In diesem Blogbeitrag gehen wir genauer auf das Thema IT-Services ein und was dieses Gebiet alles beinhaltet. Finden Sie heraus, welche Services Sie unterstützen werden.
IT-Services als Schlüssel zur Produktivität
Unternehmen stehen vor der Herausforderung, ihre IT-Infrastruktur effizient und sicher zu gestalten. Hier kommen professionelle IT-Services ins Spiel. Ein kompetenter IT-Dienstleister unterstützt Firmen dabei, ihre Systeme zu verbessern, Ausfallzeiten zu reduzieren und die IT-Sicherheit zu gewährleisten. Mit einem maßgeschneiderten IT-Service lassen sich betriebliche Abläufe effektiver gestalten und langfristig Wettbewerbsvorteile sichern, was vor allem kleine und mittelständische Unternehmen entlasten kann.
Warum ein IT-Dienstleister unverzichtbar ist
Ein erfahrener Dienstleister bietet passgenaue und umfassende IT-Dienstleistungen, die weit über einfache Wartung hinausgehen. Von der strategischen Planung bis hin zur kontinuierlichen Optimierung der IT-Infrastruktur – der richtige Partner stellt sicher, dass Unternehmen von den neuesten Technologien profitieren. Dies bietet nicht nur eine Entlastung der internen IT-Abteilung, sondern für das ganze Unternehmen. Denn es spart nicht nur Kosten, sondern steigert auch die Produktivität der IT-Abteilung und reduziert interne Arbeitsaufwände. Für erfahrene IT-Dienstleister wie ADVANCED steht der Kunde immer an erster Stelle und wir arbeiten kontinuierlich an unseren Prozessen, damit Sie im besten Sinne von unserer Expertise profitieren können.
Managed Services – IT-Betreuung für mehr Effizienz
Viele Unternehmen setzen auf Managed Services, um ihre Betreuung professionell auszulagern und auf Cloud-Lösungen zuzugreifen. Dies ermöglicht eine zuverlässige Überwachung und Instandhaltung der digitalen Infrastruktur. Durch proaktives Monitoring können Probleme frühzeitig erkannt und behoben werden, bevor sie zu ernsthaften Systemausfällen führen, was besonders für kleine und mittlere Unternehmen wichtig ist. Zudem sorgen regelmäßige Updates für eine stabile und sichere Umgebung, die auf die neuesten IT-Lösungen abgestimmt ist.
IT-Service-Provider – Maßgeschneiderte Lösungen für Unternehmen
Ein professioneller IT-Service-Provider entwickelt individuell angepasste IT-Services, die genau auf die Bedürfnisse eines Unternehmens zugeschnitten sind, um KMUs zu unterstützen. Dies umfasst nicht nur die Beschaffung von Hardware, sondern auch die Implementierung neuer IT-Modelle und deren kontinuierliche Instandhaltung. Maßgeschneiderte Lösungen garantieren, dass Unternehmen ihre IT-Ressourcen effizient nutzen können und von unserer Expertise profitieren.
IT-Sicherheit und System-Optimierung – Schützen Sie zuverlässig Ihre Infrastruktur
Eine solide IT-Sicherheit ist essenziell, um sensible Unternehmensdaten vor Cyber-Angriffen zu schützen. ADVANCED bietet in der IT-Security gezielte Sicherheitsmaßnahmen, um Schwachstellen im System zu identifizieren und zu beseitigen. Des Weiteren kann man durch eine gezielte Optimierung der IT-Systeme Risiken minimieren und die allgemeine Sicherheit verbessern. So bleibt die digitale Infrastruktur leistungsfähig und geschützt, was für Unternehmen von großer Bedeutung ist.
Monitoring und Wartung
Ein wesentlicher Bestandteil erfolgreicher IT-Services ist die kontinuierliche Überprüfung und die regelmäßige Instandhaltung der technologischen Infrastruktur. Durch die fortlaufende Überwachung können Störungen frühzeitig erkannt und behoben werden, bevor sie zu schwerwiegenden Problemen führen. Moderne Monitoring-Lösungen bieten Echtzeit-Einblicke in die Systemleistung und ermöglichen eine präventive Instandhaltung. Dadurch werden Betriebsunterbrechungen reduziert und die Effektivität des gesamten IT-Netzwerks gesteigert. Ein gewissenhafter IT-Dienstleister sorgt dafür, dass Systeme stets auf dem neuesten Stand sind und optimal funktionieren.
Die Rolle eines IT-Dienstleisters bei der IT-Betreuung
Ein kompetenter IT-Dienstleister unterstützt Unternehmen nicht nur bei der Einrichtung neuer IT-Systeme, sondern bietet Ihnen individuellen und kontinuierlichen IT-Support. Dies beinhaltet neben Inspektion und Überwachung auch die schnelle Behebung technischer Probleme, um Ihr Unternehmen auf die nächste Stufe der Qualität zu heben. So werden IT-Ausfallzeiten minimiert, und die Produktivität bleibt erhalten.
IT-Service: Die Vorteile auf einen Blick
Zuverlässige IT-Betreuung: Ein professioneller Dienstleister sorgt für eine stabile und sichere Netzwerkarchitektur, auf die Unternehmen jederzeit zugreifen können.
Kosteneinsparungen: Durch effiziente IT-Dienstleistungen und IT-Lösungen werden unnötige Kosten vermieden.
Erhöhte Produktivität: Durch weniger Betriebsunterbrechungen und optimierte Prozesse arbeiten Unternehmen effizienter.
Fachwissen und Know-how: Unsere IT-Spezialisten bieten umfassende Unterstützung in allen Bereichen der IT-Services. Ein erfahrener IT-Dienstleister bringt das notwendige Fachwissen mit, um moderne IT-Netzwerke zu verwalten.
Individuelle Lösungen: IT-Services, die exakt auf die Bedürfnisse von kleinen und mittleren Unternehmen abgestimmt sind. Unsere maßgeschneiderten IT-Services passen sich genau an die Anforderungen eines Unternehmens an.
Fazit: Beschaffung von IT-Dienstleistern als Erfolgsfaktor für Unternehmen
Die richtige Betreuung, insbesondere durch IT-Spezialisten, ist entscheidend, um die Effizienz und den IT-Schutz eines Unternehmens zu gewährleisten. Durch den Einsatz professioneller IT-Services und Dienste lassen sich IT-Infrastrukturen verbessern, Betriebsunterbrechungen reduzieren und die Produktivität und Effizienz steigern. Ein erfahrener IT-Dienstleister bietet Unternehmen das notwendige Know-how, um sich auf Ihr Kerngeschäft zu konzentrieren, sich an Ihre Bedürfnisse anzupassen und gleichzeitig eine gewissenhafte und leistungsfähige IT-Infrastruktur bereitzustellen.
Zudem sorgt die kontinuierliche Weiterentwicklung von IT-Strategien dafür, dass Unternehmen langfristig wettbewerbsfähig bleiben und flexibel auf neue Herausforderungen reagieren können. Durch den Einsatz professioneller IT-Services und Managed Services lassen sich IT-Infrastrukturen optimieren, Ausfallzeiten reduzieren und die Produktivität nachhaltig steigern. ADVANCED bietet Unternehmen das notwendige Know-how, um eine funktionierende und effiziente IT zu haben, sodass Sie sich auf ihr Kerngeschäft konzentrieren können.
ADVANCED ist ein IT-Systemhaus mit dem Schwerpunkt auf Cybersecurity. Seit über 25 Jahren beraten und betreuen wir mittelständische Kunden stets auf Augenhöhe, zielgerichtet und ganzheitlich. Dabei behalten wir Ihre Unternehmensziele immer im Blick.
Ein IT-Systemhaus ist der zentrale Partner für Unternehmen, wenn es um IT-Infrastruktur, Support und digitale IT-Lösungen, einschließlich Hard- und Software, geht. Es bietet Dienstleistungen wie IT-Beratung und Strategieentwicklung, Netzwerk- und Server-Management, IT-Sicherheit und Datenschutz sowie Cloud- und Managed Services. Zudem stellt ein professionelles Systemhaus einen zuverlässigen Servicedesk bereit, um Unternehmen in allen IT-Belangen zu unterstützen.
Warum ein IT-Systemhaus der kompetente IT-Dienstleister für Unternehmen ist
Viele Unternehmen stehen vor der Entscheidung, ob sie eine eigene IT-Abteilung aufbauen oder ein Systemhaus beauftragen sollen. Die Zusammenarbeit mit einem IT-Dienstleister bietet viele Vorteile.
Ein internes IT-Team ist für viele mittelständische Unternehmen unverzichtbar – insbesondere wenn es um die Betreuung spezifischer Unternehmensapplikationen geht. Gleichzeitig stehen diese Teams oft vor der Herausforderung, mit begrenzten Ressourcen Themen wie Lizenzmanagement, Wartung oder neue Technologien abzudecken. Ein IT-Systemhaus kann hier als verlässlicher Partner unterstützen: Mit maßgeschneiderten Services, planbaren Kosten und breit aufgestelltem Fachwissen – von Cloud-Lösungen über IT-Sicherheit bis hin zu Support und Netzwerken. So entlasten wir interne IT-Teams gezielt und schaffen Raum für deren strategische Aufgaben.
Ein weiterer entscheidender Vorteil für eine Partnerschaft mit einem IT-Systemhaus ist die Skalierbarkeit. Unternehmen können IT-Ressourcen flexibel erweitern oder reduzieren, ohne neue Mitarbeiter einstellen zu müssen. Zudem steht ein professioneller IT-Serviceanbieter rund um die Uhr für Notfälle bereit. Dank neuester Technologien und innovativer Lösungen bleiben Unternehmen immer auf dem aktuellen Stand der Technik und sichern sich langfristige Wettbewerbsfähigkeit.
Ganzheitlicher IT-Service: So sparen Unternehmen mit Managed IT-Services Zeit und Geld
Mit Managed IT-Services können Unternehmen ihre gesamte IT-Betreuung an zuverlässige IT-Systemhäuser auslagern. Dadurch lassen sich zahlreiche Vorteile in der Digitalisierung realisieren.
Durch proaktives Monitoring werden potenzielle IT-Störungen frühzeitig erkannt und behoben, bevor sie zu kostspieligen Ausfällen führen. Mitarbeiter müssen sich nicht um technische Probleme kümmern und können sich voll und ganz auf ihr Kerngeschäft konzentrieren. Dank klar definierter Service-Pakete sind IT-Kosten besser planbar und es entstehen keine unerwarteten Reparaturkosten im Bereich Hard- und Software. Regelmäßige Updates und Sicherheitschecks gewährleisten zudem, dass alle Systeme stets aktuell und sicher sind.
Wie die Firma ADVANCED helfen kann – Ein Tag im IT-Systemhaus
ADVANCED ist Ihr zuverlässiger Dienstleister und unterstützt Unternehmen mit maßgeschneiderten, nachhaltigen IT-Lösungen. Doch was bedeutet das konkret für die Digitalisierung? Begleiten Sie uns einen Tag lang hinter die Kulissen unseres IT-Systemhauses und erfahren Sie, wie unsere Experten arbeiten.
08:30 Uhr – Tagesbesprechung im Systemhaus: Effiziente Planung für den Tag
Der Tag beginnt mit einem kurzen Meeting, in dem sich die unterschiedlichen Fachabteilung gegenseitig zu anstehenden Projekten sowie besonderen Kundensituationen updaten. Ebenfalls wird Abteilungsübergreifend die aktuelle Sicherheitslage bewertet und neue Erkenntnisse zu möglichen Angriffsvektoren geteilt.
09:00 Uhr – Proaktive Wartung und IT-Monitoring durch den IT-Dienstleister
Unsere Technik-Team prüft die IT-Systeme unserer Kunden in Echtzeit. Durch den Einsatz moderner Monitoring-Tools können Probleme frühzeitig erkannt werden, bevor sie zu Ausfällen führen. So lassen sich Engpässe in der IT-Infrastruktur und auffällige Aktivitäten im Netzwerk rechtzeitig identifizieren und beheben.
11:00 Uhr – Ganzheitliche IT-Strategien: Kundenprojekt zur Migration in die Cloud
Heute steht für einen unserer Kunden die Umstellung auf unsere Cloud-Infrastruktur an. Unsere Experten sorgen dafür, dass der Übergang reibungslos verläuft und das Unternehmen ohne Unterbrechung weiterarbeiten kann, während wir die Digitalisierung vorantreiben.
13:30 Uhr – IT-Systemhaus als zuverlässiger Partner: Notfall-Support bei einem Serverausfall
Plötzlich fällt ein Server eines Kunden aus, was die Notwendigkeit einer umfassenden IT-Strategie unterstreicht. Unser Servicedesk-Team nimmt den Erstkontakt auf und informiert die zuständigen Spezialisten. Während im Hintergrund an einer schnellen Lösung gearbeitet wird, greift bereits der eingerichtete Failover des Clusters und der Betrieb kann kurzfristig fortgeführt werden.
15:00 Uhr – IT-Dienstleister mit Kompetenz: Sicherheitscheck und Schwachstellenanalyse
Um die IT-Sicherheit unserer Kunden zu gewährleisten, führen wir gezielte Schwachstellenanalysen durch. So können mögliche Sicherheitslücken identifiziert und behoben werden, bevor Angreifer sie ausnutzen können, was für die Sicherheit der Software entscheidend ist.
17:00 Uhr – Standortübergreifender IT-Service: Abschluss des Tages
Bevor der Arbeitstag endet, überprüfen unsere Experten nochmals die laufenden Systeme und offenen Support-Tickets. Auch nach Feierabend bleibt unser 24/7-Service jederzeit erreichbar, um Kunden zuverlässig zu unterstützen.
Fazit: IT-Systemhaus als kompetenter Partner für effektive Softwarelösungen
Ein IT-Dienstleister bietet Unternehmen nicht nur technische Unterstützung und umfassende strategische Beratung, sondern auch höchste Sicherheitsstandards und maßgeschneiderte Lösungen in der Branche. Statt hohe Fixkosten für ein internes IT-Team zu tragen, profitieren Unternehmen von gebündeltem Fachwissen, Skalierbarkeit und modernster Technologie. So lassen sich Zeit und Geld sparen, während die IT-Infrastruktur zuverlässig und zukunftssicher bleibt, insbesondere durch nachhaltige IT-Lösungen.
ADVANCED ist ein IT-Systemhaus mit dem Schwerpunkt auf Cybersecurity. Seit über 25 Jahren beraten und betreuen wir mittelständische Kunden stets auf Augenhöhe, zielgerichtet und ganzheitlich. Dabei behalten wir Ihre Unternehmensziele immer im Blick.
Ein Ransomware-Angriff zielt auf die Monetarisierung eines erfolgreichen Angriffs ab. Sobald sich die Angreifer zu erkennen geben, setzen sie ihre Opfer unter solch enormen Druck, dass das die Zahlung von Lösegeldforderungen oft als einzige Lösung erscheint. Dabei nutzen sie eine mehrstufige Strategie, bekannt als Multi-Extortion-Strategie, die in Abhängigkeit von der Anzahl der eingesetzten Teilstrategien auch als Double- oder Triple-Extortion-Strategie bezeichnet wird. Diese Strategien umfassen folgende Schritte:
Verschlüsselung von Daten und Systemen: Die Ransomware verschlüsselt Daten. Die Angreifer bieten Unterstützung bei der Entschlüsselung der unbrauchbar gemachten Daten und der Wiederherstellung der Windows-Dienste an oder das Schließen des Einfallstors.
Exfiltration sensibler Daten: Angreifer entwenden sensible Informationen wie Firmengeheimnisse, Benutzerdaten und Kundendaten. Sie drohen, diese bei Nichtzahlung zu veröffentlichen oder zu verkaufen, um den Ruf des Unternehmens zu schädigen.
DDoS-Angriffe bei Nichtzahlung: Wenn das Lösegeld nicht bezahlt wird, drohen regelmäßige Distributed-Denial-of-Service-Angriffe (DDoS).
Ein solcher Angriff kann dazu führen, dass wichtige Serverdienste, Programme und Unternehmensdaten oder direkt die VM-Container unbrauchbar werden. Das Ziel der Angreifer ist erreicht, wenn die Handlungsfähigkeit des Unternehmens zum Erliegen kommt, was den Weg zurück zur Normalität langwierig und kostspielig macht. Dies zeigt, wie wichtig es ist, das Unternehmen vor Betriebsunterbrechungen zu schützen. Wir unterstützen Sie gerne dabei, geeignete Schutzmaßnahmen zu ergreifen und zeigen im Folgenden, wie die erfolgreichsten Ransomware-Gruppen vorgehen, damit Sie Ihre Cyber-Abwehrstrategie besser auf die aktuelle Lage ausrichten können.
Die Digitalisierung von Geschäftsprozessen, die Einführung von Kryptowährungen und das TOR-Netzwerk (Onion-Routing) ermöglichen weitgehend anonymisierte Angriffe und Lösegeldforderungen. Seit 2017, als die Lösegeldforderungen im Durchschnitt zwischen 501 und 2000 US-Dollar lagen, sind sie stetig gestiegen. Im ersten Quartal 2022 betrug die durchschnittliche Lösegeldzahlung bereits 211.529 US-Dollar, während sie im Jahr 2022 auf 570.000 US-Dollar anstieg. Laut dem IT-Sicherheitsbericht des BSI verursachten Ransomware-Angriffe allein in Deutschland im Jahr 2022 einen Schaden von 202 Milliarden Euro; bis September 2023 waren es bereits 203 Milliarden Euro.
Was ist ein Exploit bei Ransomware und wie kann man sich schützen?
Angreifer nutzen sogenannte sogenannte Zero-Day-Exploits, also Softwarelücken, um über das Internet erreichbare Server zu übernehmen oder greifen durch Social-Engineering und Phishing-Kampagnen Systemzugänge ab. Ein Exploit ist eine Schwachstelle, die es Angreifern ermöglicht, Schadsoftware nachzuladen und sich in Ihr IT-System einzunisten. Zero-Day bezeichnet den Zeitraum, in dem der Administrator reagieren kann, um die Lücke durch einen Sicherheitspatch zu schließen – für einen Zero-Day-Exploit kann es also im schlimmsten Fall noch keinen Patch geben.
Exploits erfordern nicht immer einen Benutzer, um Opfer von Ransomware zu werden. Sie können gezielt auf spezifische Server wie Mail- oder Webserver eingesetzt werden, oder Angreifer locken Mitarbeiter auf manipulierte Seiten, um Zero-Click-Angriffe wie Drive-by-Downloads durchzuführen.
Zu den erfolgreichsten Gruppen, die diese Techniken perfektioniert haben, zählen Lockbit 3.0, AlphV (BlackCat), CLOP, Conti, Blackbasta, Prevail, REvil, Akira, Royal und viele mehr. Diese Angriffe folgen in der Regel einem bestimmten Muster, dem Lockheed Martin’s Cyber-Kill-Chain-Modell, weshalb es sich lohnt, sich mit dieser Bedrohung auseinanderzusetzen.
Detaillierte Kenntnisse über Angriffsabläufe, eingesetzte Tools und Angriffsvektoren wie Pass-the-Ticket, Pass-the-Hash, Pass-the-Session und Golden Tickets sind entscheidend. Diese Informationen helfen Ihnen, die passenden Schutzmechanismen zu implementieren und Ihr Unternehmen vor Betriebsunterbrechungen zu bewahren.
Es gibt jedoch keine universelle Lösung für alle Schwachstellen. Auch wenn Produkte wie Firewalls, Anti-Spam-Lösungen und Endpoint-Security-Systeme (mit EDR und XDR) weit verbreitet sind, erfordert ein umfassender Schutz zusätzliche Ansätze. Dazu gehören Zero-Trust-Lösungen, eine robuste Sicherheitsarchitektur, allgemeine Monitoring-Lösungen und die Einbindung der Anwender in das Cyber-Abwehr-Konzept.
Angriffserkennungssysteme nutzen Angriffsindikatoren (Indicators of Attack, IoA) und Kompromittierungsindikatoren (Indicators of Compromise, IoC), um laufende Angriffe zu erkennen. Dies gibt der IT die Möglichkeit, zu reagieren, bevor das System unbrauchbar wird. Das Aufspüren dieser Indikatoren ist die Spezialität eines SOC-Teams, das in einem Loggingsystem, das Meldungen aus zahlreichen Quellen zusammenführt, Auffälligkeiten entdeckt. Es identifiziert kompromittierte Systeme und unterstützt die IT dabei, diese zu bereinigen und das Einfallstor zu schließen, idealerweise bevor der Schaden entsteht.
Wie läuft ein Ransomware-Angriff auf einem Computer genau ab? Gibt es Muster bei Malware und worauf muss ich achten?
Die folgende Grafik zeigt vereinfacht eine typische Kill-Chain einer Ransomware-Gruppe:
Wie die Kill-Chain zeigt, folgen Ransomware-Angriffe oft einer bestimmten Kill-Chain, bei der mindestens auf eine Double-Extortion-Strategie gesetzt wird. Angreifer nutzen leistungsfähige Tools, die auch legitimen Kunden zur Verfügung stehen. Hier sind die idealisierten Abläufe und repräsentativen Tools eines Ransomware-Angriffs:
Nutzung von Schwachstellen: Angreifer kombinieren mehrere Schwachstellen, um Rechteausweitungen bis hin zu Administrator-, System- oder Root-Rechten zu ermöglichen. Sobald sie Admin-Rechte erlangt und eine Root-Shell platziert haben, laden sie beliebigen Code aus dem Internet nach, scannen die Netzwerkumgebung und analysieren sie auf weitere Schwachstellen. Dabei überwinden sie Barrieren wie Firewalls, Anti-Viren- und EDR-Systeme, um das Active Directory (AD), das Backup-System, den Hypervisor und Ihre Daten zu kompromittieren.
Netzwerkexpansion: Tools wie Netzwerkscanner (z.B. von SoftPerfect), Keylogger und Remote Management Lösungen wie ConnectWise helfen den Angreifern, sich im Netzwerk weiter auszubreiten.
Passwortdiebstahl: Ein zentrales Element ist das Abgreifen von Passwörtern jeglicher Art, da sie entscheidend für den weiteren Angriff sind.
Active Directory Kompromittierung: Wenn die Angreifer soweit gekommen sind, können sie mit Tools wie AdFind und ADRecon einen AD-Dump erstellen und die Infrastruktur analysieren. Lokale Anmeldedaten können aus der Local Security Authority (LSASS) extrahiert werden, um sie für Brute-Force- Wörterbuchangriffe zu nutzen oder um alle möglichen Passwortkombinationen auszuprobieren.
Schwachstellenscan: Im schlimmsten Fall führen Angreifer mit einem AD-Administrator einen Schwachstellenscan mit Software zur Simulation feindlicher Angriffe, z.B. Cobalt Strike, durch, um entscheidende Netzwerkziele zu identifizieren.
Deinstallation von Sicherheitssoftware: Angreifer deinstallieren als nächsten Schritt Endpoint-Security-Agenten, unabhängig von vorhandener Tamper-Protection, oft mit speziellen Tools (z.B. Ultimate Uninstaller.exe ;forensische AnalyseNov 2023)
Kerberos- und RDP-Angriffe: Sobald Angreifer Zugriff auf den Windows-Server haben, nutzen sie Tools wie Process Hacker und Mimikatz, um Schwachstellen im Kerberos-Protokoll für Pass-the-Hash-Angriffe auszunutzen. Sie provozieren Administratoranmeldungen an kompromittierten Systemen, um den Zugriff auf alle Domänensysteme zu beschleunigen.
Datenausleitung: Mit Tools wie ExMatter, MEGAsync oder SSH werden möglichst viele Unternehmensdaten exfiltriert. Angreifer erstellen im Darknet spezifische Onion-Adressen, um Daten hochzuladen und setzen einen Countdown für die automatische Veröffentlichung, sollte sich das Opfer nicht melden.
Verschlüsselung und Löschung: Sobald die Angreifer Zugriff auf das Backup-System, den File-Server, den Hypervisor, die Endpoint-Security und das AD haben, verschlüsseln die Angreifer das System. Mithilfe von PowerShell-Scripts löschen sie Windows-Schattenkopien, Logs und andere Spuren, um jede Art der Wiederherstellung zu verhindern. Der Ransomware-Code wird getarnt, live kompiliert und gestartet, um mit datei-loser Malware (Living off the land – LOTL) patternbasierte Erkennung zu umgehen. Er wird innerhalb von Sekunden über die gesamte Infrastruktur verteilt, oft unter einer Windows-typische Prozessbezeichnung wie wie svhost.exe. Dieser Vorgang passiert so schnell, das es oft zu spät ist bis man ihn als solchen identifiziert hat.
Erpressung und Kontaktaufnahme: Nun platzieren die Angreifer eine Readme-Datei (z.B. html, txt, angepasster Desktop-Hintergrund) auf Ihren Systemen, die Anweisungen zur Identifizierung und Kontaktaufnahme enthält und können Sie so erpressen.
Diese Schritte zeigen eindrucksvoll, wie Ransomware systematisch alle wichtigen Windows-Dienste, von Backups über Antiviren-Software bis hin zu Datenbanken, Windows-Internetdiensten oder den Storage-Bereich des ESX, wo die virtuellen Maschinen (VMs) liegen, lahmlegt und unbrauchbar macht.
Forensische Analysen belegen, dass häufig mehrere cyberkriminelle Angreifergruppen beteiligt sind. Die Angreifer brauchen für diese vielen Schritte eine gewisse Zeit –allerdings gilt auch hier: Wer zuerst kommt, malt zuerst. Diese Prozesse nehmen Zeit in Anspruch, und der eigentliche Verschlüsselungsprozess erfolgt meist zu Zeiten, in denen niemand arbeitet, wie am Wochenende oder nachts, oder zu besonders umsatzstarken Zeiten wie der Weihnachtszeit.
Welche Schutzmöglichkeiten vor einer Infektion gibt es?
Angelehnt an das APT-Lifecycle Modell, dem Defense-in-depth-Modell und der Cyber-Kill-Chain hat die New Zealand Regierung von ihrem Government Computer Emergency Response Team (GovCERT) eine Verteidigungsstrategie erarbeiten lassen, die Administratoren unterstützen soll, eine geeignete Verteidigungsstrategie zu implementieren. Diese kann der folgenden Grafik entnommen werden:
Quelle: How ransomware happens and how to stop it, CERT NZ, letzter Zugriff: 27-02-2025. https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/
Fazit
Das Verständnis der hochentwickelten Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTP) von Angreifern bei Advanced Persistent Threats (APT) befähigt IT-Verantwortliche, fundierte Entscheidungen zu treffen. Nur Organisationen, die über spezielles Wissen, geschultes Personal und geeignete Tools verfügen, können sich effektiv schützen.
Es ist daher für jedes Unternehmen essenziell, sich intensiv mit dem Thema Ransomware auseinanderzusetzen. Dabei sollten nicht nur präventive Maßnahmen gegen Ransomware-Vorfälle im Fokus stehen, sondern auch die Vorbereitung auf die Zeit nach einem Angriff. Dazu gehört das Überwachen von möglichen Datenlecks, selbst wenn primär Geschäftspartner betroffen sind. Für die strategische Ausrichtung der Cyber-Abwehr-Strategie ist es wichtig, dass die IT-Abteilung die Anatomie von Ransomware-Angriffen versteht und folgende Punkte berücksichtigt:
Netzwerk-Topologie: Implementieren Sie eine geeignete Netzwerk-Topologie, um die kritischen Daten Ihres Unternehmens zu schützen.
Backup-Infrastruktur: Schützen Sie Daten und Dienste durch mehrstufige Backup-Methoden an mindestens zwei Standorten. Backups sollten offline gehalten und als unveränderbare Backups (Immutable Backups) implementiert werden, beispielsweise nach dem Veeam ZTDR-Modell. Überprüfen Sie alle 3 bis 6 Monate, ob alle VMs in der Backup-Software erfasst sind.
Zero-Trust-Ansatz: Etablieren Sie einen sicheren Schutzschild durch einen Zero-Trust-Ansatz, um zu verhindern, dass Schadcode auf Ihre Systeme gelangt.
AD-Härtung: Führen Sie Maßnahmen zur Härtung des Active Directory durch und etablieren Sie ein Sicherheitsmodell für privilegierte Zugriffe.
XDR-/SIEM-SOAR-Systeme: Nutzen Sie ein XDR-/SIEM-SOAR-System, um Ihrem SOC-Team zu helfen, verdächtige Aktivitäten frühzeitig zu identifizieren.
Die wachsende Bedrohung durch Infostealer geht erst richtig los: Angreifer müssen nicht mehr hacken – sie loggen sich einfach ein…
In der heutigen IT-Sicherheitslandschaft sind Infostealer eine der größten Bedrohungen für Unternehmen und Privatpersonen. Diese Schadsoftware infiziert Systeme, stiehlt sensible Daten – darunter Anmeldeinformationen, Finanzdaten und persönliche Identitäten – und verkauft diese im Darknet.
Das Ergebnis? Hacker müssen nicht mehr aufwändig in Systeme hacken – sie melden sich einfach mit gestohlenen Zugangsdaten an.
Infostealer haben das Sicherheitsrisiko grundlegend verändert: Wer einmal infiziert wurde, verliert unter Umständen die Zugänge zu sämtlichen Online-Diensten, Tools und Webseiten. Identitäten werden als Komplettpakete verkauft, sodass Kriminelle sofort Zugriff auf E-Mail-Konten, Unternehmensnetzwerke und Finanzplattformen erhalten – ganz ohne Brute-Force-Angriffe oder auffällige Hacking-Methoden.
Unsere aktuelle Recherche hat ergeben, dass im Darknet Zugänge von über 30 Millionen Geräten vorliegen. Das sind dann meist ganze Userprofile inkl. der Anmeldedaten. Zugänge zu über 11 Millionen Domains und Daten von über 11 Millionen kompromittieren Android Geräten, die zum Verkauf oder auch kostenfrei zur Verfügung gestellt werden.
Dieser Blog klärt auf, warum das so ist und was jedes Unternehmen hieraus ableiten sollte.
Wie Infostealer infizieren
Infostealer sind darauf spezialisiert, Login-Daten, Cookies, Browser-Sitzungen, Autofill-Daten und sogar Kreditkartendetails unbemerkt zu stehlen. Die Malware gelangt häufig über Phishing-Mails, manipulierte Webseiten oder infizierte Software-Downloads auf das System.
Sobald die Ransomware aktiv ist, durchsucht sie verschiedene Anwendungen nach gespeicherten Zugangsdaten und sendet diese an Cyberkriminelle, die sie weiterverkaufen oder für gezielte Angriffe nutzen. Der Benutzer bemerkt hiervon nichts.
Phishing-E-Mails: Schadanhänge oder manipulierte Links starten den Download der Malware.
Kompromittierte Websites: Drive-by-Downloads infizieren Nutzer unbemerkt beim Besuch einer Seite.
Malvertising (Schadhafte Online-Werbung): Infizierte Werbeanzeigen verteilen die Schadsoftware über seriöse Webseiten.
WebBrowser Erweiterungen: Jeder Nutzer kann, wenn es nicht von der Administration beschränkt ist, beliebige WebBrowser Erweiterungen installieren. Diese haben Zugriff auf alle Ihre Browsertabs und können die Tastatureingaben abgreifen.
Addons für Spiele: Viele Spiele bieten sogenannte Mods an, also Erweiterungen von Spielen wie z.B. Mindcraft, GTA, CounterStrike, Pubg, Sims, etc. Viele dieser Programme und deren Erweiterungen sind unbemerkt durch Infostealer verseucht.
Typische Infektion von Infostealern:
Aktuelle Infostealer-Bedrohungen 2025
Die Bedrohung durch Infostealer wächst rasant. Viele Varianten nutzen moderne Verschleierungstechniken, um Sicherheitslösungen zu umgehen. Die derzeit gefährlichsten Infostealer sind:
1. Lumma Stealer
Lumma Stealer ist einer von den fortschrittlichsten Infostealer-Varianten und wird ebenfalls als Malware-as-a-Service (MaaS) angeboten. Seit seiner Entdeckung im Jahr 2022 hat sich Lumma in mehreren Versionen bösartig weiterentwickelt und nutzt modernste Verschleierungs- und Anti-Sandbox-Techniken, um Sicherheitslösungen zu umgehen.
Warum Lumma so gefährlich ist:
Session-Cookies: Neben Passwörtern kann Lumma auch aktive Session-Cookies extrahieren, wodurch Angreifer in viele Konten einsteigen können, selbst wenn MFA aktiviert ist.
Gezielte Angriffe auf Unternehmen: Lumma wird oft zur Unternehmensspionage und für Finanzbetrug eingesetzt.
Ständige Weiterentwicklung: Die Entwickler hinter Lumma veröffentlichen regelmäßig Updates, um Erkennungsmechanismen zu umgehen.
Lumma Stealer wird häufig über Discord-Kanäle, Fake-Software-Downloads und manipulierte Werbeanzeigen verbreitet. Die Kombination aus hoher Flexibilität, effektiver Tarnung und Zugangsdaten-Exfiltration in Echtzeit macht Lumma zu einer der größten Infostealer-Bedrohungen des Jahres 2025. Gerade in der Gaming-Szene, also bereits in Kinder- und Jugendzimmern, haben diese Hochkonjunktur.
2. Vidar Stealer
Vidar ist ein leistungsstarker Infostealer, der seit 2018 aktiv ist. Er kann nicht nur Passwörter und Cookies aus Browsern extrahieren, sondern auch spezifische Dateien vom System stehlen. Vidar ist besonders gefährlich, da er sehr modular aufgebaut ist, was bedeutet, dass Angreifer die Funktionen anpassen und erweitern können.
3. Stealc Stealer
Stealc wurde erstmals im Jahr 2023 entdeckt und ist eine Weiterentwicklung bekannter Infostealer wie Vidar und Raccoon. Besonders gefährlich ist seine Fähigkeit, über 23 Webbrowser sowie Kryptowährungs-Wallets, Messenger-Dienste und E-Mail-Clients anzugreifen. Zudem verfügt Stealc über eine flexible Konfiguration, die es Angreifern ermöglicht, ihre Angriffe gezielt zu steuern.
4. RedLine Stealer
Einer der am weitesten verbreiteten Infostealer, der als Malware-as-a-Service (MaaS) verkauft wird. Er stiehlt Zugangsinformationen, Kryptowährungs-Wallets und gespeicherte Formulardaten aus Browsern.
5. Agent Tesla
Ein leistungsfähiger Infostealer mit integrierter Keylogger- und Datenexfiltrations-Funktion, der gezielt Unternehmensdaten abgreift.
6. Raccoon Stealer
Ein besonders einfacher, aber gefährlicher Infostealer, der Zugangsdaten für E-Mails, Krypto-Wallets und Browser-Konten sammelt.
7. FleshStealer
Seit September 2024 aktiv, nutzt dieser Infostealer verschlüsselte Kommunikation und virtuelle Maschinen-Erkennung, um der Analyse zu entgehen.
8. Banshee Stealer (macOS)
Ein neuer Infostealer, der speziell für Apple-Geräte entwickelt wurde. Dies zeigt, dass macOS-Systeme mittlerweile genauso betroffen sind wie Windows.
Die Folgen: Identitätsdiebstahl – Cyberkriminelle stehlen Anmeldeinformationen als Ware für das Darknet
Sobald Infostealer eine Identität kompromittiert haben, werden die erbeuteten Daten oft im Darknet verkauft. Dort kaufen Cyberkriminelle vollständige Zugangsdaten für Online-Dienste, Firmennetzwerke oder Finanzkonten.
Was passiert mit gestohlenen Zugangsdaten?
Verkauf auf Marktplätzen im Darknet: Zugangsdaten-Pakete sind oft für wenige Euro erhältlich.
Gezielte Angriffe auf Unternehmen: Gestohlene Business-Konten werden für CEO-Fraud, Phishing-Kampagnen oder interne Manipulationen genutzt.
Einstiegspunkt für Ransomware-Angriffe: Viele Ransomware-Gruppen kaufen Zugangsdaten, um Unternehmen zu infiltrieren.
Identitätsdiebstahl & Kontoübernahmen: Bankkonten, E-Mail-Postfächer oder Social-Media-Accounts werden manipuliert oder weiterverkauft.
Das „No-Hack“-Problem
Früher mussten Cyberkriminelle Systeme aufwändig knacken, Sicherheitslücken ausnutzen oder Firewalls umgehen. Heute genügt es, auf dem Schwarzmarkt gestohlene Logins zu kaufen und sich als rechtmäßiger Nutzer anzumelden.
Diese Methode ist besonders gefährlich, weil:
Sie keine Sicherheitsalarme auslöst – Es gibt keine auffälligen Login-Versuche oder Brute-Force-Angriffe.
Sie plattformübergreifend funktioniert – Windows, macOS, Cloud-Dienste – überall, wo Nutzer ihre Passwörter speichern, sind sie angreifbar.
Sie hochgradig gezielt eingesetzt wird – Angreifer haben direkten Zugriff auf Konten mit echten Anmeldeinformationen, wodurch Angriffe schwerer zu entdecken sind.
Sicherheit für Unternehmen: Wie kann man sich gegen Infostealer schützen?
Da herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen, müssen Unternehmen und Privatpersonen auf mehrschichtige Sicherheitsstrategien setzen:
1. Starke Authentifizierung nutzen
Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst wenn Passwörter gestohlen werden, bietet MFA eine weitere Hürde. Diese Hürde wird vor allem in WLAN-Netzen bereits sehr erfolgreich umgangen, wie zum Beispiel in HotSpots, Hotel WLANs etc. Als Stichwort kann hier Pineapple von Hak5 genannt werden.
Browser-Speicherung von Passwörtern deaktivieren: Infostealer extrahieren gespeicherte Anmeldedaten mühelos. Dieses muss zentral und unternehmensweit auf allen Systemen erwirkt werden.
2. Erweiterte Endpoint-Sicherheit einsetzen
EDR/XDR-Lösungen nutzen: Ein modernes EDR/XDR ist der obligatorische Basisschutz für jedes Unternehmen. Es hält erfolgreich einfache Angriffsformen fern. Ebenso wichtig wie die Installation ist die proaktive dauerhafte Betreuung und Überwachung dieses Systems. Dies erfordert tieferes Sicherheits-, Prozess- und Netzwerkverständnis.
Zero Trust Security umsetzen: Um Ihre Sicherheit grundlegend zu verbessern, kommen Unternehmen heute um einen Zero Trust Schutzschirm nicht mehr vorbei. Dieser verändert Ihre Sicherheitslage fundamental. Bisher galt: „Alle Programme haben die gleichen Rechte und Zugriffe und Möglichkeiten und zwar die des gerade angemeldeten Users“. Und genau das ist heute fatal, denn so kann sich unbemerkt Software oder ein Skript aktivieren, welches Zugriff auf alle Daten des Users erhält, sowie den Internetzugang des Users. Perfekt um Daten abzugreifen oder zu zerstören oder um eine Backdoor bzw. ReverseShell zu etablieren. Ein Virenschutz arbeitet nur auf Detektion, er versucht das Böse zu erkennen. Das ist heute nicht mehr ausreichend und schützt nur vor sehr einfachen Angriffsverfahren. Durch ein Ringfencing mit dem Zero Trust Schutz schützen Sie sich auch vor unbekannten Angriffsverfahren. Es minimiert das Risiko, indem es die Sichtbarkeit Ihrer Daten minimiert und nur noch den bekannten Programmen gestattet. Außerdem können die Programme keine neuen Programme/Prozesse mehr starten (Bsp. Microsoft Teams oder einen Browser). Alles Unbekannte wird pauschal blockiert. Die InfoStealer und Hacker nutzen heute viele Tools die fest in Windows integriert sind, die sogenanten LOLBAS Tools. Der Virenschutz und auch eine Whitelisting Lösung erlaubt diese, da Sie benötigt werden. Durch den Ringfencing Teil im Zero Trust Schirm, werden diese Tools so eingeschränkt, dass diese keinen Internetzugang mehr haben und auf Ihre Daten nicht mehr zugreifen können. Mit den LOLBAS Tools arbeiten die Angreifer unter dem Radar der EDR/XDR-Systeme. Durch den Zero Trust Schutzschirm beschränken Sie die Möglichkeiten dieser Tools. Außerdem können Sie die Sichtbarkeit Ihrer Netzwerkdienste durch Zero Trust NAC so steuern, dass nur Ihre Geräte diese noch nutzen und sehen können. Sie verschatten Ihre IT vor allem vor Fremden. Anwender sind heute massiv überfordert, Schädliches zu erkennen. Und moderne KI Verfahren werden dies weiter verschärfen.
3. Passwörter regelmäßig ändern und überwachen
Das zu häufige ändern von Passwörtern sorgt bei den Mitarbeitern für wenig Akzeptanz. Wir hatten bisher empfohlen, diese einmal pro Jahr zu ändern. Durch die neue Situation der InfoStealer heißt dies jedoch, dass Angreifer bis zu einem Jahr valide Anmeldedaten besitzen und diese handeln. Daher sollten Sie das Intervall heute deutlich kürzer einplanen.
Passwort-Manager nutzen: Ein sicheres Tool hilft, starke und einzigartige Passwörter zu erstellen.
Leaked Credentials prüfen: Dienste wie Have I Been Pwned informieren, wenn Passwörter kompromittiert wurden.
4. Mitarbeiterschulungen zu Phishing und Malware-Gefahren
Phishing-E-Mails und betrügerische Webseiten erkennen.
Keine Software von unbekannten Quellen herunterladen: Jede neue Software sollte durch einen Prüfprozess laufen. Mit welchen Internetressourcen spricht das Programm? Welche Dateien ändert das Programm bei der Installation und bei der Ausführung. Welche Änderungen an der Windows Registry werden vorgenommen? Auch diese Änderungen werden durch einen Zero Trust Schutzschirm vorab genau durchleuchtet und die Software bei Unbedenklichkeit freigeben. Wir erleben nahezu jeden Monat Software Rollouts, bei denen die Programme sehr seltsame Aktivitäten aufweisen und wir daraufhin den Hersteller darauf ansprechen. In keinem dieser Fälle wusste der Hersteller bereits davon, doch durch unser Eingreifen konnte ein Schaden im Vorhinein abgewendet werden. Hierzu zählen auch Kunden im Versorgerbereich.
Links und Absenderadressen sollten dementsprechend immer überprüft werden.
5. Netzwerkverkehr und Datenabfluss überwachen
DLP-Tools (Data Loss Prevention) einsetzen, um unbefugte Datenübertragungen zu erkennen.
Firewall-Regeln anpassen: Erstellen Sie ein DENY ALL und erlauben Sie nur das nötigste.
DNS-Filter: Steuern Sie alle DNS-Anfragen über einen DNS-Filter und detektieren Sie so schnell Anomalien.
Fazit: IT-Sicherheit muss sich anpassen – traditionelle Schutzmaßnahmen scheitern
Die größte Bedrohung ist heute nicht mehr der Hacker, der versucht, sich gewaltsam Zugang zu verschaffen – sondern der Cyberkriminelle, der sich einfach mit echten Zugangsinformationen einloggt.
Infostealer wie RedLine, Vidar, Stealc und Lumma zeigen, dass die herkömmliche Passwort-Sicherheit überholt ist. Unternehmen und Privatpersonen müssen sich darauf einstellen, dass gestohlene Zugangsinformationen jederzeit zum Verkauf stehen – und entsprechend handeln.
Das hat direkte Auswirkungen auf Ihre gesamte IT-Sicherheitsstrategie.
Das bedeutet:
Perimetersicherheit allein reicht nicht mehr aus – es braucht Zero Trust, kontinuierliche Überwachung und adaptive Authentifizierung.
Passwörter sind keine sichere Authentifizierungsmethode mehr – MFA und passwortlose Verfahren müssen zum Standard werden.
Unternehmen und Privatpersonen müssen sich bewusst machen, dass ihre Anmeldedaten jederzeit kompromittiert werden können.
Es sind von der IT Werkzeuge zu liefern, die es Usern einfach machen, erhöhte Sicherheit zu leben, so dass dies nicht zum Nervfaktor wird. Wenn dieser z.B. für jedes Produkt einen eigenen MFA-Prozess durchlaufen muss, ohne durch Software unterstützt zu werden, ist er schnell gereitzt.
ADVANCED ist ein IT-Systemhaus mit dem Schwerpunkt auf Cybersecurity. Seit über 25 Jahren beraten und betreuen wir mittelständische Kunden stets auf Augenhöhe, zielgerichtet und ganzheitlich. Dabei behalten wir Ihre Unternehmensziele immer im Blick.
Das fehlende Bewusstsein für die Risiken beim Einsatz von Fernwartungstools stellt eine erhebliche Gefahr für die Unternehmenssicherheit dar. Der Markt bietet zahlreiche solcher Tools, darunter neben dem Marktführer TeamViewer auch Ammyy Admin, AnyDesk, DameWare, Riverbird, SimpleHelp, Splashtop, Zoho und viele mehr. Doch durch die Verwendung solcher Tools können sich große Sicherheitslücken auftun. Im folgenden Blog wollen wir Sie darüber aufklären, was für Gefahren durch diese Tools lauern können.
Zugriff im Verborgenen
Die oben genannten Tools nutzen das Verfahren des sogenannten Hole Punching, das es ermöglicht, Firewalls zu umgehen und eine direkte Datenverbindung zwischen zwei Geräten aufzubauen. Dies geschieht oft unbemerkt von Firewalls, Administratoren, Sicherheitslösungen, Virenschutzsystemen, oder auch dem EDR/XDR-Schutz, wodurch sie für Angreifer sehr attraktiv werden.
Vertrauenswürdigkeit der Programme
Nutzer vertrauen diesen Tools oft blindlings und unterschätzen die damit verbundenen Risiken. Dies erleichtert es Angreifern, Benutzer zu täuschen und unter einem Vorwand Fernwartungszugriffe zu erwirken, sei es per E-Mail oder Telefon. Heutzutage ist es durch moderne Software leicht möglich, einen Anruf mit der Mobilnummer des Geschäftsführers zu tätigen und dabei die Stimme des Geschäftsführers einzunehmen. Deshalb ist hier eine hohe Awareness aller Mitarbeiter essentiell.
Einsatz durch IT-Dienstleister
Viele IT-Dienstleister setzen diese Tools intensiv ein, oft ohne das Wissen des Unternehmens. Diese Tools werden als Dienst installiert, um rund um die Uhr auf Server oder Maschinensteuerungen zuzugreifen. Häufig fehlen klare Regelungen zu Passwortsicherheit, -alter, -komplexität und zur Aktualisierung der verwendeten Software. Hier sind uns Fälle bekannt, in denen Angreifer sich als IT-Dienstleister ausgeben, um Zugang zu erlangen. Es reicht, dass der Angreifer weiß, welche Software Sie einsetzen oder mit welchen Dienstleistern Sie zusammenarbeiten. Im Darknet werden Millionen solcher Daten für wenig Geld gehandelt, im schlimmsten Fall können es komplette Zugangsdaten zu Systemen sein, auf jeden Fall aber wichtige Informationen über eingesetzte Hard- und Software sowie Tools.
Veraltete Softwareversionen
Einmal installiert, bleiben diese Tools oft über einen langen Zeitraum ohne Updates aktiv, wodurch Sicherheitslücken bestehen bleiben. Es gibt Fälle, in denen veraltete Windows-Versionen (Windows XP, Windows Server 2000) ohne Updates genutzt wurden, die TeamViewer-Hosts liefen ununterbrochen und waren ebenfalls jahrelang ohne Update aktiv, was ein großes Risiko darstellt.
Schatten-IT
Die Komplexität moderner IT-Infrastrukturen erfordert eine sorgfältige Absicherung und Kenntnis über exponierte Systeme. Jeder Fernwartungs-Host kann einen Einstiegspunkt darstellen, sei es auf Arbeitsplätzen, Produktionsanlagen oder Servern. Heutzutage kann man jeden Datenspeicher oder Management-Interface ebenfalls öffentlich erreichbar machen. Ungewollt öffentlich zugängliche Daten können hier erhebliche Risiken bergen. Das Bewusstsein und die Sensibilität vieler IT-Administratoren müssen daher gestärkt werden und umfassende Kontrolle über eingesetzte Fernwartungssoftware ist nötig. Auf Systemen, wo Fernwartungswerkzeuge nicht gewünscht sind, sollten sie pauschal blockiert werden. Ein Versuch, diese zu starten, sollte sofort eine Warnung an die IT auslösen, da dies auf unzureichendes Sicherheitsbewusstsein bei Mitarbeitern oder auf eine Sicherheitslücke in dem Betriebssystem, dem Webbrowser oder eines Programms, bei der sich eine Fernwartungssoftware unbemerkt zu aktivieren versucht, hindeutet.
Soliden Schutz etablieren
Die gute Nachricht: Ein solider Schutz lässt sich einfach und nachhaltig etablieren. Die IT-Sicherheit befindet sich in einem starken Wandel, und das Vertrauen in Systeme, die einst funktionierten, ist heute nicht mehr tragbar. Dies hat einen Paradigmenwechsel hin zu einem neuen Denken und Handeln hervorgerufen: Das Zero-Trust-Prinzip.
Dieses Prinzip bedeutet einfach erklärt: „Erlaube nur das explizit Bekannte und Gewollte und verbiete alles andere.“ Zero Trust ist ein Sicherheitsmodell, das Angriffe sowohl von extern als auch intern verhindern soll. Mit dem Einsatz unserer Lösung werden auf Ihren Systemen nur noch autorisierte Programme mit ihren legitimen Prozessen ausgeführt, alles andere wird automatisch blockiert. Wir sorgen dafür, dass nur die Prozesse auf die Daten zugreifen können, die sie wirklich benötigen. Mit dem intelligenten Zero Trust Schutzschirm erhalten Sie verlässliche IT-Security für Ihr Unternehmen, höchst effizient und dauerhaft.
Die Gefahrenlage, die von Ransomware, einer besonders perfiden Unterart von Schadcode (Malware) ausgeht, ist nach wie vor sehr hoch und gehört zu den größten Cybergefahren eines Unternehmens. Daher empfehlen wir jedem sich durch geeignete Maßnahmen vor diesem Angriff zu schützen und sich auf den möglichen Befall vorzubereiten. Bei einem Ransomware-Angriff werden geschäftskritische Dienste und Dateien durch Verschlüsselung unbrauchbar, und nach Zahlung eines Lösegeldes wieder zugänglich gemacht. Firmen stehen in der Situation oft unter Druck, da das Wiederanfahren der IT-Landschaft mit erheblichen Ressourcenaufwand (Zeit, Geld, Personal und evtl. Neubeschaffung von Hardware) verbunden ist. Neben dem Reputationsverlust und erheblichen Ausfällen, die mit so einem Vorfall einher gehen, stehen auch juristische Themen wie das Melden eines DSGVO-Verstoßes oder die Frage ob die Lösegeldforderung gezahlt werden soll, im Raum. Der Artikel zeigt auf, warum die klassischen Ansätze wie Anti-Viren-Systeme (sogenannte Endpoint-Security Lösungen) und deren moderneren Varianten mit EDR (Endpoint Detection and Response) sowie XDR (eXtended Detection and Response) heute nicht mehr ausreichend sind und was Sie als Unternehmen dagegen tun können.
Was ist Ransomware?
Bei Ransomware handelt es sich um bösartige Software (Malware), die Ihre wertvollsten Daten verschlüsselt und für dessen Freigabe anschließend Lösegeld verlangt. Opfer können Einzelpersonen und Verbraucher sowie Privatunternehmen oder öffentliche Einrichtungen und Organisationen aus dem Finanz- und Gesundheitssektor sein. Betroffene können oft nicht mehr auf wichtige persönliche Daten oder essentielle Geschäftsdokumente oder Unternehmensdienste zugreifen. Mit der Zeit sind Ransomware-Angriffe immer raffinierter und perfider geworden und auch die Methoden entwickeln sich stetig weiter.
Damit Sie sich gegen diese neuartigen Angriffe schützen können, bedarf es ebenfalls einer nach dem Stand der Technik angemessenen Verteidigungsstrategie. Wie Berichten von Sicherheitsforschern und Sicherheitsbehörden entnommen werden können, breiten sich Ransomware-Angriffe immer weiter aus. Sie gehören zu den Haupt-Bedrohungsszenarien für Regierungen, Organisationen (egal welcher Größe) und Einzelpersonen auf der ganzen Welt. Hinzu kommt, dass die Erkennung von Ransomware-Angriffen durch den Einsatz von dateilosem Schadcode und Skripten (LoLBins) deutlich komplexer geworden ist. Kriminelle nutzen Anonymisierungstechniken und organisieren sich im Darknet, um Opfer gezielt anzugreifen, Daten – also Informationen – über sie zu sammeln und untereinander auszutauschen.
Der beste Weg einen Ransomware-Angriff zu blocken, besteht darin, zu verhindern, dass der Schadcode überhaupt auf Ihre IT-Systemen gelangen und ausgeführt werden kann. Die aktuelle Situation einzuschätzen, hilft Ihnen die Notwendigkeit nach einem Zero-Trust-Ansatz zu verstehen.
Warum ist ein vielschichtiger Ansatz erforderlich, zu denen nach wie vor Mechanismen wie E-Mail-Schutz, MFA, EDR und XDR und einige weitere Härtungsmaßnahmen gehören? Diese Frage möchten wir gerne aufklären und Ihnen im weiteren Verlauf einige Gruppierungen und Backgroundinformationen zur Verfügung stellen, warum eine konsequente Umsetzung eines Zero-Trust-Ansatzes immer wichtiger wird.
Wichtigste Ransomware-Kartelle
Die Hürde, um Zugang zu Angriffstechnologien und dem nötigen Know-How zu erlangen, ist durch as-a-Service-Lösungen (kurz „aaS“) in Untergrundforen sehr gering geworden. Kosten und Zeitaufwand bewegen sich in einem – selbst für Privatpersonen – realisierbaren Rahmen. Die folgenden fünf Beispiele der erfolgreichsten Gruppierungen, die für die weltweite Durchführung von Ransomware-Angriffen verantwortlich sind, geben einen Einblick über die wichtigsten Ransomware-Ableger:
LockBit
Im Jahr 2022 war es eine der am häufigsten eingesetzten Ransomware-Varianten weltweit, und wurde in der Öffentlichkeit vor allem durch den Angriff auf das französische CHSF-Krankenhaus bekannt. Die LockBit-Gruppe bietet einen “Ransomware as a Service” (RaaS), so dass Angreifer ohne eigene Ressourcen Angriffe mit den LockBit-Malware-Tools durchführen können. Lockbit betreibt die Server-Infrastruktur, entwickelt Exploits und übernimmt die Kommunikation mit dem Opfer, so dass Kriminelle von den Vorgehensweisen der Partner profitieren und die bei den Angriffen verwendeten spezifischen Taktiken, Techniken und Prozessen (TTPs) stark variieren. Stets um im Verborgenen und unerkannt zu agieren.
ALPHV (BlackCat)
Die ALPHV-Ransomware-Gruppe, auch BlackCat genannt, ist ein Akteur, dessen Aktivitäten seit November 2021 beobachtet werden. Sie haben sich auf Sektoren wie dem Gesundheitswesen, der Finanzbranche, den Fertigungsunternehmen und Regierungsorganisationen spezialisiert. Sie verwendet fortschrittliche Verschlüsselungsalgorithmen, um Dateien zu verschlüsseln, und fordern Lösegeld für deren Freigabe. Zu ihren Taktiken gehören Phishing-Kampagnen, Exploit-Kits und die Ausnutzung anfälliger Remote-Desktop-Dienste, um sich unbefugten Zugang zu Systemen zu verschaffen.
CLOP
Die CL0P-Gruppe ist seit etwa Februar 2019 aktiv. Sie ist bekannt für ihre ausgefeilten Techniken, darunter eine doppelte Erpressungsstrategie. Sie zielt auf Organisationen in Bereichen wie Gesundheitswesen, Bildung, Finanzen und Einzelhandel ab. Zusätzlich zur Verschlüsselung von Dateien, veröffentlichen sie besonders sensible Daten, um den Druck auf die Opfer zu erhöhen. Ihre Verbreitungsmethoden umfassen häufig Phishing-E-Mails und gezielte Angriffe auf einzelne Ziele.
PYSA (Mespinoza)
Die PYSA-Gruppe, auch bekannt als Mespinoza, ist seit Anfang 2020 aktiv. Sie zielt ebenso auf Sektoren wie Gesundheitswesen, Bildung, Regierung und Fertigung ab, verwendet starke Verschlüsselungsmethoden, und lässt oft sensible Daten vor der Verschlüsselung durchsickern. Diese doppelte Erpressungsmethode erhöht die Notwendigkeit der Lösegeldzahlung. Die Gruppe nutzt häufig Taktiken wie Phishing-Kampagnen und die Ausnutzung von Schwachstellen, um sich unbefugten Zugang zu verschaffen und ihre Angriffe auszuführen.
BianLian
Die BianLian-Gruppe, die der Bedrohungsgruppe WIZARD SPIDER zugerechnet wird, ist seit Juni 2022 aktiv. Sie zielt auf Organisationen in Bereichen wie Gesundheitswesen, Energie, Finanzen und Technologie ab. Sie setzt verschiedene Taktiken ein, darunter Phishing-Kampagnen und die Ausnutzung von Schwachstellen, um sich unbefugten Zugang zu verschaffen, um ihre Opfer zu infiltrieren. Die Angriffe führen zu erheblichen finanziellen Verlusten und Produktions-Unterbrechungen bei den betroffenen Unternehmen.
Ablauf eines Angriffs – Angriffsphasen – die Cyber-Kill-Chain
Ein Cyber-Angriff wird klassischerweise in sieben Phasen unterteilt. Diese Phasen muss ein Angreifer für einen erfolgreichen Angriff vollständig durchlaufen. Im Kontext von Ransomware kommt noch eine achte Phase hinzu. Diese Phasen reichen vom Sammeln von Informationen bis zur erfolgreichen Kompromittierung (Übernahme) der IT-Systeme ihrer Opfer und der Ausführung ihres Angriffs bis zur Monetarisierung der in Geiselhaft genommenen Daten und der Wiederherstellung der befallenen Systeme. Um einen Angriff zu verhindern, müssen Sie lediglich die Kette an einer beliebigen Stelle unterbrechen. Ihr Vorteil: Es gibt für jede Phase spezifische Maßnahmen, um einen Angriff abzuwehren. Die Angriffsphasen werden wie folgt unterschieden:
1. Identifizierung des Ziels | Reconnaissance
Der Angreifer sammelt Informationen über das Zielsystem oder -unternehmen. Mögliche Quellen und Schwachstellen sind ungepatchte IT-Systeme, Social-Media, Phishing-Kampagnen, Mitarbeiterbefragungen, öffentlich verfügbare Daten oder Informationen aus dem Dark Web. Diese Phase dient den Akteuren dazu, lohnenswerte Ziele zu identifizieren, die Infrastruktur und die Schwachstellen ihres Ziels zu verstehen, so dass geeignete Methoden und Taktiken für ihre Angriffe vorbereitet werden können.
2. Vorbereitung des Angriffs | Weaponization
In der zweiten Phase werden die Waffen für den Angriff vorbereitet. Dies kann auf unterschiedliche Weise geschehen, wie z. B. durch das Ausnutzen einer Schwachstelle, die Verwendung gestohlener Zugangs- und Anmeldedaten oder sogar durch einen erfolgreichen Phishing-Angriff auf Mitarbeiter. Ziel ist es, sich Zugang durch die Einrichtung einer Backdoor zu verschaffen, damit auch nach dem Schließen der Lücke weiterhin auf die befallenen Systeme zugegriffen werden kann.
3. Erste Schritte zur Durchführung des Angriffs | Delivery
Zur erfolgreichen Übernahme eines ersten Systems müssen mehrere Schritte ineinandergreifen. Bis Phase 5 geht es darum Persistenz und damit Kontrolle über eines Ihrer IT-Systeme zu erlangen. Dazu wird Schadcode aus dem Internet nachgeladen, z.B. wird durch Remote-Code Ausführung ein Root-Kit.
4. Systematisches Aufspüren von Sicherheitslücken | Exploitation
Der nächste Schritt besteht darin, eine Schwachstelle auszunutzen, um erhöhte Rechte zu erlangen, um das heruntergeladene Root-Kit zu installieren.
5. Implementation
In der Installationsphase wird die Softwarekomponente installiert, über die die Angreifer aus der Ferne auf ihre Systeme zugreifen. Gelingt dieser Schritt wurde der Schritt der Persistenz erreicht und der Angreifer kann ebenso Ihr IT-System kontrollieren. Nun können die Angreifer das Netzwerk und die Geräte, die mit dem Einstiegspunkt verbunden sind, auf weitere Schwachstellen scannen. Dazu gehört das Erlangen von Domänen-Anmeldeinformationen (genauer Domänen-Administrator-Rechte), die sie verwenden können, um Zugang zu weiteren Systemen und Ressourcen zu erhalten. Anschließend können die Angreifer tiefer im Netzwerk eines Unternehmens Fuß fassen, ihre Präsenz vertiefen und ihre Kontroll- und Zugriffsmöglichkeiten erweitern. Durch diesen Prozess erhalten Ransomware-Gruppen Zugang zu den Daten, die sie letztlich stehlen und unbrauchbar machen wollen. Bei den Daten kann es sich um personenspezifische Daten, vertrauliche Informationen, geistiges Eigentum, Finanzdaten oder persönliche Aufzeichnungen handeln. Entscheidend ist, dass der Angreifer einen möglichst großen Schaden erzielt und das Unternehmen zur Bereitschaft zur Zahlung des Lösegeldes motiviert wird. Die gesammelten Daten werden in der Regel über geschützte Kanäle an externe Server weitergeleitet. Auf diese Weise können Kopien der Daten gegen Lösegeld gelöscht und/oder für den Verkauf gespeichert werden.
6. Fernsteuerung des Zielsystems | Command & Control (kurz C2 oder C&C)
Die Steuerung der Systeme wird über sogenannte Command & Control-Server erreicht, um die eigene Quell-IP-Adresse zu verschleiern und entweder automatisiert oder manuell Befehle an die Systeme der Opfer, auch „Bots“ genannt, zu übertragen. In dieser Phase nutzen die Angreifer den Zugriff, um z.B. Schutzmechanismen zu überwinden und unbrauchbar zu machen, Daten aus dem Unternehmen auszuleiten und den eigentlichen Verschlüsselungsprozess vorzubereiten. Sie deaktivieren oder manipulieren Backup-Systeme, Intrusion-Detection-Systeme, Firewalls oder andere Sicherheitsmaßnahmen, die ihre Aktivitäten behindern oder detektierbar machen. Das Ziel ist den Schaden zu maximieren und so die Zahlungswahrscheinlichkeit zu erhöhen.
7. Zielerreichung | Actions on Objectives
In dieser Phase findet der eigentliche Ransomware-Angriff statt. In diesem Schritt erfolgt die Auslieferung der Ransomware und dessen Ausführung um Ihre Daten durch Verschlüsselung zu blockieren, firmenkritische Dienste und Prozesse zu stoppen und durch das Löschen von Logs Spuren zu verwischen. Abschließend platzieren die Angreifer eine Lösegeldforderung, um Kapital aus dem erfolgreichen Angriff zu schlagen.
8. Monetarisierung
Im Kontext mit Ransomware wird noch eine achte Phase betrachtet: die Monetarisierung. In dieser Phase versucht der Cyberkriminelle seinen erfolgreichen Angriff zu monetarisieren, indem er primär vom Opfer Lösegeld erpresst. Dafür bietet er bei Zahlung mit Glück seine Unterstützung bei der Entschlüsselung der Daten für einen begrenzten Zeitraum an. Falls Sie nicht auf seine Forderung eingehen sollten, droht er durch Veröffentlichung abgegriffener Daten einen hohen Reputationsschaden zu erwirken und durch den Verkauf der sensiblen Informationen im Dark Web noch eine Teilkompensation zu erreichen. Möglicherweise wird er Sie gezielt nach etwas Zeit erneut attackieren. Nach einer Lösegeldzahlung ist nicht sicher, ob eine vollständige Entschlüsselung der zerstörten Daten erfolgen wird, in jedem Fall werden Sie sich mit der Wiederinbetriebnahme Ihrer IT-Systeme beschäftigen und auf einen funktionierenden Datenbestand zurückgreifen müssen. Beides ist mit einem gewissen Risiko verbunden und geht mit der Möglichkeit einher Systeme nicht retten zu können.
Fazit
Durch das professionelle Agieren von Untergrundorganisationen und dem einfachen Zugang zu Ransomware besteht in der heutigen Cyberwelt ebenso die Notwendigkeit Schutzvorkehrungen gegen Cyber-Gefahren zu treffen, wie in der realen Welt auch.
Daher haben wir ein Sicherheitskonzept erarbeitet, das über die Technologien wie MFA, EDR, XDR bei weitem hinaus geht und den Zero-Trust Gedanken konsequent umsetzt.
Wir unterbinden effektiv das Starten eines Prozesses, welcher Schadcode herunterladen könnte, noch bevor es zum Verbindungsaufbau kommt. So erlauben wir Ihrer Software nur noch genau das zu tun, wofür diese auch vorgesehen ist, wir Verbieten also, was nicht explizit erlaubt ist. Dieser Ansatz nennt sich „deny by default“.
Viele Angriffe beginnen heute mit der Ausführung von schadcodefreier Software. Versucht eine Ihrer Anwendungen wie z.B. Microsoft Office, Teams, Ihr Webbrowser oder Ihr ERP- bzw. CRM-System ein Skript oder auf ungewöhnliche Ressourcen zuzugreifen, können wir diesen Vorgang blockieren.
Im Unterschied zu den üblichen Antiviren-Systemen, die nur anhand von Pattern Schadcode erkennen können, ermöglicht unser Zero-Trust Ansatz bereits das Blockieren von zweifelhaften Vorgängen, damit der Schadcode nicht auf Ihr System gelangen kann.
Die Kombination aus diesen Technologien stärkt die Resilienz Ihrer IT-Landschaft und schützt Sie vor Ausfällen. Erhöhen Sie die Sichtbarkeit von Anomalien, indem Sie auf Echtzeit-Verhaltensanalysen, Prozesslogs und Gefährdungsdaten setzen. Nutzen Sie diese Technologien über mehrere Endpunkte können Sie die Daten besser miteinander korrelieren und ausgeklügelte Angriffsmuster unterbinden.
Wir stellen Ihnen gerne unseren Zero-Trust-Ansatz vor und unterstützen Sie beim Etablieren dieser und weiterer Härtungsmaßnahmen. Seien Sie den Angreifern stets einen Schritt voraus!
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
