Ransomware
Ransomware ist Schadsoftware, die Dateien oder Systeme des Opfers verschlüsselt und für die Wiederherstellung ein Lösegeld fordert. Sie ist eine der häufigsten und kostspieligsten Cyberbedrohungen für Unternehmen.
Ransomware kombiniert zwei Komponenten: ein Verschlüsselungstool für die Erpressung und einen Command-and-Control-Server für die Schlüsselverwaltung. Nach erfolgreicher Verschlüsselung erscheint eine Lösegeldforderung - meist in Kryptowährung.
Aktuelle Bedrohungslage
Laut BSI-Lagebericht 2024 ist Ransomware die kritischste Bedrohung für Unternehmen und Behörden in Deutschland. Die durchschnittliche Lösegeldforderung lag 2024 bei 2,73 Millionen USD (Coveware). Gesamtschäden inkl. Ausfallzeiten, Datenwiederherstellung und Reputationsschäden liegen 5-10x höher.
Wie ein moderner Ransomware-Angriff abläuft
Ransomware erscheint als plötzliches Ereignis - tatsächlich hat der Angreifer Wochen oder Monate im Netzwerk verbracht:
Phase 1: Initial Access (Tag 1-7) - Phishing, VPN-Exploit, Credential Stuffing
Phase 2: Persistence (Tag 7-14) - Scheduled Tasks, WMI, Registry Autoruns
Phase 3: Privilege Escalation (Tag 14-21) - Kerberoasting, Pass-the-Hash (Mimikatz)
Phase 4: Lateral Movement (Tag 21-40) - PsExec, WMI Remote, SMB
Phase 5: Exfiltration (Tag 40-60) - Daten stehlen für Double Extortion
Phase 6: Impact (Ransomware) (Stunden) - Gleichzeitig auf alle Systeme deploytDouble und Triple Extortion
Moderne Ransomware-Angriffe folgen mehrstufigen Erpressungsmodellen:
- Single Extortion: Nur Verschlüsselung
- Double Extortion: Verschlüsselung + Datendiebstahl mit Veröffentlichungsdrohung (Leak-Site im Darknet)
- Triple Extortion: + DDoS auf Unternehmenswebsite, + Kontaktaufnahme mit Kunden/Partnern
Technischer Hintergrund: Verschlüsselung
Modernes Verschlüsselungsschema (LockBit-Style):
- RSA-4096 Master-Key-Paar: öffentlicher Key in Ransomware eingebettet, privater Key beim Angreifer
- AES-256 pro Datei: schnelle Dateiverschlüsselung
- AES-Key RSA-verschlüsselt: ohne privaten RSA-Key ist Entschlüsselung rechnerisch unmöglich
Vor der Verschlüsselung löscht Ransomware regelmäßig Shadow Copies (vssadmin delete shadows), Backup-Kataloge und deaktiviert Windows Recovery - daher ist ein frühzeitiger Alert auf diese Befehle kritisch.
Erkennungshinweise (Windows Event IDs)
| Event ID | Bedeutung | Relevanz |
|---|---|---|
| 4625 + 4624 | Viele fehlgeschlagene Logins, dann Erfolg | Credential Stuffing |
| 4698 | Scheduled Task erstellt | Persistence |
| 4104 | PowerShell EncodedCommand | Verdächtig |
| 4769 + RC4 | Kerberos TGS-Anfragen | Kerberoasting |
| 7045 | Neuer Service PSEXESVC | PsExec-Lateral-Movement |
Backup als wichtigste Gegenstrategie
Die 3-2-1-1-0-Backup-Regel (Ransomware-resistent):
- 3 Kopien der Daten
- 2 verschiedene Medien
- 1 Kopie offsite
- 1 offline/air-gapped (Ransomware kann sie nicht erreichen)
- 0 Fehler bei Restore-Tests
Kritisch: Backups müssen regelmäßig auf Wiederherstellbarkeit getestet werden. Das Backup-System muss in einem eigenen Netz liegen - Angreifer kompromittieren gezielt Backup-Systeme.
Schutzmaßnahmen
- MFA auf VPN/RDP: Credential Stuffing nutzlos
- EDR auf allen Endpoints: Erkennt Kerberoasting, LSASS-Zugriffe, lateral Movement
- Netzwerksegmentierung: begrenzt Ausbreitung
- Immutable Backups: Wiederherstellung trotz Angriff
- SIEM-Alerts:
vssadmin delete shadowsmuss sofort einen P1-Alert auslösen
Ausführliche technische Analyse: Wie funktioniert Ransomware technisch?
Weiterführende Informationen: Wiki-Artikel Ransomware
