Ransomware-Angriffe – von Wannacry bis Darkside

Betrachten Sie Ransomware-Angriffe als eine Art virtuelle Entführung. Ransomware-Akteure verwenden Verschlüsselungstechniken, um die Funktionen und Dateien Ihrer Geräte als Geiseln zu nehmen oder Sie von Ihrem System auszusperren. Im Anschluss verlangen sie ein Lösegeld für die Freigabe der Funktionen und Daten. Wie Geiselnehmer sind diese Akteure meist durch finanziellen Gewinn motiviert.

Die Zahlung eines Lösegelds ist jedoch keine Garantie dafür, dass Sie einige oder alle Ihre Dateien zurückerhalten. Eine Untersuchung von Kaspersky zeigt, dass nur ein Viertel der Personen, die Lösegeld zahlen, ihre Daten vollständig zurückerhalten. Daher ist bei Ransomware-Angriffen Vorsicht das A und O der Sicherheit.

Um diese Angriffe zu verhindern, müssen Sie wissen, wie Sie Bedrohungen erkennen können. Dieser Beitrag informiert Sie über die Funktionsweise gängiger Ransomware-Angriffe, damit Sie sie beseitigen können, bevor sie Ihr gesamtes System stören.

Was sind Ransomware-Angriffe?

Bei Ransomware-Angriffen handelt es sich um bösartige Software (Malware), die den Zugriff auf Ihr Computersystem blockiert oder Ihre Daten verschlüsselt, bis ein Lösegeld gezahlt wird. Wenn das Lösegeld gezahlt wird, erhalten Sie einen Entschlüsselungsschlüssel, mit dem Sie Ihre Dateien wiederherstellen können, oder der Angreifer schaltet Ihre Dateien für Sie frei. Wird das Lösegeld hingegen nicht gezahlt, veröffentlicht der böswillige Akteur Ihre Daten online im Dark Web oder sperrt den Zugriff auf Ihre Dateien für immer.

Ransomware-Angriffe stehen häufig in Zusammenhang mit Sicherheitslücken bei Zugangsdaten und mangelnder Passworthygiene. Sie werden auch über Phishing-E-Mails und Software-Schwachstellen verbreitet. In der Vergangenheit kündigten die Angreifer die Datenexfiltration in der Regel sofort an, um Druck auf Zahlungen auszuüben. Doch mit dem Wandel der Zeit ändern sich auch die Taktiken der Ransomware-Akteure. In letzter Zeit haben die Angreifer damit begonnen, öffentliche Ankündigungen hinauszuzögern, um die Unternehmen zur Zahlung zu bewegen und eine öffentliche Blamage zu vermeiden.

Laut dem State of Ransomware 2022 Report von Sophos wurden 66 % der befragten Unternehmen im Jahr 2021 mit Ransomware angegriffen, was einem Anstieg von 29 % im Vergleich zu 2020 entspricht. 90 % dieser Unternehmen gaben an, dass der Angriff ihre Betriebsfähigkeit am stärksten beeinträchtigt hat, und bei den Unternehmen des privaten Sektors gaben 86 % an, dass er zu Umsatzeinbußen geführt hat.

Arten von Ransomware-Angriffen

Locker Ransomware 

Bei dieser Art von Angriff verwendet ein Hacker oder eine Ransomware-Bande Malware, die den Zugriff auf einige oder alle Computerdateien oder -funktionen blockiert. Sie verwenden Social-Engineering-Techniken wie Phishing oder kompromittierte Active-Directory-Anmeldedaten, um in Systeme einzudringen. Sobald sie in das System eingedrungen sind, blockieren sie den Zugriff der Benutzer auf ihr System, bis das Lösegeld gezahlt wird.

Manche Locker-Ransomware verweigert den vollständigen Zugriff auf Dateien, während Maus und Tastatur nur teilweise deaktiviert sind. Locker infiltriert jedoch nicht das gesamte Computernetzwerk oder greift die Dateien auf dem Computer an, sondern sperrt Sie im Allgemeinen nur aus. Eine vollständige Zerstörung Ihrer Daten ist daher unwahrscheinlich. Das macht es einfacher, Locker-Ransomware zu finden und zu entfernen, ohne das Lösegeld zu bezahlen.

Der Angreifer kann die Zahlung eines beliebigen Betrags über Perfect Money, eine virtuelle QIWI-Visa-Kartennummer zum Entsperren von Dateien, Kryptowährungen oder eine beliebige nicht zurück verfolgbare Geldtransferplattform verlangen. Obwohl die Locker-Ransomware einfach ist, kann sie einen verheerenden Schaden auf einem Computer anrichten. Sie ist mit einem fortschrittlichen Verschlüsselungssystem namens AES (Advanced Encryption Standard) verschlüsselt, und wenn Sie den Code nicht kennen, ist es fast unmöglich, ihn zu knacken. Wenn Sie jedoch eine Sicherungskopie Ihrer Dateien erstellt haben, können Sie sie leicht wiederherstellen, ohne das Lösegeld zu bezahlen.

Crypto ransomware

Crypto-Ransomware oder Verschlüsselungsprogramme sind eine der bekanntesten und schädlichsten Ransomware-Varianten. Im Gegensatz zu Locker-Ransomware verschlüsselt Crypto-Ransomware wichtige Daten wie Dokumente, Bilder und Videos, beeinträchtigt aber nicht die grundlegenden Computerfunktionen. Die Benutzer können ihre Dateien sehen, aber nicht darauf zugreifen. Krypto-Hacker fügen ihrer Lösegeldforderung oft einen Countdown hinzu: „Wenn Sie das Lösegeld nicht bis zum Ablauf der Frist x zahlen, werden alle Ihre Dateien gelöscht.“ Da viele Nutzer nicht wissen, dass sie Backups in der Cloud oder auf externen physischen Speichermedien anlegen sollten, kann Krypto-Ransomware verheerende Auswirkungen haben.

Crypto-Ransomware nimmt die Dateien im Wesentlichen als Geiseln und fordert ein Lösegeld im Austausch für den Entschlüsselungsschlüssel, der zur Wiederherstellung der Dateien benötigt wird. Wie Locker-Ransomware nutzen Crypto-Hacker kompromittierte Anmeldedaten, Systemschwachstellen, Passwörter und Phishing, um Systeme zu infiltrieren.

Ransomware als Dienstleistung (RaaS)

Ransomware as a Service (RaaS) ermöglicht es Hackern, bereits entwickelte Ransomware-Tools zur Ausführung von Ransomware-Angriffen zu nutzen. Die Partner verdienen einen Prozentsatz an jeder erfolgreichen Lösegeldzahlung. Die Gebühren hängen von der Komplexität und den Funktionen der Ransomware ab, und in der Regel ist eine Eintrittsgebühr zu entrichten, um Mitglied zu werden. Sobald die Mitglieder Computer infizieren und Lösegeldzahlungen kassieren, wird ein Teil des Lösegelds zu vorher vereinbarten Bedingungen an den RaaS-Ersteller gezahlt.

RaaS fördert eine Gig-Economy, die es schwieriger macht, die bei einem bestimmten Angriff verwendeten Techniken mit den Entwicklern der Ransomware-Nutzlast in Verbindung zu bringen.

Das RaaS-Programm kann auch eine Leak-Site umfassen, auf der Ausschnitte der von den Opfern exfiltrierten Daten veröffentlicht werden, so dass die Angreifer zeigen können, dass die Exfiltration echt ist, und versuchen, eine Zahlung zu erpressen. Außerdem mieten die Täter den Zugang zu einem Ransomware-Typ (z. B. Locker oder Crypto-Ransomware) vom Ransomware-Autor, der ihn als kostenpflichtigen Dienst anbietet. RaaS-Autoren hosten ihre Ransomware auf Dark-Net-Sites und ermöglichen es Kriminellen, sie als Abonnement zu erwerben – ähnlich wie bei einem SaaS-Modell.

Beispiele für Ransomware-Angriffe

Wannacry Ransomware

WannaCry Ransomware ist ein Krypto-Ransomware-Wurm, der Windows-Betriebssysteme angreift. WannaCry, auch bekannt als WannaCrypt, WannaCryptor und Wanna Decryptor, verbreitet sich über EternalBlue, ein Exploit, das von der National Security Agency (NSA) entdeckt wurde. Es handelt sich um eine Form von Malware, die sich über Netzwerke von PC zu PC verbreiten kann (daher die „Wurm“-Komponente) und dann, sobald sie sich auf einem Computer befindet, wichtige Dateien verschlüsseln kann (der „Krypto“-Teil). Die Täter verlangen dann Lösegeldzahlungen, um diese Dateien freizugeben. Der Name wurde von Code-Strings abgeleitet, die in einigen der ersten Virenproben entdeckt wurden.

WannaCry ist eines der ersten Beispiele für einen weltweiten Ransomware-Angriff. Er begann mit einem Cyberangriff am 12. Mai 2017, der Hunderttausende von Computern in bis zu 150 Ländern betraf, darunter Systeme der nationalen Gesundheitsdienste von England und Schottland, FedEx, der Universität von Montreal und Honda. Unter Ausnutzung der verwundbaren Version des Server Message Block (SMB)-Protokolls infizierte er schließlich mehr als 200.000 Rechner in mehr als 150 Ländern.

Anders als bei Phishing-Angriffen müssen Computernutzer nicht auf einen Link klicken oder eine infizierte Datei öffnen. WannaCry sucht einfach nach anderen anfälligen Systemen, in die er eindringen kann (z. B. schwache Passwörter oder in einigen Versionen gestohlene Anmeldedaten), kopiert dann das Programm und führt es aus, wieder und wieder und wieder. Die einzige Möglichkeit für einen infizierten Benutzer, auf die mit WannaCry verschlüsselten Dateien zuzugreifen, besteht darin, eine externe Sicherungskopie dieser Dateien zu haben. Es wurde berichtet, dass, obwohl einige Unternehmen das Bitcoin-Lösegeld bezahlt haben, keine der verschlüsselten Dateien zurückgegeben wurde.

Baltimore Ransomware-Angriff

Während des Ransomware-Angriffs in Baltimore am 7. Mai 2019 wurden die Server der amerikanischen Stadt Baltimore, Maryland, durch eine Ransomware-Variante namens Robinhood weitgehend kompromittiert. Baltimore war nach Greenville, North Carolina, die zweite US-Stadt, die dieser neuen Ransomware-Variante zum Opfer fiel, und die zweite US-amerikanische Großstadt mit mehr als 500.000 Einwohnern, die zwei Jahre nach dem Angriff auf Atlanta im Vorjahr von Ransomware gehackt wurde.

Die Stadt Baltimore gab aufgrund dieses Ransomware-Angriffs im Jahr 2019 rund 10 Millionen US-Dollar für Wiederherstellungsmaßnahmen aus, nicht eingerechnet die Einnahmeverluste in Höhe von 8,2 Millionen US-Dollar bei Steuern, Gebühren und Geldbußen.

SamSam

Bei SamSam-Ransomware handelt es sich um eine benutzerdefinierte Infektion, die bei gezielten Angriffen eingesetzt wird, wobei häufig eine Vielzahl von Exploits oder Brute-Force-Taktiken zum Einsatz kommen. Die SamSam-Ransomware griff die 300 Dienste des Staates Colorado, alle Datenbanken, Anwendungen und 1300 Computer an. Am frühen Morgen des 21. Februar 2018 wurde das Colorado Department of Transportation (CDOT) Opfer eines SamSam-Ransomware-Angriffs. Die Mitarbeiter des CDOT entdeckten den Vorfall, als sie sich zu Beginn der Geschäftszeiten in das Netzwerk einloggen wollten.

Die erste bekannte Version der SamSam-Ransomware tauchte Ende 2015 auf. Der auch als Samas oder SamsamCrypt bekannte Typ zielt auf Organisationen in verschiedenen Branchen ab, darunter kritische Infrastruktureinrichtungen aus dem Gesundheits- und öffentlichen Gesundheitswesen, dem Transportwesen und dem Bildungssektor. SamSam nutzt entweder Schwachstellen in Remote-Desktop-Protokollen (RDP), Java-basierten Webservern oder FTP-Servern (File Transfer Protocol), um sich Zugang zum Netzwerk des Opfers zu verschaffen oder schwache Passwörter zu erzwingen, um einen ersten Fuß in die Tür zu bekommen.

SamSam ist auf gezielt auf Ransomware-Angriffe spezialisiert, die in Netzwerke eindringen und mehrere Computer in einem Unternehmen verschlüsseln, bevor sie eine hohe Lösegeldforderung stellen. Es wird vermutet, dass die Gruppe hinter dem Angriff auf die Stadt Atlanta im März steckt, bei dem zahlreiche städtische Computer verschlüsselt wurden.

Laut einer Warnung der Cybersecurity & Infrastructure Security Agency (CISA) vom 3. Dezember 2018 nutzt die SamSam-Ransomware-Bande Schwachstellen in den Windows-Servern einer Organisation aus. Auf diese Weise verschaffen sich die böswilligen Akteure unrechtmäßig Zugang zum Unternehmensnetzwerk und infizieren alle zugänglichen Hosts. Die Geräte im System der Abteilung zeigten alle die inzwischen berühmt-berüchtigte Lösegeldforderung an.

Sobald der Verschlüsselungsprozess abgeschlossen ist, hinterlassen die böswilligen Akteure auf den infizierten Geräten eine Lösegeldforderung mit Anweisungen, wie sie auf einer versteckten Tor-Service-Seite kontaktiert werden können.

Darkside Ransomware

DarkSide ist eine Ransomware-Bande, die als Ransomware-as-a-Service (RaaS) operiert und ihre Dienste an befreundete Malware-Banden im Dark Web verkauft. DarkSide-Ransomware ist ein relativ neuer Ransomware-Stamm, mit dem Bedrohungsakteure mehrere große, umsatzstarke Unternehmen angreifen, was zur Verschlüsselung und zum Diebstahl sensibler Daten führt und mit der Veröffentlichung dieser Daten droht, wenn die Lösegeldforderung nicht bezahlt wird. DarkSide-Ransomware, die erstmals im August 2020 auftauchte und im März 2021 als v2.0 aktualisiert wurde, wird mit der DarkSide-Gruppe in Verbindung gebracht und wird nun häufig als Ransomware-as-a-Service (RaaS) angeboten.

DarkSide-Ransomware führt Brute-Force-Angriffe durch und nutzt bekannte Schwachstellen im Remote-Desktop-Protokoll (RDP) aus, um einen ersten Zugang zu erhalten. Nach dem ersten Zugriff führt DarkSide Ransomware eine Validierung der zu infizierenden Computer durch. DarkSide ransomware sammelt bei der ersten Code-Ausführung Informationen über Computernamen und Systemsprachen. DarkSide wird in englischsprachigen Ländern eingesetzt. Sie identifiziert Datensicherungsanwendungen, exfiltriert Daten und verschlüsselt dann lokale Dateien als Teil der Ransomware-Installation.

Ein Ereignis, bei dem Hacker Darkside Ransomware eingesetzt haben:

• Anfang Mai 2021 war die Colonial Pipeline, eine der größten Pipelines in den Vereinigten Staaten, gezwungen, den Betrieb aufgrund eines groß angelegten Ransomware-Angriffs auf ihre digitale Infrastruktur einzustellen. Die 5.500 Meilen lange Pipeline transportiert über 45 Prozent des gesamten Kraftstoffverbrauchs an der Ostküste der USA. Infolgedessen war der Betrieb der Colonial Pipeline für mehrere Tage unterbrochen, während sich das Unternehmen darauf konzentrierte, die Pipeline wieder in Betrieb zu nehmen. Infolge der Abschaltung kam es im Osten der Vereinigten Staaten zu Treibstoffengpässen und einem Anstieg der Treibstoffpreise.

Es handelte sich um einen Ransomware-Angriff, der mit der DarkSide-Gruppe in Verbindung gebracht wurde und die Netzwerke von Colonial Pipeline betraf. Zum Zeitpunkt des Angriffs erreichten die Benzin-Futures aus Sorge um Versorgungsengpässe den höchsten Stand seit drei Jahren.

Fünf Tage nach Bekanntwerden des Hackerangriffs lag der landesweite Durchschnittspreis für eine Gallone Normalbenzin zum ersten Mal seit 2014 über 3 US-Dollar (obwohl die Benzinpreise bereits vor der Abschaltung der Pipeline im Aufwind waren), wobei die Sprünge in einigen Bundesstaaten, die von der Pipeline versorgt werden, wie Georgia, North und South Carolina sowie Virginia, noch größer waren.

Die US-Regierung hat nach Angaben des US-Justizministeriums einen Großteil des Lösegelds in Millionenhöhe zurückerhalten, das an die Hacker, die hinter dem Cyberangriff auf die Colonial Pipeline standen, gezahlt wurde.

Ransomware-Zahlung: Colonial Pipeline zahlte am 7. Mai 2021 fast 5 Millionen Dollar an osteuropäische Hacker und widersprach damit Berichten, wonach das Unternehmen nicht die Absicht hatte, eine Erpressungsgebühr für die Wiederherstellung der größten Kraftstoffpipeline des Landes zu zahlen.

Ryuk Ransomware

Ryuk Ransomware wurde erstmals im August 2018 bemerkt, als sie begann, große Organisationen für hohe Lösegeldbeträge anzugreifen. Während andere Ransomware-Angriffe ein weites Netz auswerfen und auf eine große Anzahl verschiedener Personen und Organisationen abzielen, in der Hoffnung, dass der Angriff in einer oder zwei Organisationen erfolgreich ist, sind Ryuk-Ransomware-Einsätze auf das Netzwerk zugeschnitten, das die Angreifer kompromittieren wollen. Ryuk ist in der Lage, Netzlaufwerke und Ressourcen zu identifizieren und zu verschlüsseln sowie Schattenkopien auf dem Endpunkt zu löschen. Dies bedeutet, dass die Angreifer die Windows-Systemwiederherstellung für Benutzer deaktivieren können, so dass es unmöglich ist, sich ohne externe Backups oder Rollback-Technologie von einem Angriff zu erholen.

Ryuk ist eine ausgeklügelte Ransomware-Bedrohung, die seit 2018 Unternehmen, Krankenhäuser, Regierungseinrichtungen und andere Organisationen ins Visier nimmt. Die Ryuk-Angreifer verlangen von ihren Opfern höhere Lösegeldzahlungen als viele andere Ransomware-Banden. Die Lösegeldbeträge im Zusammenhang mit Ryuk liegen in der Regel zwischen 15 und 50 Bitcoins, also etwa zwischen 100.000 und 500.000 US-Dollar, obwohl Berichten zufolge auch höhere Beträge gezahlt wurden. Da die Angreifer es auf Unternehmen mit kritischen Werten abgesehen haben, die eher bereit sind, zu zahlen – eine Technik, die in der Sicherheitsbranche als „Großwildjagd“ bezeichnet wird -, ist die Ryuk-Bande sehr erfolgreich bei der Monetarisierung ihrer Kampagnen.

Microsoft bezeichnet Ryuk als menschengesteuerten Ransomware-Angriff, der Teil eines größeren Trends ist, bei dem Ransomware-Banden sehr gezielte und verdeckte Techniken einsetzen, die in der Vergangenheit hauptsächlich mit APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht wurden. Da die Angreifer von Menschenhand gesteuert werden, führen sie mehrstufige Angriffe auf Unternehmensnetzwerke durch. Sie beginnen mit der sorgfältigen Auswahl der Ziele, anstatt einen automatisierten „Spray and Pray“-Ansatz zu verfolgen, und erfordern sowohl umfassende als auch spezifische Kenntnisse der Zielinfrastruktur, um erfolgreich zu sein. Ryuk beginnt in der Regel mit Phishing-E-Mails und verschlüsselt dann, sobald er in ein System eingedrungen ist, dessen Dateien.

Wie Sie durch Ransomware-Angriffe verursachte Schäden vermeiden

Wie können Sie Ihre Unternehmensdaten vor den Klauen digitaler Entführer schützen? Hier sind 4 Möglichkeiten, um Ransomware-Angriffe zu verhindern.

Backups:

Backups sind der beste Weg, um Ihre Daten vor Ransomware zu schützen. Backups sind nur wirksam, wenn sie cyber-resistent sind. Cyber-resistente Backups sind verschlüsselt und unveränderbar und stellen Daten präzise wieder her.

Wenn Sie Backups erstellen:

• Beziehen Sie das Datum, die System- und Anwendungsdateien, die Datenbank, die virtuellen Maschinen und alle Daten auf SaaS-Plattformen mit ein.
• Testen Sie Backups und Wiederherstellungsprozesse regelmäßig, um sicherzustellen, dass sie gut funktionieren. Führen Sie mindestens einmal im Monat Test-Backups durch.
• Befolgen Sie das 3-2-1-1-Prinzip. Es empfiehlt die Speicherung von vier separaten Kopien Ihrer Daten: zwei lokal gespeicherte Kopien in unterschiedlichen Formaten, eine offline gespeicherte Kopie und eine Kopie in einem unveränderlichen Format. Unveränderliche Daten können nicht verändert werden, da es keinen Schlüssel gibt, mit dem sie „entsperrt“ werden können, wie bei verschlüsselten Daten. IDC empfiehlt aktuell, dass Sie eine Kopie Ihrer Daten auf unveränderlichem Speicher oder in der Cloud speichern.

Zero-Trust Model

Das Zero-Trust Model bedeutet, dass jeder Benutzer, jedes Gerät und jede Anfrage in Ihrem Netzwerk so behandelt wird, als stamme sie von einer nicht vertrauenswürdigen externen Quelle. Es beruht auf dem Grundsatz „Niemals vertrauen, immer überprüfen“. Das Modell verwendet starke Authentifizierungsmethoden, nutzt die Netzwerksegmentierung, verhindert laterale Bewegungen, bietet Layer 7-Bedrohungsschutz und vereinfacht granulare „Least Access“-Richtlinien, um moderne Umgebungen zu schützen und die digitale Transformation zu ermöglichen.

Bei richtigem Einsatz führt eine Zero-Trust-Architektur zu einem höheren Gesamtsicherheitsniveau, kann aber auch die Sicherheitskomplexität und den betrieblichen Overhead reduzieren.

Die Idee des Zero-Trust-Prinzips für Ihre Cybersicherheit bedeutet, dass es keinen Raum für menschliche Fehler gibt. Es handelt sich um einen Abwehrmechanismus, der implizites Vertrauen beseitigen und stattdessen in jeder Phase der digitalen Interaktion validieren soll. Zero Trust sorgt für einen sicheren Zugang zu den Unternehmensressourcen, begrenzt die Angriffsfläche und verringert die Wahrscheinlichkeit von Ransomware-Angriffen.

Regelmäßige Schwachstellen-Scans

Laut dem Ransomware Index Report Q1 2022 von Cyber Security Works (CSW) und Ivanti wurden im ersten Quartal 2022 22 neue Sicherheitslücken und neun neue Schwachstellen mit Ransomware in Verbindung gebracht, ein Anstieg von 7,6 % gegenüber Januar.

Die Konfiguration von Parametern und die Planung von Scans ist entscheidend für die Vermeidung von Betriebsunterbrechungen, wenn die Bandbreite begrenzt ist. Schwachstellen-Scanner sind so konzipiert, dass sie Sie warnen, wenn sie ein abnormales Verhalten in Ihrem IT-Netzwerk erkennen – Sie haben bessere Chancen, Cyberkriminelle zu erwischen, bevor sie Ihre Daten verschlüsseln oder stehlen.

Ein Schwachstellen-Scanner ermittelt die Anzahl der betroffenen Endpunkte und Server, indem er die angeschlossenen Systeme innerhalb Ihres Netzwerks untersucht, um Bereiche mit potenzieller Gefährdung zu identifizieren, die Cyber-Angreifer und Exploits ausnutzen können.

Das Specops Password Auditor Tool scannt Ihr Active Directory auf passwortbezogene Schwachstellen.

Regelmäßige Patches und Updates von Software und Betriebssystemen

Neben Social-Engineering-Taktiken sind veraltete und anfällige Systeme die häufigsten Angriffsvektoren für Ransomware. Aktualisieren Sie Ihre Anwendungen und Betriebssysteme, sobald neue Patches verfügbar sind, und stellen Sie alle älteren Technologien in Ihrem Netzwerk außer Betrieb. Veraltete Systeme bergen viele Schwachstellen, die Cyberkriminelle ausnutzen können. Mit aktualisierten Systemen können Unternehmen diese Schwachstellen beheben und ihre Daten schützen.

Wannacry z. B. zielt hauptsächlich auf veraltete Systeme ab. Der WannaCry-Angriff verdankt seinen Erfolg den 200.000 kompromittierten Rechnern, auf denen das 30 Jahre alte SMB v1-Protokoll mit Hilfe des EternalBlue-Exploit-Kits ausgeführt wurde. Viele Unternehmen hatten ihre Systeme nicht mit dem kritischen Sicherheitsupdate von Microsoft für die SMB-Schwachstelle aktualisiert, das eine Woche zuvor veröffentlicht worden war. Diejenigen, deren Systeme nicht gepatcht waren, konnten nicht mehr auf ihr Internet zugreifen.

Abschließende Überlegungen

Es ist auch wichtig, unternehmensweite Sicherheitsschulungen für alle Mitarbeiter durchzuführen. Social Engineering, insbesondere Phishing, ist eine gängige Methode, mit der böswillige Akteure auf Ihr System zugreifen. Wenn alle Mitarbeiter über Ransomware-Taktiken aufgeklärt werden, sinkt die Wahrscheinlichkeit, dass Sie für Angreifer angreifbar sind.