizierung aus. Laut dem IBM Bericht Kosten einer Datenschutzverletzung 2022 betrugen die durchschnittlichen Kosten einer durch einen Ransomware-Angriff verursachten Datenschutzverletzung 5,13 Millionen US-Dollar. Es wird erwartet, dass Ransomware Attacken ihre Opfer im Jahr 2023 insgesamt schätzungsweise 30 Milliarden US-Dollar kosten werden (Link befindet sich außerhalb von ibm.com).
Bleiben Sie mit dem IBM Leitfaden für Ransomware über die neuesten Trends in der Internetkriminalität informiert.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Es gibt zwei grundsätzliche Arten von Ransomware. Der häufigste Typ, die so genannte verschlüsselnde Ransomware oder Krypto Ransomware, nimmt die Daten des Opfers als Geisel, indem sie sie verschlüsselt. Der Angreifer verlangt dann ein Lösegeld als Gegenleistung für die Bereitstellung des Chiffrierschlüssels, der zum Entschlüsseln der Daten erforderlich ist.
Die weniger verbreitete Form von Ransomware, die so genannte nicht verschlüsselnde Ransomware oder bildschirmsperrende Ransomware, sperrt das gesamte Gerät des Opfers, üblicherweise indem sie den Zugriff auf das Betriebssystem blockiert. Anstatt wie gewohnt zu starten, zeigt das Gerät einen Bildschirm an, auf dem die Lösegeldforderung angezeigt wird.
Diese beiden Typen lassen sich weiter in die folgenden Unterkategorien unterteilen:
- Leakware/Doxware ist Ransomware , die vertrauliche Daten stiehlt oder ausliest und mit deren Veröffentlichung droht. Während frühere Formen von Leakware oder Doxware oft Daten stahlen, ohne sie zu verschlüsseln, tun die heutigen Varianten oft beides.
- Mobile Ransomware umfasst alle Ransomware, die Mobilgeräte zum Ziel hat. Bei mobiler Ransomware, die über schädliche Apps oder Drive-by-Downloads verbreitet wird, handelt es sich in der Regel um nicht verschlüsselnde Ransomware, da automatisierte Cloud-Datensicherungen, die bei vielen Mobilgeräten Standard sind, die Umkehrung von Verschlüsselungsangriffen erleichtern.
- Wipers/Destructive Ransomware droht damit, Daten zu zerstören, wenn das Lösegeld nicht bezahlt wird – außer in Fällen, in denen die Ransomware die Daten zerstört, selbst wenn das Lösegeld bezahlt wird. Es wird oft vermutet, dass die letztgenannte Art von Wiper nicht von gewöhnlichen Cyberkriminellen, sondern von nationalstaatlichen Akteuren oder Hacktivisten eingesetzt wird.
- Scareware ist genau das, wonach es sich anhört: Ransomware, die versucht, Benutzern Angst zu machen und sie so zur Zahlung eines Lösegelds zu bewegen. Scareware kann beispielsweise als Nachricht einer Vollzugsbehörde dargestellt werden, in der das Opfer eines Verbrechens beschuldigt und eine Geldstrafe gefordert wird. Alternativ fälscht sie eine legitime Virenwarnung und fordert das Opfer auf, Antiviren- oder Antimalware-Software zu kaufen. Manchmal handelt es sich bei der Scareware um Ransomware, die Daten verschlüsselt oder das Gerät sperrt. In anderen Fällen handelt es sich um den Ransomware-Vektor, der nichts verschlüsselt, aber das Opfer dazu nötigt, Ransomware herunterzuladen.
Ransomware Attacken können mehrere Methoden oder Vektoren verwenden, um ein Netzwerk oder Gerät zu infizieren. Zu den bekanntesten Ransomware Infizierungsvektoren gehören:
- Phishing-E-Mails und andere Social-Engineering-Angriffe: Phishing-E-Mails bringen Benutzer durch Manipulation dazu, einen schädlichen Anhang herunterzuladen und auszuführen. Dieser Anhang kann die Ransomware als harmlos aussehende PDF-Datei, als Microsoft Word-Dokument oder als andere Datei getarnt enthalten. Sie können die Opfer auch zum Besuch einer schädlichen Website verleiten, die die Ransomware über den Webbrowser des Benutzers verbreitet. In der Studie zur Cyber-Resilienz von Unternehmen 2021 von IBM verursachten Phishing und andere Social-Engineering-Taktiken 45 Prozent aller von den Umfrageteilnehmern gemeldeten Ransomware-Angriffe und sind damit der häufigste aller Ransomware-Angriffsvektoren.
- Sicherheitslücken in Betriebssystemen und Software: Cyberkriminelle nutzen häufig vorhandene Sicherheitslücken aus, um schädlichen Programmcode in ein Gerät oder Netzwerk einzuschleusen. Zero-Day-Schwachstellen, d. h. Schwachstellen, die der Sicherheitsgemeinschaft entweder unbekannt sind oder zwar erkannt, aber noch nicht gepatcht wurden, stellen eine besondere Bedrohung dar. Einige Ransomware-Gruppen kaufen Informationen über Zero-Day-Schwachstellen von anderen Hackern, um ihre Angriffe zu planen. Hacker haben auch gepatchte Sicherheitslücken effektiv als Angriffsvektoren genutzt, wie bei dem im Jahr 2017 aufgezeichneten WannaCry-Angriff.
- Diebstahl von Berechtigungsnachweisen: Cyberkriminelle können die Berechtigungsnachweise autorisierter Benutzer stehlen, im Dark Web kaufen oder durch einen Brute-Force-Angriff knacken. Mit diesen Berechtigungsnachweisen können sie sich dann bei einem Netzwerk oder Computer anmelden und Ransomware direkt einsetzen. Das Remote Desktop Protocol (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, das Benutzern den Fernzugriff auf einen Computer ermöglicht, ist ein beliebtes Ziel für den Diebstahl von Berechtigungsnachweisen unter Ransomware-Angreifern.
- Andere Malware: Hacker verwenden häufig Malware, die für andere Angriffe entwickelt wurde, um Ransomware auf ein Gerät zu übertragen. Der Trojaner Trickbot zum Beispiel, der ursprünglich für den Diebstahl von Bankdaten entwickelt wurde, wurde im Jahr 2021 zur Verbreitung der Ransomware-Variante Conti verwendet.
- Drive-by-Downloads: Hacker können Websites verwenden, um Ransomware ohne das Wissen der Benutzer auf Geräte zu übertragen. Exploit-Kits verwenden manipulierte Websites, um die Browser von Besuchern nach Sicherheitslücken bei Webanwendung zu durchsuchen, mit denen sie Ransomware auf das Gerät einfügen können. Malvertising – legitime digitale Anzeigen, die von Hackern manipuliert wurden – kann Ransomware auf Geräte übertragen, selbst wenn der Benutzer nicht auf die Anzeige klickt.
Cyberkriminelle müssen nicht unbedingt ihre eigene Ransomware entwickeln, um diese Vektoren auszunutzen. Einige Ransomware-Entwickler geben ihren Malware-Code über RaaS-Vereinbarungen (Ransomware-as-a-service) an Cyberkriminelle weiter. Der Cyberkrimineller oder „Partner“ nutzt den Code, um einen Angriff durchzuführen, und teilt dann die Lösegeldzahlung mit dem Entwickler. Diese Beziehung ist für beide Seiten von Vorteil: Die Partner können von der Erpressung profitieren, ohne ihre eigene Malware entwickeln zu müssen, und die Entwickler können ihre Gewinne steigern, ohne zusätzliche Cyberangriffe durchzuführen.
Ransomware-Distributoren können Ransomware über digitale Marktplätze verkaufen oder Partner direkt über Online-Foren oder ähnliche Wege rekrutieren. Große Ransomware Gruppen haben erhebliche Summen investiert, um Partner zu gewinnen.
Eine Ransomware-Attacke durchläuft normalerweise die folgenden Phasen.
Die häufigsten Zugriffsvektoren für Ransomware-Attacken sind nach wie vor Phishing und die Ausnutzung von Schwachstellen.
Je nach ursprünglichem Zugriffsvektor kann in dieser zweiten Phase ein zwischengeschaltetes Fernzugriffstool (Remote Access Tool, RAT) oder Malware zum Einsatz kommen, bevor ein interaktiver Zugriff hergestellt wird.
In dieser dritten Phase des Angriffs konzentrieren sich die Angreifer darauf, das lokale System und die Domain, auf die sie derzeit Zugriff haben, zu verstehen. Außerdem arbeiten die Angreifer daran, sich Zugang zu weiteren Systemen und Domains zu verschaffen (sogenannte Lateralbewegung).
In dieser Phase konzentrieren sich die Ransomware-Akteure darauf, wertvolle Daten zu identifizieren und diese zu exfiltrieren (zu stehlen), normalerweise indem sie eine Kopie für sich selbst herunterladen oder exportieren. Angreifer können zwar alle Daten, auf die sie zugreifen können, exfiltrieren, konzentrieren sich aber in der Regel auf besonders wertvolle Daten – Anmeldeberechtigungsnachweise, persönliche Daten von Kunden, geistiges Eigentum –, die sie für eine doppelte Erpressung nutzen können.
Krypto-Ransomware beginnt mit der Identifizierung und Verschlüsselung von Dateien. Manche Krypto-Ransomware deaktiviert zudem die Funktionen zur Systemwiederherstellung oder löscht oder verschlüsselt Backups auf dem Computer oder im Netzwerk des Opfers, um den Druck zu erhöhen, für den Dechiffrierschlüssel zu zahlen. Nicht verschlüsselnde Ransomware sperrt den Bildschirm des Geräts, überflutet das Gerät mit Pop-ups oder hindert das Opfer anderweitig an der Verwendung des Geräts.
Sobald die Dateien verschlüsselt wurden oder das Gerät deaktiviert wurde, benachrichtigt die Ransomware das Opfer über die Infektion. Diese Benachrichtigung erfolgt häufig über eine auf dem Desktop des Computers abgelegte TXT-Datei oder durch ein Pop-up. Die Lösegeldforderung enthält Anweisungen zur Zahlung des Lösegelds, in der Regel in einer Kryptowährung oder einer ebenso wenig zurückverfolgbaren Methode. Die Zahlung erfolgt im Austausch gegen einen Dechiffrierschlüssel oder die Wiederherstellung des normalen Betriebs.
Seit 2020 haben Cybersicherheitsforscher mehr als 130 verschiedene, aktive Ransomware-Familien oder -Varianten identifiziert – einzigartige Ransomware-Stämme mit eigenen Codesignaturen und Funktionen.
Im Laufe der Jahre sind viele Ransomware-Varianten in Umlauf gebracht worden. Dabei sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert.
CryptoLocker
CryptoLocker erschien erstmals im September 2013 und wird weithin dafür verantwortlich gemacht, das moderne Zeitalter der Ransomware eingeläutet zu haben. CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. US-Dollar erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten. Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya.
WannaCry
Der erste aufsehenerregende Kryptowurm – eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann. WannaCry wurde auf über 200.000 Computern in 150 Ländern eingeschleust. Die betroffenen Computer waren anfällig, weil die Administratoren es versäumt hatten, einen Patch für die EternalBlue-Schwachstelle in Microsoft Windows zu installieren. Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Zahlung nicht innerhalb von sieben Tagen erfolgte. Mit geschätzten Kosten von bis zu 4 Mrd. US-Dollar handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.
Petya und NotPetya
Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann. Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wiper, der die Systeme auch nach Zahlung des Lösegelds nicht entsperren konnte.
Ryuk
Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Sicherungsdateien und Systemwiederherstellungsfunktionen aufspüren und deaktivieren; 2021 wurde ein neuer Stamm mit Kryptowurm-Fähigkeiten entdeckt.
DarkSide
DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff. Diese Variante gilt als bisher schlimmster Cyberangriff auf kritische US-Infrastruktur. Infolgedessen wurde die Pipeline, die 45 Prozent des Treibstoffs für die US-Ostküste liefert, vorübergehend stillgelegt. Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.
Locky
Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die sich als legitime Rechnungen ausgeben. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.
REvil/Sodinokibi
REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen. REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Mio. USD, nachdem der gesamte Betrieb der Rindfleischverarbeitung in den USA unterbrochen worden war, und mehr als 1.000 Softwarekunden von Kaseya waren von erheblichen Ausfallzeiten betroffen. Der russische Föderale Sicherheitsdienst berichtete, er habe REvil zerschlagen und Anfang 2022 mehrere seiner Mitglieder angeklagt.
Bis 2022 kamen die meisten Opfer von Ransomware-Attacken den Lösegeldforderungen ihrer Angreifer nach. In der Studie zur Cyber-Resilienz von Unternehmen 2021 von IBM gaben beispielsweise 61 Prozent der teilnehmenden Unternehmen, die innerhalb von zwei Jahren vor der Studie Opfer eines Ransomware-Angriffs geworden waren, an, ein Lösegeld gezahlt zu haben.
Jüngste Berichte deuten jedoch auf eine Änderung im Jahr 2022 hin. Das auf die Reaktion auf Cyber-Erpressungen spezialisierte Unternehmen Coveware hat herausgefunden, dass nur 41 Prozent der Ransomware-Opfer im Jahr 2022 ein Lösegeld gezahlt haben, verglichen mit 51 Prozent im Jahr 2021 und 70 Prozent im Jahr 2020 (Link befindet sich außerhalb von ibm.com). Und Chainanalysis, ein Anbieter von Blockchain-Datenplattformen, berichtete, dass Ransomware-Angreifer im Jahr 2022 fast 40 % weniger Geld von Opfern erpressten als im Jahr 2021 (Link befindet sich außerhalb von ibm.com). Experten verweisen auf eine bessere Vorbereitung auf Cyberkriminalität (einschließlich Daten-Backups) und gestiegene Investitionen in Bedrohungsprävention und Erkennungstechnologie als potenzielle Treiber für diese Trendwende.
Leitlinien für die Strafverfolgung
US-amerikanische Vollzugsbehörden raten Ransomware-Opfern einstimmig davon ab, Lösegeldforderungen zu zahlen. So erläutert die National Cyber Investigative Joint Task Force (NCIJTF), ein Zusammenschluss von 20 US-Bundesbehörden, die mit der Untersuchung von Cyberbedrohungen betraut sind:
„Das FBI ermutigt nicht dazu, Lösegeld an kriminelle Akteure zu zahlen. Die Zahlung eines Lösegelds kann Angreifer ermutigen, weitere Organisationen ins Visier zu nehmen, andere kriminelle Akteure zur Verbreitung von Ransomware ermutigen und/oder illegale Aktivitäten finanzieren. Die Zahlung des Lösegelds ist zudem keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden.“
Vollzugsbehörden empfehlen, dass Opfer von Ransomware Angriffe an die zuständigen Behörden wie das Internet Crime Complaint Center (IC3) des FBI melden, bevor sie ein Lösegeld bezahlen. Einige Opfer von Ransomware Angriffen sind möglicherweise gesetzlich dazu verpflichtet, Ransomware Infektionen zu melden, unabhängig davon, ob ein Lösegeld bezahlt wird. So müssen Einrichtungen des Gesundheitswesens gemäß HIPAA in der Regel jede Datenschutzverletzung, einschließlich Ransomware-Attacken, an das Department of Health and Human Services melden.
Unter bestimmten Umständen kann die Zahlung eines Lösegelds illegal sein. Eine Empfehlung des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums aus dem Jahr 2020 hebt dies hervor. Demnach wäre die Zahlung von Lösegeld an Angreifer aus Ländern, die unter US-Wirtschaftssanktionen stehen (wie Russland, Nordkorea oder der Iran) ein Verstoß gegen die OFAC-Vorschriften und könnte zivilrechtliche Strafen, Geldbußen oder strafrechtliche Anklagen nach sich ziehen.
Zur Abwehr von Ransomware-Bedrohungen empfehlen Bundesbehörden wie CISA, NCIJFT und der US-amerikanische Secret Service Unternehmen, bestimmte Vorsichtsmaßnahmen zu ergreifen, wie zum Beispiel:
- Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die vom Netz getrennt werden können.
- Regelmäßiges Anwenden von Patches, um Ransomware-Angriffe abzuwehren, die Sicherheitslücken in Software und Betriebssystemen ausnutzen.
- Aktualisieren von Cybersicherheitstools einschließlich Malwareschutz- und Antivirensoftware, Firewalls, Netzwerküberwachungstools und sicheren Web-Gateways sowie Cybersicherheitslösungen für Unternehmen wie Security Orchestration, Automation and Response (SOAR), Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) und Extended Detection and Response (XDR). Mit diesen Lösungen können Sicherheitsteams Ransomware in Echtzeit erkennen und darauf reagieren.
- Cybersicherheitsschulungen für Mitarbeiter helfen den Benutzern, Phishing, Social Engineering und andere Taktiken, die zu Ransomware-Infektionen führen können, zu erkennen und zu vermeiden.
- Implementierung von Zugriffssteuerungsrichtlinien, einschließlich Multi-Faktor-Authentifizierung, Zero-Trust-Architektur, Netzsegmentierung und ähnlicher Maßnahmen. Diese Maßnahmen können verhindern, dass Ransomware an besonders sensible Daten gelangt und dass sich Kryptowürmer auf andere Geräte im Netzwerk ausbreiten.
Während Entschlüsselungstools für einige Ransomware-Varianten über Projekte wie No More Ransom (Link befindet sich außerhalb von ibm.com) öffentlich verfügbar sind, erfordert die Behebung einer aktiven Ransomware-Infizierung oft einen vielschichtigen Ansatz. Ein Beispiel für einen nach dem Incident Response Life Cycle des National Institute of Standards and Technology (NIST) modellierten Ransomware-Interventionsplan finden Sie im Ultimativen Ransomware-Handbuch von IBM Security.
1989: Die erste dokumentierte Ransomware-Attacke, bekannt als AIDS-Trojaner oder „P.C. Cyborg-Angriff“, wurde über Disketten verbreitet. Diese blendete Dateiverzeichnisse auf dem Computer des Opfers aus und verlangte 189 USD, um sie wieder einzublenden. Da jedoch die Dateinamen und nicht die Dateien selbst verschlüsselt wurden, war es für Benutzer einfach, den Schaden ohne Zahlung eines Lösegelds rückgängig zu machen.
1996: Während sie die Mängel des AIDS-Trojaner-Virus analysierten, warnten die Computerwissenschaftler Adam L. Young und Moti Yung vor zukünftigen Formen von Malware. Sie erklärten, dass zukünftige Malware eine ausgefeiltere Public-Key-Verschlüsselung nutzen könne, um vertrauliche Daten in Geiselhaft zu nehmen.
2005: Nach relativ wenigen Ransomware-Attacken in den frühen 2000er Jahren kommt es zu einem Anstieg der Infizierungen, vor allem in Russland und Osteuropa. Es erscheinen erste Varianten, die asymmetrische Verschlüsselung nutzen. Da neue Ransomware effektivere Möglichkeiten zur Erpressung von Geld bot, begannen mehr Cyberkriminelle damit, Ransomware weltweit zu verbreiten.
2009: Die Einführung von Kryptowährungen, insbesondere von Bitcoin, bietet Cyberkriminellen eine Möglichkeit, nicht nachverfolgbare Lösegeldzahlungen zu erhalten, was den nächsten Anstieg der Ransomware-Aktivitäten auslöst.
2013: Mit CryptoLocker beginnt die moderne Ära der Ransomware und damit die aktuelle Welle hochentwickelter verschlüsselungsbasierter Ransomware-Attacken, bei denen eine Zahlung in einer Kryptowährung verlangt wird.
2015: Die Tox-Ransomware-Variante führt das Ransomware-as-a-Service-Modell (RaaS) ein.
2017: WannaCry, der erste weit verbreitete selbstreplizierende Kryptowurm, erscheint.
2018: Ryuk macht die Ransomware-Jagd auf hochkarätige Ziele populär.
2019: Ransomware-Attacken mit doppelter und dreifacher Erpressung nehmen zu. Bei fast jedem Ransomware-Vorfall, auf den das IBM Security X-Force Incident Reponse Team seit 2019 reagiert hat, ging es um doppelte Erpressung.
2022: Thread-Hijacking, bei dem sich Cyberkriminelle in die Online-Konversationen von Zielpersonen einklinken, entwickelt sich zu einem wichtigen Ransomware-Vektor.
Eine moderne, verbundene Sicherheitssuite hilft Ihnen dabei, Angreifer zu überlisten. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
Verhindern Sie mit einem Zero-Trust-Ansatz, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen. So lässt sich Ransomware schneller erkennen und auf sie reagieren und die Folgen dieser Angriffe minimieren.
Nutzen Sie unsere Abwehrsicherheitsservices, die abonnementbasierte Programme zur Vorbereitung auf Vorfälle, zur Erkennung von Angriffen und zur Notfallabwehr umfassen, um einen Vorfall zu erkennen, darauf zu reagieren und die Auswirkungen einzudämmen, bevor größerer Schaden entsteht.
Nutzen Sie unsere offensiven Sicherheitsservices, die Penetrationstests, Schwachstellenmanagement und Angreifersimulation umfassen, um Sicherheitslücken in Ihrem gesamten digitalen und physischen Ökosystem zu identifizieren, zu priorisieren und zu korrigieren.
Transformieren Sie Ihr Unternehmen und managen Sie Risiken mit einem globalen Branchenführer für Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.
Schützen Sie die primären und sekundären Speichersysteme Ihres Unternehmens proaktiv vor Ransomware, menschlichem Versagen, Naturkatastrophen, Sabotage, Hardwareausfällen und anderen Risiken des Datenverlusts.
Registrieren Sie sich für das Webinar am 11. Juni 2024 um 11:00 AM EDT, um zu erfahren, wie Sie die Leistungsfähigkeit von IBM® Storage Defender und IBM® FlashSystem zur Bekämpfung von Ransomware kombinieren können.
Schauen Sie sich die On-Demand-Aufzeichnung an, in der Sie praktische Schritte zum Aufbau eines widerstandsfähigeren Betriebs und zur Sicherung Ihrer Daten erfahren.
Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.
Lesen Sie den Bericht, der nun schon zum 18. Mal erscheint, um die neuesten Erkenntnisse über die wachsende Bedrohungslandschaft und Empfehlungen zur Zeitersparnis und Schadensbegrenzung zu erhalten.
Erfahren Sie, wie Sicherheitsinformations- und -ereignismanagement (SIEM) die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken ermöglicht.
Erfahren Sie, wie Los Angeles und IBM Security gemeinsam die erste Gruppe zum Austausch von Informationen über Cyberbedrohungen zum Schutz vor Cyberkriminalität gründen.
Arbeiten Sie mit erfahrenen IBM Security Architekten und Beratern zusammen, um Ihre Cybersicherheitsmaßnahmen in einer kostenlosen, virtuellen oder persönlichen, dreistündigen Design-Thinking-Session zu priorisieren.