Kann Ransomware bereits verschlüsselte Dateien verschlüsseln?

Cyber-Vorfälle mit Ransomware - eine Art Malware , die dazu verwendet wird, die Dateien eines Unternehmens als Geiseln zu nehmen - haben im letzten Jahr stark zugenommen. Tatsächlich waren fast zwei Drittel der Unternehmen (61 %) im Jahr 2020 von einem Ransomware-Angriff betroffen, so der Bericht State of Email Security von Mimecast. Eine der gängigsten Ransomware-Methoden besteht darin, die Dateien des Zielunternehmens zu verschlüsseln und so den Zugriff der Benutzer darauf zu verhindern. Dies ist eine Bedrohung selbst für bereits verschlüsselte Dateien oder Daten, aber eine, die versierte Unternehmen minimieren und darauf reagieren können, ohne die Bösewichte zu bezahlen.

Wie kann Ransomware bereits verschlüsselte Dateien verschlüsseln?

Kundeninformationen, Finanz- oder Patientendaten, Geschäftspläne und -strategien, geistiges Eigentum - kein Unternehmen möchte, dass seine sensibelsten und wertvollsten Daten in die falschen Hände geraten. Aus diesem Grund gehört die Datenverschlüsselung zu den bewährten Verfahren der Cybersicherheit für Unternehmen auf der ganzen Welt, sei es zum Schutz vor dem Verlust oder der Preisgabe wertvoller Informationen , die per E-Mail ausgetauscht werden, oder zum Schutz von Daten, die in die Cloud übertragen werden, von dort zurückkehren oder dort gespeichert sind .

Dennoch verhindert die Verschlüsselung keine Ransomware-Exploits (obwohl sie den Vorteil haben kann, dass die Daten nicht gelesen und von Ransomware-Angreifern weiter ausgenutzt werden können). Dateien, die Ihr Unternehmen bereits verschlüsselt hat, können ebenso leicht von Ransomware (erneut) verschlüsselt werden. Diese so genannte sekundäre Verschlüsselung kann für diejenigen, die nicht wissen, wie man solche Szenarien verhindert und darauf reagiert, sehr kostspielig sein.

Es ist wichtig zu verstehen, wie Ransomware funktioniert. Cyberkriminelle verschaffen sich Zugang zu einem Netzwerk, indem sie Benutzer dazu bringen, auf einen bösartigen E-Mail-Anhang oder Link zu klicken, und indem sie gestohlene Anmeldedaten verwenden. Sie können auch Software ausnutzen oder Schwachstellen im Netzwerk angreifen, um sich Zugang zu verschaffen und die Ransomware zu installieren. In vielen Fällen macht sich dann ein Krypto-Algorithmus an die Arbeit, um Dateien zu verschlüsseln, die das angegriffene Unternehmen wahrscheinlich häufig verwendet. Die Urheber des Ransomware-Angriffs verlangen dann, dass das Unternehmen für den Code bezahlt, der zur Entschlüsselung der Dateien erforderlich ist. Dabei spielt es keine Rolle, ob die Daten in den Dateien bereits verschlüsselt wurden. Die Bösewichte können einfach ihr eigenes Schloss auf der Verschlüsselungsebene des Unternehmens installieren - und dieser bösartige Code wäre eine Verschlüsselung, für die das Zielunternehmen keinen Entschlüsselungscode hat.

Arten der Verschlüsselung

Es gibt zwei Hauptarten der Verschlüsselung, die diese Ransomware-Angriffe gewinnbringend ausnutzen können: Dateiverschlüsselung und Geräteverschlüsselung.

• Dateiverschlüsselung. Dieser Ransomware-Ansatz verschlüsselt Dateien auf einem Computer oder Rechner und macht sie unbrauchbar, bis sie entschlüsselt werden.
• Geräteverschlüsselung. Bei diesem Ansatz wird das gesamte Computerspeichersystem eines Geräts verschlüsselt, so dass alle Dateien unzugänglich sind, ohne dass sie einzeln verschlüsselt werden müssen.

Unabhängig von der verwendeten Methode können die Auswirkungen von Ransomware, die bereits verschlüsselte Dateien verschlüsselt, schnell und schwerwiegend sein. Sobald Ransomware Geräte oder Dateien sperrt, wird der Betrieb eines Unternehmens unterbrochen, sensible oder geschützte Daten sind gefährdet, und der Schaden für die Kundenerfahrung und den Ruf der Marke wird immer größer.[1]

Wie man verschlüsselte Dateien wiederherstellt

Es gibt eine Reihe grundlegender, aber notwendiger Schritte, die Unternehmen unternehmen sollten, um sich vor Ransomware-Angriffen zu schützen. Dazu gehören die Installation von Antivirensoftware und Firewalls, die Durchführung von Sicherheitsschulungen für Mitarbeiter und die Aktualisierung von Software und Patches. Wenn es um die Bedrohung durch Ransomware geht, die bereits verschlüsselte Dateien verschlüsselt, bieten Backup-Lösungen einen sehr wichtigen alternativen Zugriff auf die beschädigten Daten. Zu den Maßnahmen gehören die Erstellung eines Image-Backups (eine einzelne Datei des Betriebssystems und aller zugehörigen Daten) vor der Datenverschlüsselung und die Durchführung häufiger Backups (entweder vor Ort oder in der Cloud).

Genauso wichtig wie die Investition in die Vermeidung von Ransomware ist das Wissen, wie man am besten auf Ransomware reagiert, die bereits verschlüsselte Dateien verschlüsselt. Ein Unternehmen ist nur so sicher wie sein schwächstes Glied - ein verpasstes Software-Update oder ein erfolgreicher Phishing-Versuch kann die Tür für eine Ransomware-Infektion öffnen.

Cyberkriminelle nutzen die Unkenntnis eines Unternehmens darüber aus, wie man Dateien nach einem Ransomware-Angriff wiederherstellen kann. Das Überraschungsmoment und das Bedürfnis der angegriffenen Organisation, auf ihre Dateien zuzugreifen, verleitet viele dazu, in Panik zu geraten und die bösen Akteure zu bezahlen, um die verschlüsselten Dateien von Ransomware wiederherzustellen.

Cybersicherheitsexperten weisen jedoch darauf hin, dass die Zahlung des Lösegelds keine Garantie dafür ist, dass die Cyberkriminellen den Verschlüsselungsschlüssel oder -code bereitstellen, der zum Entsperren der entführten Dateien erforderlich ist. Noch schlimmer ist, dass die Zahlung des Lösegelds, die zur Wiederherstellung von Dateien nach einem Ransomware-Angriff verlangt wird, nicht sicherstellt, dass die Malware aus dem Netzwerk entfernt wurde.

Wenn Sie mit einem Ransomware-Virus konfrontiert sind, der bereits verschlüsselte Dateien verschlüsselt hat, sind die ersten Schritte folgende:

• Trennen der betroffenen Computer oder Geräte vom Netzwerk, um eine weitere Verbreitung der Ransomware auf andere Rechner zu verhindern.
• Kontaktaufnahme mit den zuständigen Behörden (einschließlich der U.S. Cybersecurity and Infrastructure Security Agency und dem FBI). Die Weitergabe von Details über die Art des Angriffs an die Behörden oder Wiederherstellungsteams kann ihnen helfen, die Art des Angriffs besser zu verstehen und möglicherweise einen Entschlüsselungsschlüssel zu finden.[2]

Dann ist es wichtig, verfügbare Sicherungskopien zu finden, um Dateien wiederherzustellen, anstatt für einen Entschlüsselungsschlüssel zu bezahlen. (Es ist möglich, dass auch Sicherungskopien durch Ransomware verschlüsselt werden. Daher können sich Unternehmen am besten auf die Wiederherstellung durch Ransomware vorbereiten, indem sie Sicherungskopien an einem anderen Ort aufbewahren, der nicht mit dem Unternehmensnetzwerk verbunden ist). Wenn keine Sicherungskopien verfügbar sind, müssen Unternehmen stattdessen mit der Entschlüsselung der durch Ransomware verschlüsselten Dateien beginnen.

Es gibt eine Vielzahl von Tools und Diensten , die dabei helfen, Ransomware zu blockieren, verschlüsselte Dateien zu entsperren, Daten wiederherzustellen und die weitere Verbreitung der Ransomware zu verhindern.

Die Quintessenz

Es stimmt zwar, dass Ransomware nach wie vor eine erhebliche und sich ständig weiterentwickelnde Bedrohung für Unternehmen darstellt und dass selbst verschlüsselte Dateien angreifbar sind, aber es gibt bewährte Verfahren zur Prävention, Reaktion und Wiederherstellung von Dateien nach Ransomware-Angriffen. Durch die Investition in robuste Cybersicherheits-Tools und Bedrohungsdaten sowie durch das Wissen um die richtigen Reaktionsmöglichkeiten, nachdem Dateien durch Ransomware verschlüsselt wurden, können Unternehmen die negativen Auswirkungen auf ihre Abläufe, Mitarbeiter, Kunden und ihren Ruf begrenzen.

[1] Häufig gestellte Fragen - Ransomware, Berkeley Information Security Office

[2] "Sie wurden von Ransomware befallen - Die nächsten Schritte zur Wiederherstellung," Forbes