Was ist Ransomware?
Ransomware ist Schadsoftware, die die Dateien eines Opfers verschlüsselt oder es aus seinen Systemen aussperrt und dann eine Zahlung – typischerweise in Kryptowährung – im Austausch gegen den Entschlüsselungsschlüssel oder die Wiederherstellung des Zugriffs verlangt.
Auch bekannt als: ransomware attack, crypto-ransomware
Ransomware hat sich von opportunistischen Angriffen gegen Einzelpersonen zu einer ausgefeilten kriminellen Industrie entwickelt, die Unternehmen, Krankenhäuser und Behörden ins Visier nimmt. Moderne Ransomware-Operationen folgen häufig einem „Double Extortion"-Modell: Angreifer exfiltrieren zuerst sensible Daten und verschlüsseln dann die Systeme des Opfers. Weigert sich das Opfer, für die Entschlüsselung zu zahlen, drohen die Angreifer damit, die gestohlenen Daten zu veröffentlichen. Einige Gruppen haben eine dritte Schicht hinzugefügt und DDoS-Angriffe während der Verhandlungen gestartet.
Der initiale Infektionsvektor ist häufig eine Phishing-E-Mail, kompromittierte Zugangsdaten oder die Ausnutzung ungepatchter Schwachstellen in internetexponierten Diensten. Einmal im Netzwerk, bewegen sich Angreifer lateral, eskalieren Rechte, deaktivieren Backups und setzen die Ransomware-Nutzlast gleichzeitig auf so vielen Systemen wie möglich ein. Die von Ransomware verwendete Verschlüsselung ist echt: Ohne den Schlüssel des Angreifers ist eine Wiederherstellung oft unmöglich.
Die Abwehr erfordert einen umfassenden Ansatz: regelmäßiges Patching, Netzwerksegmentierung, unveränderliche Offline-Backups, Endpunkt-Erkennung, Zugriff nach dem Prinzip der minimalen Rechte und Planung der Incident Response. Die Menge sensibel gespeicherter persistenter Daten zu reduzieren – insbesondere Zugangsdaten und Geheimnisse in E-Mails, Dokumenten und Chat-Protokollen – begrenzt sowohl den Hebel, den Angreifer zur Erpressung haben, als auch den Schaden durch Datenexfiltration.
Wie Vaulted Ransomware verwendet
Vaulted reduziert die sensiblen Daten, die Ransomware-Betreibern zur Verfügung stehen, die Daten vor der Verschlüsselung von Systemen exfiltrieren. Über Vaulted geteilte Geheimnisse sind ephemer: Sie zerstören sich nach einer begrenzten Anzahl von Views selbst und laufen automatisch ab. Im Gegensatz zu Passwörtern, die in E-Mails oder geteilten Dokumenten gespeichert sind und unbegrenzt bestehen bleiben und während der Datenexfiltration hochwertige Ziele sind, hinterlassen Vaulted-Links keinen wiederherstellbaren Klartext auf dem Server. Die Zero-Knowledge-Architektur bedeutet, dass selbst ein kompromittierter Server den Angreifern nichts als verschlüsselte Blobs liefert, die sie nicht entschlüsseln können.