it-swarm.com.de

Warum sind Lösegeldangriffe erfolgreich?

Ich habe gerade gelesen, dass "Lösegeld" -Angriffe auf dem Vormarsch sind - wo der Angreifer eine Sicherheitslücke nutzt, um Dateien zu verschlüsseln und Geld für den Schlüssel zu verlangen.

Warum unterscheidet sich dies von einem Festplattenfehler, bei dem die Lösung "Backup sichern" lautet?

48
GreenAsJade

Einige Leute erwähnen Backups als Fix für Ransomware. Ransomware funktioniert, weil das Ziel nicht auf das Ergebnis vorbereitet ist. Während eine ausgefallene Festplatte und eine Ransomware-Verschlüsselung beide durch Wiederherstellen einer Sicherung auf "wiederhergestellt" werden können Bei einem neuen Laufwerk handelt es sich bei der Ransomware manchmal um eine Malware, die auf dem Computer selbst ausgeführt wird. In jedem Fall wird durch das Wiederherstellen aus einer externen Sicherung das Problem nicht behoben, durch das die Angreifer überhaupt auf das System zugreifen konnten. Dies erfordert Gegenmaßnahmen wie:

  1. erhöhte Sicherheitsberechtigungen für ein System zur Verhinderung von Trojanern
  2. remote-Backup-Strategien, um zu verhindern, dass verbundene Backups verschlüsselt werden
  3. infiltrationserkennung bei so etwas wie einem Wurm
  4. gehärtete Passwörter, um das Eindringen zu verhindern

Leider haben die meisten Computerbenutzer diese Gegenmaßnahmen nicht getroffen.

Um von einem ausgefallenen Laufwerk wiederherzustellen, erstellen Sie einfach Sicherungen auf einer externen Festplatte. Ersetzen Sie bei einem Laufwerksausfall die Festplatte und stellen Sie die Volumes wieder her. Einfach.

Die Wiederherstellung von einer Ransomware erfordert Zeit, Ausfallzeiten und Untersuchungen, um festzustellen, ob der Computer aufgrund folgender Faktoren kompromittiert wurde:

  1. ein Benutzerkonto mit Berechtigungen, die für die Anforderungen des Benutzers zu hoch waren (Desktop-Benutzer als Administrator)
  2. eine Infektion auf einem anderen Computer oder Gerät, die es einem Benutzer ermöglichte, sich auf das System zu drehen, um die Infektion zu ermöglichen (infizierter Domänencontroller)
  3. mangelndes Bewusstsein in Bezug auf so etwas wie einen Phishing-Versuch in einer E-Mail, in der der Benutzer auf etwas geklickt hat, das er nicht beabsichtigt hatte (zusammen mit # 1).
  4. sehr einfache Passwörter (wenn der Angriff vor Ort war)
  5. rAS-Berechtigungen für einen Computer mit RAS-Software wie LogMeIn oder Windows Remote Desktop
  6. ein nicht Firewall-Netzwerk
  7. andere gefährdete Systeme wie IoT-Geräte

Wenn die Kosten einer Untersuchung teuer sind , kann es billiger sein, das Lösegeld zu zahlen.

Hinweis: Das System/Netzwerk muss vor und nach einer Untersuchung noch gesichert werden, da sonst derselbe Angriff erneut auftreten kann.

In einigen Fällen kann der Angreifer durch Aktivieren der Verschlüsselung auf einem Volume mit BitLocker, auf dem das Volume noch nicht verschlüsselt war, den Zugriff auf das gesamte Volume verhindern und den Benutzer von seinem eigenen System fernhalten. In diesem Fall handelt es sich um eine Windows-Funktion. Es gibt keine Hinweise darauf, dass etwas auf dem System "installiert" ist, sondern es gibt Hinweise auf einen Eingriff, wenn das System so konfiguriert wäre, wie es der Benutzer tut Das Konto kann entweder remote oder persönlich durch das Einsetzen eines infizierten Geräts gefährdet werden.

Bei Festplattenfehler

Wenn eine Festplatte ausfällt, ersetzen Sie das Gerät einfach, da es sich um einen physischen Fehler handelt. Wenn mehrere Festplatten ausfallen, liegt ein Problem mit der Steuerung vor. Sie können nur feststellen, ob eine Festplatte ausgefallen ist, indem Sie sie auf einem anderen Computer testen, wenn eine neue Festplatte dieselben Symptome aufweist, oder wenn Sie eine neue Festplatte auf dem ausgefallenen Computer testen und sie funktioniert, wissen Sie, dass der Controller in Ordnung ist. In Situationen wie einem RAID, in dem mehrere Festplatten zusammenarbeiten, kann eine ausgefallene Festplatte andere Festplatten herausnehmen, sodass die Gefahr eines Systemausfalls auf mehreren Geräten besteht. Denken Sie an fehlerhafte Sektoren und Dateibeschädigungen auf einem einzelnen Laufwerk, die auf mehrere Kopien auf einem RAID gespiegelt werden. Festplattenfehler sind normalerweise nur auf einen Computer beschränkt, mit Ausnahme von Netzwerken, in denen Terminals (Thin Clients) alle eine Verbindung zu einem zentralen System herstellen. Das Ersetzen einer ausgefallenen Festplatte behebt normalerweise das Problem. Statistisch gesehen tritt wahrscheinlich nicht dasselbe Problem auf, es sei denn, die Ersatzfestplatte wurde zur gleichen Zeit gekauft und war Teil desselben Herstellerlaufs. In diesem Fall kann es sich um einen Herstellermangel einer Komponentenlinie handeln.

Es ist jedoch nicht immer nur eine Maschine mit Ransomware

Einige Ransomware kann tatsächlich mehr als einen Computer in einem Netzwerk verschlüsseln. Ich habe einen Client, dessen Server infiziert war, und habe zugelassen, dass sich der Virus auf mehrere Computer im Netzwerk ausbreitet. Anschließend wurden der Server und die Arbeitsstationen gesperrt. In Fällen, in denen der Server möglicherweise nicht infiziert ist, aber als Host fungiert, kann dies zu wiederkehrenden Infektionen der Arbeitsstationen führen, die eine Verbindung zu den infizierten Dateien herstellen. Unabhängig davon muss das Problem systematisch behoben werden, um die Infektion zu stoppen.

Wenn eine Festplatte in einer Workstation ausfällt, wird der Fehler nicht über ein Netzwerk repliziert. Das Vergleichen von Ransomware- und Festplattenfehlern ist wie das Vergleichen von Krebs mit einem gebrochenen Glied. sie sind beide schwächend.

41
AbsoluteƵERØ

Die meisten Leute haben keine Backups. Die meisten Leute, die Backups haben, haben sie nicht getestet, um sicherzustellen, dass sie funktionieren.

Der wirkliche Unterschied zwischen Festplattenausfall und Ransomware besteht darin, dass das Bezahlen des Lösegelds billiger ist als das Bezahlen eines Datenrettungsunternehmens und Ihre Daten mit größerer Wahrscheinlichkeit zurückerhalten.

71
Mark
  • Es besteht die Möglichkeit, verschlüsselte Daten mit der Ransomware zu sichern
  • Die meisten Leute sichern sich überhaupt nicht in der Cloud
  • Wenn Sie Ihre Festplatte regelmäßig sichern, müssen Sie sich keine Gedanken über die automatische Sicherung Ihrer toten Festplatte machen
  • Mit der Verschlüsselung gibt es keine Möglichkeit, meine Daten wiederherzustellen, ohne das Lösegeld zu zahlen (was garantiert nicht funktioniert).
  • Wenn das Laufwerk ausfällt, besteht immer noch das Potenzial, dass ein Teil davon wiederhergestellt werden kann.

Insgesamt kann ein Festplattenausfall mit Vorsichtsmaßnahmen und Wiederherstellungsdiensten nicht so schädlich sein, während Ransomware absichtlich viel schädlicher ist.

9
user72066

Damit Backups nützlich sind, müssen Sie sie regelmäßig durchführen. Wenn Sie an Ihrem Computer arbeiten und Ihr letztes Backup vor einer Woche erstellt wurde, sind die in einer Woche erstellten Dateien möglicherweise bereits 50-100 $/€ wert, unabhängig davon, was der Angreifer verlangt. Und wenn es sich um nicht gesicherte Fotos handelt, sind die meisten noch eher bereit zu zahlen. Dies macht diese Art von Angriff ziemlich profitabel.

Die meisten Menschen haben keine Ahnung von Computern. Sie sind einfach nur Benutzer, die wenig wissen, was zu vermeiden ist oder was schief gehen könnte. Schließlich kennen Sie in den meisten Fällen, wenn Sie einen Virus oder ein Rootkit haben, jemanden, der Ihnen helfen, Ihre Dateien speichern, Ihren Computer formatieren und Windows für Sie neu installieren kann. Das bedeutet für diese Benutzer, dass der Angriff aus dem Nichts kommt und sie einfach unvorbereitet sind.

Und die Leute sind auch faul. Selbst wenn sie wüssten, dass Backups nützlich sind, wären die meisten zu faul, um ihren Computer regelmäßig mit einem externen Laufwerk zu verbinden. Und die meisten würden nicht wirklich wissen, wie es geht, außer alle Dateien, die sie mögen, manuell auf das Laufwerk zu ziehen. In diesem Fall könnten sie leicht einige übersehen oder so viele Dateien kopieren, dass der Vorgang mit der Zeit mühsam wird.

Auch wenn Ihre Backups mit Ihrem Netzwerk/Computer verbunden sind, sind sie möglicherweise ebenfalls anfällig, da Sie einen Festplattenfehler erwarten. Sie sind jedoch der Meinung, dass Ihr Netzwerk/Computer im Allgemeinen vor den meisten Exploits sicher ist, oder den Benutzern wurde gesagt, was zu vermeiden ist.

9

Bei Ransomware gibt es ein starkes psychologisches Element - ein Gefühl der Verletzung.

Wenn Ihre Festplatte ausfällt und Sie kein Backup haben, ist es etwas, das gerade passiert ist, wie ein Erdbeben.

Ransomware ist, als wäre jemand in Ihr Haus eingebrochen, jemand hat Ihnen tatsächlich etwas angetan. Außerdem stirbt eine Festplatte und Sie haben keine Sicherung, Sie sind fertig. Wenn es sich um Ransomeware handelt, muss der Benutzer jetzt entscheiden: Bezahle ich? Wenn ich bezahle, geben sie mir dann tatsächlich meine Daten?

Wenn eine Festplatte ausfällt, wie hoch ist die Wahrscheinlichkeit, dass eine andere Festplatte ausfällt? Wenn jemand dumm genug war, um die Ransomware herunterzuladen, weiß er möglicherweise nicht, was er getan hat, und hat Angst, dass es wieder passieren wird. In vielen Fällen hat der Benutzer wahrscheinlich etwas heruntergeladen, aber viele Benutzer werden denken, dass sie "gehackt" wurden und Ziele waren.


Mit erfolgreich meinen Sie, warum zahlen die Leute, anstatt Backups zu verwenden? Einige Möglichkeiten:

  • Sie haben keine Backups
  • Sie haben Sicherungen, aber sie waren auch gesperrt oder zielgerichtet (z. B. haben sie Sicherungen, aber ihr Konzept der Sicherung wurde sie in einem anderen Ordner auf der Hauptfestplatte abgelegt).
  • Sie haben so etwas wie Carbonite oder Mozy als Backups, haben ihr Passwort in einem .txt Datei und kann das Passwort nie abrufen, da sie von ihrem Computer gesperrt sind

  • Jemand anderes hat seine Backups eingerichtet und weiß nicht, wie es geht. Er möchte nicht zugeben, dass er etwas heruntergeladen und den IT-Freund angegriffen hat

  • Es könnte wieder vorkommen: "Vielleicht lassen sie mich in Ruhe, wenn ich bezahle."
  • Das Wiederherstellen von Sicherungen scheint schwierig zu sein, oder sie befürchten, dass die letzte Sicherung nicht die wichtigste Datei enthält. Vielleicht ist ihre Zeit mehr wert als die Lösegeldkosten

Eine tote Festplatte ist ein Fehler, Ransomware ist ein Angriff. Beide führen zu einem Verlust der Datenverfügbarkeit, wenn keine Maßnahmen ergriffen werden. Die Ransomware impliziert jedoch auch, dass andere Angriffe oder Verstöße möglich sind. Warum sollte der Angreifer Ihre Daten nicht entsperren und sie dann immer wieder neu sperren oder Sie auch zu einem hinzufügen? Botnetz? Die Ransomware ist möglicherweise keine Eins-und-Tortur.

6
Eric G

Wenn Sicherungen durchgeführt werden und die Ransomware nicht auf diese Sicherungen zugreifen kann, sollte es ausreichen, nur die Sicherung zu erhalten (nachdem die Ransomware-Software natürlich vollständig vom infizierten Computer entfernt wurde).

Wenn das Sicherungsmedium immer angeschlossen ist (z. B. gemountete Netzwerkfreigabe, USB-Festplatte usw.), verschlüsselt die Ransomware möglicherweise auch die Sicherungen.

6
n1000

"Warum unterscheidet sich das von einem Festplattenfehler?"

Ein Punkt wurde noch nicht angesprochen: Es ist überhaupt nicht wirklich anders. Die Leute, die für Ransomware vom Verschlüsselungstyp bezahlen, würden auch 500 US-Dollar zahlen, um ihre Festplatte nach einem Festplattenfehler sofort wiederherzustellen. *

Backups sind auf Heim-PCs von Durchschnittsbürgern sehr selten. Der Kauf eines NAS und das Erlernen von Netzwerken und das Ausführen automatisierter Sicherungen ist für einen durchschnittlichen Computerbenutzer weder billig noch einfach. Der Kauf einer externen Festplatte und das gelegentliche Anschließen ist billig und einfach, aber zu umständlich Die letzte Sicherung wird ein paar Monate alt sein. Und es hilft nicht, dass sich bei Verwendung von Windows die integrierte Art der Sicherung alle 3 Jahre ändert. Die Sicherungen haben auch das Problem, dass sie sich auf öffentlich zugänglichen Netzwerkfreigaben befinden. Dies bedeutet, dass die Ransomware entscheiden könnte, sie auch zu verschlüsseln.

Vergessen wir auch nicht, Windows von Grund auf neu zu installieren, ohne eine CD zu haben. Ich würde vermuten, dass weniger als 25% der Benutzer damit zufrieden sind - selbst wenn es ein Backup gibt, müssten sie zu einer Reparaturwerkstatt gehen, um den PC zu reparieren, Windows neu zu installieren und das Backup zu installieren. Die Reparaturwerkstatt kostet ebenfalls Geld und bedeutet, dass der PC eine Woche lang nicht verfügbar ist.

* Ein Sonderfall sind Menschen, die sich schämen, sich dabei mit einem Virus infiziert zu haben. Ich weiß nicht was, die wollen, dass das Problem verschwindet, ohne dass es jemand anderes bemerkt. Sie werden das Lösegeld bezahlen, um Demütigungen zu vermeiden.

6
Peter

Die anderen Antworten werfen alle hervorragende Punkte hinsichtlich der Verfügbarkeit von Backups und der Realisierbarkeit von Ransomware als Angriffsmethode auf. Ich bin jedoch nicht der Meinung, dass jemand den speziellen Fall von Ransomware vs. Festplattenfehler aus der Perspektive Angreifer besonders verglichen hat.

Wenn ich jemandes Computersystem angreifen würde und ich die Wahl dieser beiden Ergebnisse mit ungefähr gleicher Erfolgswahrscheinlichkeit hätte, wäre es naheliegend, das zu wählen, das mir möglicherweise einen finanziellen Gewinn bringt, falls es erfolgreich sein sollte.

2
Aiken

Lösegeldangriffe können mehr als nur das Sperren von Dateien bewirken.

Ich war einmal Opfer eines Angriffs, bei dem ich den Computer nicht starten konnte, ohne einen Bildschirm zu sehen, auf dem Folgendes angegeben war:

Die Polizei hat festgestellt, dass dieser Computer alle möglichen schlechten Dinge tut, und es muss eine Geldstrafe gezahlt werden, um die Anklage zu lösen.

Wenn dies auf einem Computer geschieht, der für diejenigen freigegeben ist, die nichts über Ransomware wissen, kann dies viel schädlicher sein als ein "normales" Systemlöschen. Und so kann ein Angriff eher etwas bringen.

1

Zusätzlich zu den anderen Antworten möchte ich darauf hinweisen, dass einige Ransomware sich nicht als solche bewerben.

Stattdessen tarnt es sich als Komponente, die den Benutzer darauf hinweist, dass einige beschädigte Dateien auf dem Computer erkannt wurden. Anschließend wird "online eine Lösung gefunden", wie dies beim legitimen Betriebssystem der Fall ist, und der Benutzer wird auf eine Webseite geleitet, auf der er "eine Software zur Reparatur seines Computers" kaufen kann. Natürlich wurden die "beschädigten" Dateien in erster Linie von der Ransomware verschlüsselt, und die Software, die der Benutzer zu einem hohen Preis kauft, entschlüsselt die Dateien.

Das Schöne an diesem sichereren, unauffälligen Ansatz ist, dass der Benutzer häufig nicht einmal merkt, dass er betrogen wurde. Dies trägt dazu bei, die Anzahl erfolgreicher Ransomware-Versuche zu erhöhen.

(Leider kann ich die Referenzen für diese Art von Malware nicht mehr finden. Ich werde Beispiele hinzufügen, falls ich sie finde.)

0
dr_

Ransomware-Angriffe sind erfolgreich, da Benutzer nicht immer Kopien ihrer sensiblen Daten außer auf ihren Computern speichern und viele Leute akzeptieren, dass sie zahlen müssen, um ihre kompromittierten Daten zurückzugewinnen.

Solange es Benutzer gibt, die zahlen, werden Ransomware-Angriffe nicht aufhören, sondern sich nur weiterentwickeln und verbessern.

0
user45139