Was ist Ransomware? Beispiele, Prävention & Erkennung

Es gibt einen Anstieg von Ransomware-Angriffen, mit über 5.414 Angriffen, die Organisationen weltweit im Jahr 2024 erlebt haben, was einem Anstieg von 11 % gegenüber dem Vorjahr entspricht. Diese Eskalation ist auf Phishing, Exploit-Kits und anfällige Cloud-Dienste zurückzuführen, die von Kriminellen genutzt werden, um betrügerische Aktivitäten durchzuführen. Kleine und große Unternehmen sind dem Risiko von Infiltration, Datenverlust und langwierigen Ausfallzeiten ausgesetzt, was zu erheblichen Verlusten führt. Daher wird es für Unternehmen wichtig, ihr Verständnis von Ransomware zu verbessern und Gegenmaßnahmen gegen Ransomware-Angriffe zu entwickeln.

In diesem Artikel definieren wir, was Ransomware ist und wie sie eine Bedrohung für Unternehmen darstellt. Anschließend besprechen wir die Auswirkungen für Organisationen, erklären die Geschichte von Ransomware und beschreiben verschiedene Infektionswege. In diesem Abschnitt erfahren Sie mehr über verschiedene Arten von Ransomware und Techniken, die Cyberkriminelle verwenden, sowie Beispiele bekannter Ransomware-Fälle. Zuletzt besprechen wir, was ein Ransomware-Angriff ist, geben Tipps zur Prävention von Ransomware-Angriffen und wie SentinelOne jeden dieser Aspekte verbessert.

Was ist Ransomware?

Ransomware ist eine Form von Malware, die die Dateien eines Opfers sperrt oder verschlüsselt und dann verlangt, dass das Opfer zahlt, um den Entschlüsselungsschlüssel zu erhalten. Die Bedeutung von Ransomware hat sich erweitert und umfasst einfache Bildschirm-Sperren bis hin zu den neuesten, ausgefeilten Kryptovarianten, die Daten systematisch stehlen und dann mit der Veröffentlichung der Informationen drohen. Die weltweiten Lösegeldforderungen im Jahr 2024 wurden durchschnittlich auf 2,73 Millionen US-Dollar geschätzt, und diese Zahl stellt Unternehmen vor das Dilemma, entweder ihre Daten zu verlieren oder einen hohen Betrag zu zahlen.

Infiltration ist ein aggressiver Akt, bei dem der Angreifer eine Schwachstelle in der Zielsoftware oder das Verhalten der Nutzer ausnutzt. Einfach ausgedrückt umfasst die Definition von Ransomware eine disruptive Bedrohung, die nicht nur den Betrieb von Organisationen lähmt, sondern auch das Vertrauen der Kunden untergräbt. Um Ransomware effektiv zu definieren, muss man ihre Auswirkungen verstehen – von der ersten Infiltration bis zu den verschiedenen Ebenen der Verschlüsselung. Gehen wir also zum nächsten Abschnitt über.

Auswirkungen von Ransomware auf Unternehmen

Ein Ransomware-Angriff kann einer Organisation erheblichen Schaden zufügen: Produktion wird gestoppt, Datenbanken werden gesperrt oder Mitarbeiter können nicht auf Anwendungen zugreifen. Das durchschnittliche Lösegeld ist gestiegen, was darauf hindeutet, dass Kriminelle zuversichtlicher sind, hohe Zahlungen zu erhalten. Unabhängig davon, ob es sich um das Leaken von Kundendaten oder einen Ausfall handelt, der den Geschäftsbetrieb lahmlegt, gehen die Auswirkungen über reine finanzielle Verluste hinaus. Hier sind vier bedeutende Verluste, die Unternehmen erleiden, wenn sie Opfer von Ransomware-Angriffen werden:

1. Betriebliche Unterbrechung: Wenn kritische Dateien oder Server gesperrt sind, können Mitarbeiter nicht an Kundenverkäufen, Personalakten oder Anwendungen für das Lieferkettenmanagement arbeiten, und Fertigungslinien kommen zum Stillstand. Jede Unterbrechung, egal wie klein, führt zu verzögerten Bestellungen oder stornierten Dienstleistungen und damit zu Vertrauensverlust bei Kunden. Die Wiederherstellung nach einem Ransomware-Angriff kann mehrere Tage oder Wochen dauern, insbesondere bei veralteten Backups oder wenn auch die Backups verschlüsselt wurden. Diese Lücke kann zu schwerwiegenden Reputationsschäden und Umsatzverlusten führen.
2. Datenverlust & Offenlegungspflicht: Aktuelle Ransomware-Angriffe beinhalten häufig auch Datendiebstahl. In diesem Szenario fordern die Angreifer Geld von den betroffenen Organisationen, um bestimmte Informationen über Kunden oder Partner nicht offenzulegen. Kommt es zu einem Leak, können gesetzliche Offenlegungspflichten greifen, was zu regulatorischen Maßnahmen und Strafen führen kann. Die Kombination aus Infiltration und öffentlichem Leak verdeutlicht die potenziellen Bedrohungen, die von Ransomware ausgehen.
3. Finanzieller & Reputationsschaden: Neben dem direkten finanziellen Verlust durch das Lösegeld können diese Cyberangriffe teure Forensik, Systemwiederaufbau und in manchen Fällen Sammelklagen nach sich ziehen. Kunden könnten zu anderen Unternehmen wechseln, die solche Probleme nicht haben, und Investoren könnten an der Risikokompetenz der Führung zweifeln. Um solche Infiltrationen zu verhindern, könnten Versicherer die Prämien erhöhen oder Policen kündigen. Am Ende dauert es oft Jahre, einen beschädigten Markenruf wiederherzustellen.
4. Verlust von Vertrauen bei Stakeholdern & Kunden: Sobald ein Vorfall erkannt wird, beginnen Personen wie der Vorstand, die Aufsichtsbehörde oder wichtige Kunden, das Sicherheitsniveau zu hinterfragen. Vertrauensverlust ist teuer und kann zur Kündigung von Verträgen oder zu strengeren Anforderungen von Partnern führen. Um Vertrauen wiederherzustellen, müssen Nachweise für bessere Kontrollen, kontinuierliches Scannen und nicht zuletzt angemessene Mitarbeiterschulungen erbracht werden. Investiert eine Organisation in starke Ransomware-Abwehr im Bereich Cybersecurity, schafft das langfristig zusätzliches Vertrauen.

Geschichte der Ransomware

Die Ursprünge von Ransomware reichen von einfachen Erpressungstrojanern aus den späten 1980er Jahren bis hin zu fortschrittlichen, verschlüsselungsbasierten Angriffen. Diese Angriffe haben sich im Laufe der Jahre weiterentwickelt und sind mit Hilfe ausgefeilter Verschlüsselungstechniken und Tarnstrategien zu einer der größten Bedrohungen in der Cyberkriminalität geworden. In den folgenden Abschnitten identifizieren wir vier Phasen, um zu zeigen, wie Kriminelle ihre Strategien weiterentwickelt haben.

1. Der PC Cyborg Trojaner (späte 1980er): Entwickelt 1989, infizierte der „AIDS Trojaner“ oder „PC Cyborg“ den Computer und forderte dann eine Zahlung, um die Funktionalität wiederherzustellen. Dies war der früheste dokumentierte Fall, der die Definition von Ransomware-Angriffen prägte: Software, die bestimmte Daten verschlüsselt und eine Zahlung verlangt. Obwohl im Vergleich zu heutigen Definitionen eher primitiv, legte er das konzeptionelle Fundament für moderne Erpressung. Der Angriffsvektor war recht einfach: Der Virus wurde über infizierte Disketten verteilt, die auf einer Konferenz an Teilnehmer ausgegeben wurden.
2. Verschlüsselnde Ransomware (frühe 2000er): In den frühen 2000er Jahren tauchten ausgefeiltere Ransomware-Typen auf, die Daten mit modernen Algorithmen wie RSA oder AES verschlüsselten. Diese Ransomware-Beispiele waren schwer zu vermeiden, da die Antiviren-Erkennung langsam war. Die Angreifer forderten Zahlungen über frühe digitale Zahlungsmittel oder Überweisungen, was es den Strafverfolgungsbehörden erschwerte, das Geld nachzuverfolgen. Dies führte zur Entwicklung weiterer Sicherheitsbedrohungen, und Experten begannen, von „Crypto-Ransomware“ zu sprechen, die mit komplexen Algorithmen verbunden ist.
3. Neue Erpressungsmethoden: Die 2010er Jahre brachten eine Zunahme fortschrittlicher Techniken, darunter die WannaCry-Ransomware im Jahr 2017. Dieser wurmbasierte Angriff legte innerhalb weniger Stunden weltweit Krankenhäuser und Unternehmen lahm. Cyberkriminelle nutzten gestohlene Exploits der NSA, um zu zeigen, dass selbst die Mächtigsten unaufhaltsame Wellen von Ransomware-Angriffen auslösen können. Außerdem entstand RaaS (Ransomware as a Service), das auch Einsteigern ohne Erfahrung den Einstieg ermöglichte.
4. Doppelte Erpressung & geopolitische Nutzung (2020er bis 2025): Heute stehlen Cyberakteure zunächst Daten und drohen, diese öffentlich zu machen, falls die Forderungen nicht erfüllt werden – bekannt als doppelte Erpressung. Dies zwingt Organisationen, die Kosten eines möglichen Datenlecks zu berücksichtigen, selbst wenn Backups vorhanden sind. Staatlich unterstützte Kampagnen nutzen Ransomware manchmal auch für Spionage oder destruktive Zwecke, was die Unterscheidung zwischen finanziellen und politischen Zielen erschwert. Aktuell sind die Bedrohungen durch den Einsatz von Tarnung, KI und sehr spezifischen Tools noch ausgefeilter als zuvor.

Wie verbreitet sich Ransomware?

Die Erklärung des Begriffs Infektionsweg von Ransomware zeigt, dass es mehrere Möglichkeiten gibt, wie Ransomware ein System infiltrieren kann – von Spam-E-Mails mit Anhängen bis hin zu kompromittierten Cloud-Lösungen.

Cyberkriminelle passen ihre Strategien an die Schwachstellen jedes Ziels an, etwa ungesicherte Server oder leichtgläubige Mitarbeiter. Hier sind fünf Wege, wie Kriminelle Ransomware-Code einschleusen und in die Infrastruktur einer Organisation integrieren:

1. Phishing-E-Mails & bösartige Anhänge: Phishing-E-Mails verleiten Mitarbeiter dazu, bösartige Dokumente zu öffnen oder Links zu besuchen, die auf Hacker-Websites führen. Werden Makros oder Skript-Schwachstellen aktiviert, beginnt die Verschlüsselung oder es werden Backdoor-Shells aktiviert. Trotz Schulungen, keine Links zu klicken oder persönliche Daten preiszugeben, bleibt Phishing eine zuverlässige Methode für Kriminelle, um in Unternehmensnetzwerke einzudringen. Unternehmen, die Inhaltsfilter und fortschrittliche E-Mail-Gateways einsetzen, senken diese Durchdringungsraten erheblich.
2. Ausgenutzte Software-Schwachstellen: Ransomware sucht gezielt nach anfälligen Frameworks, Betriebssystemen oder Entwicklungs-/Testumgebungen, die nicht entfernt wurden. Durch gezielte Pakete oder Befehle verschaffen sich Kriminelle Kontrolle und führen den Code aus, um die Ransomware ohne Wissen des Nutzers zu installieren. Diese Infiltrationswinkel werden durch zeitnahes Patchen, Schwachstellenscans und Segmentierung begrenzt. Ein einziges verpasstes Patch kann ganze Strukturen lahmlegen, wie bei groß angelegten Angriffen deutlich wurde.
3. Remote Desktop Protocol (RDP)-Angriffe: Unzureichende oder wiederverwendete Zugangsdaten für RDP-Sitzungen ermöglichen es Angreifern, sich Zugang zu verschaffen oder per Brute-Force einzudringen. Nach dem Eindringen bewegen sich Angreifer schnell und verbreiten die Ransomware über mehrere Freigaben oder Domänencontroller. Maßnahmen wie Multi-Faktor-Authentifizierung, Beschränkung des RDP-Zugriffs auf VPN oder das Abschalten von externem RDP minimieren die Risiken erheblich. Diese Synergie macht es unmöglich, nur mit einem gestohlenen oder erratenen Passwort Zugang zu erhalten.
4. Drive-By-Downloads & bösartige Werbung: Phishing-Websites oder kompromittierte Ad-Server liefern Payloads an nicht aktualisierte Browser. Der Besuch einer infizierten Seite oder das versehentliche Anzeigen einer Anzeige kann versteckte Skripte aktivieren, die die Ransomware herunterladen. Endpunkt-Antivirenprogramme oder neue Browser können solche Skripte als bösartig erkennen, aber gewöhnliche Mitarbeiter oder Systeme ohne Updates sind verwundbar. In Kombination mit fortschrittlicher Inhaltsfilterung wird die Wahrscheinlichkeit einer Drive-By-Infiltration stark reduziert.
5. Supply-Chain-Kompromittierung: Kriminelle manipulieren auch Software-Updates von Anbietern und verteilen infizierte Patches oder Bibliotheksabhängigkeiten. Sobald die Organisation das „offizielle“ Update erhält, wird die versteckte Malware ausgeführt. Diese Infiltrationsmethode hat insbesondere bei Vorfällen mit hoher Auswirkung in der Lieferkette deutlich zugenommen. Um Supply-Chain-Infiltration zu verhindern, sollten Softwarepakete verifiziert, Code-Signaturen geprüft und neu eingeführte Bibliotheken gescannt werden.

Arten von Ransomware

Die Arten von Ransomware haben sich weiterentwickelt, und jeder Typ hat unterschiedliche Methoden der Verschlüsselung, Infiltration oder Erpressung. Manche Ransomware friert den Bildschirm ein, andere leaken Informationen. Das Bewusstsein für diese Unterschiede hilft, angemessene Abwehrmaßnahmen zu entwickeln. Im folgenden Abschnitt stellen wir sieben bedeutende Bereiche vor, die sich auf die Entwicklung und Diversifizierung von Ransomware konzentrieren.

1. Krypto-Ransomware: Diese Varianten verschlüsseln die Daten des Nutzers mit starken Algorithmen und zwingen die Opfer, den Entschlüsselungsschlüssel zu kaufen. Kriminelle versuchen typischerweise, ganze Verzeichnisse oder besonders wichtige Unternehmensfreigaben zu infizieren, um größtmögliche Störungen zu verursachen. Sind auch Backups betroffen oder fehlen sie ganz, sind die Aussichten auf Wiederherstellung äußerst gering. Viele groß angelegte Infiltrationswellen konzentrieren sich auf kryptobasierte Erpressungen.
2. Locker-Ransomware: Im Gegensatz zur Verschlüsselung, bei der Nutzer von ihren Systemen ausgesperrt werden, frieren Locker-Typen das Betriebssystem ein. Die Bedrohung besteht darin, dass der normale Zugriff erst nach Zahlung wiederhergestellt wird, auch wenn die Dateien nicht verschlüsselt sind. Der Verlust der Systemfunktionalität kann für Arbeitsplätze ebenso verheerend sein wie für Einzelpersonen und Unternehmen. Teilweise können Daten noch wiederhergestellt werden, wenn eine fortschrittliche Forensik die Varianten entsperren kann, da keine Verschlüsselung stattfindet.
3. Doppelte Erpressungs-Ransomware: Cyberkriminelle stehlen Daten, bevor sie diese verschlüsseln, und drohen, sie zu veröffentlichen oder zu verkaufen, falls die Forderungen nicht erfüllt werden. Diese Synergie erhöht den Druck, da Backups allein das öffentliche Leaken nicht verhindern. Meist werden Proben auf Leak-Websites veröffentlicht, was Organisationen unter Reputations- oder Rechtsdruck setzt. Bei doppelter Erpressung können Opfer selbst nach Zahlung nicht sicher sein, dass ihre Daten privat bleiben, da Kriminelle ihr Wort brechen könnten.
4. Ransomware-as-a-Service (RaaS): Im RaaS-Modell bieten erfahrene Bedrohungsakteure ihre Tools, also Ransomware-Kits, an Partner mit geringen technischen Fähigkeiten an. Affiliates greifen Ziele an, senden einen Teil des erpressten Geldes an die Gruppe und erweitern die Zielauswahl. Diese Zusammenarbeit fördert eine florierende Wirtschaft spezialisierter Infiltrationsrollen, von Zugangsbeschaffern bis zu Verhandlungsführern. RaaS führt zu einer Zunahme von Ransomware-Angriffen weltweit, da weniger Fachwissen für die Durchführung erforderlich ist.
5. Dateilose Ransomware: Dateilose Varianten arbeiten hauptsächlich im Arbeitsspeicher und sind ressourcenschonend, da sie kaum Daten auf Festplatten schreiben. Einige dieser Prozesse werden von herkömmlichen Antiviren- oder Scanprogrammen nicht erkannt. Malware-Autoren nutzen Systemprogramme wie PowerShell, um die Verschlüsselungsbefehle verdeckt auszuführen. Um solche Infiltrationswinkel zu bekämpfen, benötigen Organisationen fortschrittliche, verhaltensbasierte Erkennung in Kombination mit eingeschränktem Skriptzugriff.
6. Mobile Ransomware: Speziell für Smartphones oder Tablets entwickelt, sperren diese Varianten Nutzer aus ihren Geräten aus oder verschlüsseln lokal gespeicherte Dateien. Cyberkriminelle verbreiten gefährliche Apps über Drittanbieter-Marktplätze oder integrieren sie in Updates. Durch die Nutzung persönlicher Daten oder Geschäftsanmeldungen auf dem Gerät werden Nutzer zur Zahlung gezwungen. Eine starke Download-Sperre für Apps und regelmäßige Backups erschweren mobile Infiltration erheblich.
7. Wiper-Ransomware: Eine destruktive Untergruppe, die Daten einfach löscht oder beschädigt, anstatt nach Zahlung eine Entschlüsselung bereitzustellen. Obwohl sie traditionellen Ransomware-Kommunikationen ähnelt, ist das eigentliche Ziel Zerstörung oder Desorientierung. Cyberkriminelle nutzen Wiper-Varianten, um Geschäftsabläufe zu stören oder kritische Infrastrukturen zu sabotieren. Ohne Wiederherstellungsschlüssel bleibt nur die Hoffnung auf Backups und einen robusten Incident-Response-Plan.

Mehr erfahren: Arten von Ransomware-Angriffen

Häufige Angriffsvektoren von Ransomware

Neben Infiltrationswegen wie Phishing oder ungepatchten Anwendungen nutzt Ransomware mehrere Vektoren und Wege für Eindringen und Eskalation. Hacker prüfen kontinuierlich die Schwachstellen von Unternehmen, darunter gestohlene Zugangsdaten und ausgenutzte Partnerverbindungen. Hier stellen wir fünf der häufigsten Wege vor und erklären, wie Kriminelle vom ersten Schritt einer Kompromittierung zur Datenverschlüsselung übergehen.

1. Phishing & Social Engineering: Zielt auf Mitarbeiter ab, indem E-Mails mit Links zu gefälschten Websites, weiteren E-Mails oder mit Makro-infizierten Anhängen versendet werden, die die Ransomware starten. Diese Nachrichten werden so gestaltet, dass sie von HR, der Finanzabteilung oder bekannten Anbietern zu stammen scheinen. Nach Ausführung des Codes repliziert sich der Virus schnell und zielt auf lokale Verzeichnisse oder Netzlaufwerke. Spamfilter, Nutzeraufklärung und Zwei-Faktor-Authentifizierung senken die Erfolgsquote der Infiltration.
2. Credential Stuffing & Password Spraying: Mit einer großen Anzahl im Internet geleakter Konten versuchen Cyberkriminelle, sich mit denselben Zugangsdaten in Unternehmens-VPNs oder Remote-Zugänge einzuloggen. Nach Identifizierung des Ziels schleusen sie die Malware ins Netzwerk ein und tarnen sich meist als legitimer Nutzer. Maßnahmen wie starke Passphrasenrichtlinien oder erzwungener Passwortwechsel in kurzen Abständen minimieren Infiltrationswinkel. Zudem wirken sich MFA und Geräte-Kontextreduzierungen positiv auf die Erfolgsraten passwortbasierter Angriffe aus.
3. Exploit-Kits & Malvertising: Hacker injizieren Exploit-Code in Anzeigen oder kontrollierte Websites und leiten Nutzer auf ihre Ziele um. Im nächsten Schritt führen anfällige Browser oder Plug-ins die Ransomware aus. Selbst seriöse Nachrichten- oder E-Commerce-Seiten können Opfer werden, wenn Ad-Netzwerke kompromittiert sind. Durch Inhaltsfilter, Browser-Patching und eingeschränkte Plug-in-Nutzung verhindern Organisationen solche Infiltrationsversuche.
4. Remote-Desktop-Dienste & VPN-Schwachstellen: RDP oder ältere VPN-Lösungen mit bekannten CVEs sind oft falsch konfiguriert und Hauptangriffswege. Diese Endpunkte werden von Angreifern per Brute-Force oder Exploit direkt angegriffen, um Ransomware auf Zielservern auszuführen. Ohne robuste Konfigurationen wie Account-Lockouts oder Firmware-Updates bleibt diese Infiltration einfach. Eine zusätzliche Schutzschicht durch Segmentierung von RDP hinter einem Unternehmens-VPN mit MFA schließt diese Lücken ebenfalls.
5. Supply-Chain-Kompromittierung: Software-Updates von vertrauenswürdigen Anbietern oder Bibliotheken werden von Kriminellen modifiziert, um bösartige Module in Ihre Umgebung einzuschleusen. Werden die Updates in Patch-Systeme oder Build-Pipelines integriert, wird der Code ausgeführt. RaaS-Gruppen kaufen auch Zugänge von kompromittierten Anbietern, wodurch sich die Infiltration auf größere Unternehmen ausweitet. Lieferantenbewertungen, Code-Signatur-Prüfungen und Scans verhindern diese versteckten Infiltrationswege.

Wie funktioniert Ransomware?

Zu wissen, wie Ransomware im Detail funktioniert, hilft zu erklären, wie sie sich versteckt, wie schnell sie sich entwickelt und wie gefährlich sie ist. Hacker nutzen eine Mischung aus Infiltrationstechniken und Verschlüsselungsverfahren sowie berüchtigte Lösegeldforderungen, die oft schwer greifbar, aber wirkungsvoll sind. Hier identifizieren wir fünf Schlüsselprozesse, die diesen Teufelskreis erklären:

1. Erster Zugang & Payload-Auslieferung: Kriminelle identifizieren einen Einstiegspunkt, sei es durch Phishing, Exploit-Pakete oder gestohlene Zugangsdaten, und schleusen die Malware ein. Diese Payload prüft häufig Systemarchitektur, Antiviren-Präsenz oder Benutzerrechte. Findet sie eine günstige Umgebung, erhöht sie Rechte oder erstellt Untermodule. In dieser Phase kann eine frühe Erkennung die gesamte Infiltrationskette unterbrechen.
2. Privilegien-Eskalation & laterale Bewegung: Im Zielsystem nutzen Kriminelle Schwachstellen oder Standardpasswörter, um von der Benutzer- auf die Administrator-Ebene zu gelangen. Sie bewegen sich dann durch das Netzwerk, suchen nach Freigaben, Backup-Servern oder Domänencontrollern. Durch das Ausschalten von Sicherheitsprotokollen oder EDR-Agenten verschleiern sie den Fortschritt der Infiltration. So wird sichergestellt, dass die Infiltration breit gestreut ist, bevor die Verschlüsselung beginnt, um maximale Störung zu erreichen.
3. Datenexfiltration & doppelte Erpressung: Bei modernen Angriffen werden sensible Daten vor der Verschlüsselung auf andere Server exfiltriert. Cyberkriminelle fordern von den Zielen ein Lösegeld für die Nichtveröffentlichung der gestohlenen Informationen. Diese Synergie verschärft die Lösegeldverhandlungen – Backups reichen nicht aus, wenn ein Datenleck wahrscheinlich wird. Die Synergie verbindet Infiltration und Erpressung und zwingt die betroffenen Organisationen, sowohl operative als auch Reputationskosten zu berücksichtigen.
4. Verschlüsselung & Sperrung: Sobald die Malware platziert ist, verschlüsselt die bösartige Routine Ziel-Dateien mit starken Algorithmen wie AES oder RSA und macht sie unzugänglich. Die Angreifer hinterlassen eine Lösegeldforderung, verlangen Zahlung in Kryptowährung und setzen oft eine Frist. Die Verschlüsselung kann auch Backups betreffen, wenn diese verbunden sind. Im Laufe der Zeit wird sie aggressiver und stört die Wiederherstellungsversuche des Systems.
5. Lösegeldverhandlung & mögliche Entschlüsselung: In diesem Fall bleibt den Opfern oft nur die Zahlung des Lösegelds oder die Wiederherstellung aus Backups. Kriminelle geben nach Zahlung meist das Entschlüsselungstool frei, dessen Qualität jedoch fraglich sein kann. Manche Kriminelle leaken die Daten trotzdem oder die bereitgestellten Schlüssel funktionieren nicht richtig, was die Situation verschärft. Offline- oder Air-Gap-Backups und getestete Wiederherstellungspläne verhindern, dass Kriminelle bezahlt werden müssen.

Phasen eines Ransomware-Angriffs

Auch wenn sich die Details der Infiltration je nach Ransomware-Variante oder Umgebung unterscheiden, folgen die meisten Ransomware-Angriffe einem gemeinsamen Ablauf. Das bedeutet, dass das Stoppen am Anfang – etwa das Blockieren des ersten Exploit-Versuchs – die Situation verhindern kann. Nachfolgend haben wir die typischen Phasen von der Aufklärung bis zum letzten Schritt der Erpressung skizziert und erläutert, wie Kriminelle systematisch zur erfolgreichen Verschlüsselung gelangen.

1. Aufklärung: Angreifer sondieren Netzwerke, beschaffen Passwörter aus Datenlecks oder recherchieren Mitarbeiterprofile auf LinkedIn. Sie suchen gezielt nach anfälligen Zielen wie ungepatchten Servern, offenen Ports oder Personen mit Datenzugriff. Diese Synergie deckt besonders wertvolle Assets wie Finanzdatenbanken oder Domänencontroller auf. Durch sorgfältige Analyse der Umgebung entwickeln Kriminelle Wege, wie sie in eine Organisation eindringen können.
2. Erstkompromittierung: Basierend auf diesen Erkenntnissen starten Kriminelle Malware oder prüfen Zugangsdaten. Sie geben sich als Mitarbeiter aus oder nutzen bekannte Schwachstellen in der Software. Nach dem ersten Einstiegspunkt, etwa Desktops, sammeln die Angreifer weitere Details zur Umgebung. So können sie tiefere Infiltration oder laterale Bewegungen etablieren.
3. Privilegien-Eskalation & laterale Bewegung: Angreifer nutzen lokale Schwachstellen oder Brute-Force, um Domänen- oder Root-Rechte zu erlangen. Sie scannen auch Netzlaufwerke, Netzwerkfreigaben oder Cloud-APIs nach wertvollen Informationen. Durch Kontrolle oder Umgehung von Sicherheitsprotokollen verhindern sie, dass ihre Infiltration von Erkennungssystemen entdeckt wird. Diese Synergie bedeutet, dass ein kompromittierter Nutzer ganze Segmente gefährden kann, wenn keine Mikrosegmentierung vorhanden ist.
4. Datenexfiltration: Mit administrativen Rechten übertragen Kriminelle unbemerkt Informationen auf Server außerhalb des Firmennetzwerks. Dieser Schritt bereitet eine doppelte Erpressung vor, bei der mit der Veröffentlichung der Daten gedroht wird, falls das Lösegeld nicht gezahlt wird. Außerdem hilft es Kriminellen, die potenziellen Lösegeldsummen und die Verwundbarkeit der Daten zu bestimmen. Ziele bemerken den Datenverlust oft erst, wenn Lösegeldforderungen eingehen oder ungewöhnlicher Traffic entdeckt wird.
5. Verschlüsselung & Lösegeldforderung: Abschließend verschlüsselt der Code wichtige Dateien mit einem starken Schlüssel und hinterlässt eine Nachricht mit Anweisungen zur Entschlüsselung und zur geforderten Zahlung. Bedrohungsakteure verlangen meist Kryptowährung, setzen eine kurze Frist oder drohen mit Veröffentlichung der gestohlenen Daten. Sind auch Backups verloren oder das Personal nicht vorbereitet, werden die Abläufe tagelang lahmgelegt. Diese letzte Phase besiegelt den Erfolg der Infiltration, sofern der Angriff nicht erkannt und gestoppt oder die infizierten Systeme schnell offline gesichert werden.

Methoden von Ransomware-Angriffen

Kriminelle nutzen eine Vielzahl von Taktiken und Strategien der Infiltration und Erpressung, die auf verschiedene Aspekte oder Verhaltensweisen der Mitarbeiter abzielen. Durch die Analyse dieser Ransomware-Methoden können Organisationen ihre Abwehr an jedem Infiltrationspunkt verbessern. Hier zeigen wir fünf Beispiele, um die Vielseitigkeit und Flexibilität moderner Angreifer zu verdeutlichen:

1. Malspam & Spear Phishing: E-Mail ist nach wie vor die häufigste Infiltrationsmethode, insbesondere massenhaft oder gezielt, wobei auf wenig geschulte Mitarbeiter abgezielt wird, die verseuchte Anhänge herunterladen oder auf Links klicken. Spear Phishing beinhaltet das Versenden von Nachrichten mit Informationen, die Kriminelle aus sozialen Medien oder früheren Hacks gewonnen haben. Sobald Makros oder Exploit-Kits ausgeführt werden, startet die Verschlüsselungs- oder Exfiltrationsroutine. Dagegen helfen fortschrittliche E-Mail-Filter, Mitarbeiteraufklärung und Link-Scanning, die Erfolgsquote der Infiltration zu senken.
2. Exploit-Kits & Drive-By-Kompromittierung: Malware wird in gezielte oder infizierte Websites oder durch Malvertising eingeschleust. Jeder Browser oder Plug-in, das nicht mit den neuesten Patches aktualisiert wurde, wird beim Zugriff auf die Seite zum Einfallstor. Selbst große Ad-Netzwerke können gelegentlich bösartige Anzeigen auf legitimen Seiten ausliefern. Diese Infiltrationswinkel werden durch konsequentes Patch-Management und eingeschränkte Plug-in-Nutzung stark eingeschränkt.
3. Remote-Dienste & RDP-Angriffe: Hacker prüfen proaktiv RDP-Endpunkte oder SSH-Verbindungen, um Standardzugangsdaten oder bekannte CVEs auszunutzen. Erlangen Angreifer Domänen-Admin- oder Root-Rechte, können sie Verschlüsselungsroutinen auf Systemebene installieren. Maßnahmen wie Multi-Faktor-Authentifizierung oder die Beschränkung des Remote-Zugriffs auf Ressourcen hinter VPN oder Zero-Trust reduzieren die Wahrscheinlichkeit erfolgreicher Cyberangriffe erheblich. Wiederholte Log-Überprüfung auf ähnliche Einträge ist ein weiterer Weg, Brute-Force-Angriffe frühzeitig zu erkennen.
4. Trojanisierte Software & Drittanbieter-Kompromittierung: Böswillige Akteure infiltrieren echte Software-Updates wie Treiber, Plug-ins oder Bibliotheken und integrieren Ransomware-Code. Die Opfer glauben, sie laden von einem Anbieter oder Mirror herunter, führen die Updates aus und starten so die Infiltration. Dies zeigt, wie Supply-Chain-Kompromittierung weitreichende Folgen hat. Prüfung von Code-Signaturen, starkes Lieferantenmanagement oder Pipeline-Scanning verhindern diese verdeckten Infiltrationsvektoren.
5. Lateral Pivot von anderer Malware: Manchmal beginnt die Infiltration mit einem weniger auffälligen Trojaner oder Keylogger, der unbemerkt Benutzernamen oder Passwörter sammelt. Angreifer starten den eigentlichen Verschlüsselungsprozess, sobald sie wertvolle Daten identifiziert haben. Die Ransomware-Verschlüsselung beginnt, bevor das Personal merkt, dass etwas nicht stimmt. Verhaltensbasierte EDR-Lösungen erkennen einen abnormalen Pivot und stoppen die Infiltration vor dem letzten Schlag.

Beispiele für Ransomware-Angriffe

Bei Ransomware besteht kein Zweifel daran, wozu Kriminelle fähig sind – sie können den Betrieb lahmlegen oder Millionen für die Freigabe verlangen. Es ist daher wichtig zu beachten, dass selbst die bestausgestatteten Organisationen überrascht werden können, wenn ein Infiltrationswinkel ungeschützt bleibt. Im folgenden Abschnitt werden vier Fälle vorgestellt, um die Schwere der Infiltration, die Reaktionen der Unternehmen und die Ergebnisse zu beleuchten.

1. LoanDepot (2024): Im Januar meldete einer der größten Hypothekenanbieter, LoanDepot, einen Ransomware-Angriff vom 3. bis 5. Januar, bei dem Daten verschlüsselt und sensible Kundendaten gestohlen wurden, was zu einer Dienstunterbrechung für 16,6 Millionen Verbraucher führte. Alphv/BlackCat übernahm die Verantwortung für den Angriff, was die Geschichte bedeutender Vorfälle dieser Gruppe fortsetzt. Der aktuelle Angriff auf LoanDepot zeigt, dass insbesondere Finanzunternehmen mit großen Mengen an Nutzerdaten für Erpresser attraktiv sind.
2. Veolia (2024): Veolia North America, ein Unternehmen für Wasser- und Energie-Recycling, gab an, Opfer eines Ransomware-Angriffs geworden zu sein, der einige Back-End-Systeme unzugänglich machte. Obwohl die Wasseraufbereitung nicht beeinträchtigt wurde, waren Abrechnungsdienste betroffen, was zu Unannehmlichkeiten für Kunden führte. Nach einem teilweisen Datenleck wurden Nutzer benachrichtigt. Dies zeigt, dass kritische Infrastrukturanbieter zunehmend ins Visier genommen werden, um eine schnelle Zahlung des Lösegelds zu erzwingen.
3. Ascension (2024): Ascension, ein in St. Louis ansässiges Gesundheitssystem, gab im Mai bekannt, dass Ransomware elektronische Gesundheitsakten (EHR) und einige Telefonleitungen beeinträchtigte. Über einen Monat lang kam es zu Störungen bei Terminvergaben und Verwirrung bei Medikamentenbestellungen. Einige Standorte leiteten sogar Rettungswagen um, da das Personal die arbeitsreichste Woche aller Zeiten erlebte. Die Synergie zeigt, wie gefährlich Ransomware-Vorfälle die zentrale Gesundheitsversorgung stören und nicht nur die Stabilität von Krankenhäusern, sondern auch das Leben von Patienten bedrohen.
4. Cleveland Stadtverwaltung (2024): Im Juni legten Hacker die Stadt Cleveland lahm und schlossen das Rathaus für 11 Tage nach einem Angriff, der Abrechnungssysteme und Verwaltungsverfahren beeinträchtigte. Mitarbeiter versuchten, die betroffenen Computer zu isolieren und Daten aus Kopien wiederherzustellen. Die Stadt erklärte, das Lösegeld nicht zu zahlen, konnte aber nicht bestätigen, ob Daten gestohlen wurden. Diese Synergie zeigt, wie selbst schädliche Ransomware-Angriffe alle kommunalen Dienste lahmlegen und das tägliche Leben der Einwohner beeinträchtigen können.

Wie lassen sich Ransomware-Angriffe verhindern?

Schutz vor Infiltration erfordert nicht nur bessere Tools, sondern auch gut informierte Mitarbeiter, sichere Einstellungen und getestete Backups. Deshalb reicht keine einzelne Maßnahme aus, da Kriminelle ihre Strategien ständig ändern. Hier sind fünf grundlegende Maßnahmen, die das Infiltrationsrisiko deutlich senken und die Wiederherstellung nach Vorfällen beschleunigen:

1. Umfassende Mitarbeiterschulungen: Phishing und Social Engineering bleiben die beliebtesten Methoden für Angreifer, um in Organisationen einzudringen. Regelmäßige Schulungen und simulierte Phishing-Angriffe helfen Mitarbeitern, potenzielle Bedrohungen zu erkennen. Nutzen Sie weitere Sicherheitsmaßnahmen, um sicherzustellen, dass nur komplexe Passphrasen verwendet werden, statt einfacher, leicht zu erratender Passwörter. Diese Synergie senkt das Risiko, dass unbedachte Klicks oder wiederverwendete Passwörter ganze Netzwerke gefährden.
2. Verpflichtende Multi-Faktor-Authentifizierung: Selbst wenn Kriminelle Passwörter erraten oder erlangen, verlangsamen zweite Faktoren (wie Codes per Handy oder physische Sicherheitstoken) Eindringlinge. MFA wird dringend empfohlen beim Login in Admin- oder Domänenkonten für Remote-VPN- oder RDP-Verbindungen. Die Synergie reduziert die Erfolgswahrscheinlichkeit von Credential Stuffing erheblich. Im Laufe der Zeit verbessern weitere Lösungen wie Single Sign-On mit kontextbasierten Richtlinien die Authentizität zusätzlich.
3. Regelmäßiges Patchen & Schwachstellenscans: Die zeitnahe Umsetzung von OS-, Anwendungs- und Firmware-Updates schließt bekannte Infiltrationswinkel. Regelmäßige Scans helfen, neu veröffentlichte CVEs oder Zero-Day-Schwachstellen zu erkennen. Solche Aufgaben sollten auch temporäre Ressourcen wie Container oder Entwicklungs-/Testserver umfassen. Durch die Verknüpfung von Scans mit Pipeline-Merges können Dev und Ops Schwachstellen im Entwicklungsprozess vor der Produktion beheben.
4. Mikrosegmentierung & Zero-Trust-Architektur: Die Aufteilung von Netzwerken in Segmente verhindert laterale Bewegungen, falls Angreifer einen Server, Endpunkt oder Cloud-Ressource kompromittieren. Zero Trust prüft Identität und Berechtigung jeder Anfrage und verhindert so unbefugten Zugriff durch gestohlene oder erratene Zugangsdaten. Die Implementierung softwaredefinierter Perimeter oder restriktiver VLAN-Regeln bietet minimale Infiltrationsfenster. Segmentierung in Kombination mit Zero Trust stellt sicher, dass sich Infiltration nicht auf die gesamte Umgebung ausbreitet.
5. Air-Gap-Backups & Notfallübungen: Es ist unmöglich, jede Art von Infiltration selbst mit den besten Sicherheitsmaßnahmen zu verhindern, weshalb ein Offline-Backup unerlässlich ist. Überprüfen Sie regelmäßig Wiederherstellungspunkte, um sicherzustellen, dass die Daten aktuell und unbeschädigt sind. Wenn Kriminelle die Produktion verschlüsseln, können Offline-Backups zur schnellen Wiederherstellung genutzt werden, ohne Lösegeld zu zahlen. Mithilfe von Incident-Runbooks können Mitarbeiter reale Infiltrationen souverän bewältigen und so Chaos reduzieren.

Ransomware-Erkennung & -Entfernung

Ransomware-Prävention ist nicht immer narrensicher, und Infiltration kann durch die Ausnutzung einer Zero-Day-Schwachstelle oder einen Social-Engineering-Angriff erfolgen. Die frühzeitige Erkennung von Schadcode kann die Verschlüsselung im laufenden Prozess stoppen und so eine gesamte Umgebung retten. Hier sind fünf Schritte, um gefährliche Verhaltensweisen schnell zu erkennen und die Entfernung von Ransomware nach einer Infektion zu koordinieren:

1. Verhaltensbasierter Endpunktschutz: Ein reines Signatur-Antivirus entwickelt sich oft zu langsam, da sich der Code schnell und häufig ändert. Stattdessen beobachten fortschrittliche EDR-Lösungen das Laufzeitverhalten, etwa wenn ein neuer Prozess viele Dateien gleichzeitig verschlüsselt. Wird eine Anomalie mit einem bekannten Infiltrationsmuster korreliert, wird sie durch Isolierung oder Quarantäne behandelt. Diese Synergie bedeutet, dass dateilose oder völlig neue Formen bösartiger Programme in Echtzeit erkannt werden.
2. Netzwerkanomalie-Überwachung: Datenübertragungen außerhalb der Arbeitszeiten oder plötzliche hohe Bandbreitennutzung deuten auf Exfiltration oder Massenverschlüsselung hin. SIEM- oder NDR-Tools können solche Muster erkennen und das Personal zur weiteren Untersuchung benachrichtigen. Die Analyse des Datenverkehrs und von Ost-West-Verbindungen kann die ersten Phasen der Infiltration aufdecken. So wird verhindert, dass der Angreifer Fuß fasst und alle Dateien verschlüsselt oder gestohlene Daten überträgt.
3. Ransomware-Scanner-Tools: Einige Anti-Ransomware-Programme suchen gezielt nach bestimmten Verschlüsselungsalgorithmen, Umbenennungsoperationen oder Dateiendungen, die typischerweise gesperrt werden. Sie prüfen auch auf partielle Schreibvorgänge oder Änderungen an Volume Shadow Copies. Bei Aktivierung beenden sie entweder den verursachenden Prozess oder stellen die veränderten Dateien per Journaling wieder her. Neben Standard-Antivirus verkürzen diese Scanner die Infiltrationszeit erheblich.
4. Automatisierte Eindämmung & Wiederherstellung: Wird ein Automatisierungs-Framework ausgelöst, kann es infizierte Hosts herunterfahren und den Netzwerkzugang verweigern, um laterale Bewegungen zu stoppen. Einige fortschrittliche Lösungen bieten „Rollback“-Funktionen, um den Systemzustand zu erfassen und eine Rückkehr zum Zustand vor der Infektion zu ermöglichen. Die Verknüpfung von Eindämmung und Erkennung verhindert, dass Kriminelle sich lateral bewegen oder Daten exfiltrieren. Das spart Zeit im Ereignisfenster und verkürzt die Gesamtauswirkung.
5. Ransomware-Entfernung & forensische Bereinigung: Nach der Eindämmung verbleibt immer etwas Code, der neutralisiert, Systemdateien überprüft und alle möglichen Trigger entfernt werden müssen. Dazu gehört das Scannen von Autostart-Programmen, geplanten Aufgaben oder Registrierungen auf bösartige Einträge. Bei teilweiser Verschlüsselung können Dateien aus Backups wiederhergestellt oder mit Entschlüsselungstools entschlüsselt werden. Eine gründliche Ransomware-Analyse nach dem Vorfall hilft, zukünftige Erkennungsregeln zu verfeinern und Infiltrationswinkel zu schließen.

Ransomware-Angriffe mit SentinelOne verhindern

Die autonome KI-Bedrohungserkennung von SentinelOne kann Organisationen beim Schutz vor Malware, Ransomware, Phishing und allen Formen von Cyberbedrohungen unterstützen. Die Offensive Security Engine mit Verified Exploit Paths erkennt, wenn etwas nicht stimmt, deckt neue Angriffsvektoren auf und entschärft sie, bevor sie potenziell ausgenutzt werden können.

Der fortschrittliche Endpunktschutz von SentinelOne kann VMs, Workloads, Clouds, Container, Benutzer und Identitäten absichern. Purple AI, ein generativer KI-Cybersecurity-Analyst, kann einzigartige Einblicke in Angreifer und Sicherheits-Pipelines liefern. Sie erhalten die beste CI/CD-Pipeline-Sicherheit und eine angemessene Sicherheitsabdeckung. SentinelOne kann mehr als 750 verschiedene Arten von Secrets erkennen und das Leaken von Cloud-Zugangsdaten verhindern.

Sie können inaktive oder ruhende Konten identifizieren und nach bösartigen Prozessen scannen, bevor diese Konten übernehmen, Accounts kapern oder Privilegien eskalieren. SentinelOne kann aktive und passive Scans im Hintergrund durchführen und rund um die Uhr arbeiten, sendet automatisch Benachrichtigungen bei Problemen und eliminiert Fehlalarme.

Es bietet außerdem Snyk-Integration und verfügt über ein agentenloses, ganzheitliches CNAPP, das umfassenden Schutz bietet. Mit SentinelOne-Lösungen stellen Sie zudem die kontinuierliche Einhaltung regulatorischer Rahmenwerke wie SOC 2, NIST, HIPAA, CIS Benchmark und anderer sicher. Organisationen können mit den Plattformangeboten auch Angriffe auf Active Directory und Entra ID abwehren.

Tour starten

KI-gestützte Endpoint Detection and Response.

Fazit

Ransomware bleibt eine der gefährlichsten Bedrohungen für moderne Unternehmen, da sie Daten, Geschäftsprozesse und das Vertrauen der Kunden gefährdet. Bei Infiltrationsmethoden wie Phishing, Exploit-Kits oder lateraler Bewegung ist es wesentlich effektiver, die Ansätze auf individueller Ebene zu analysieren und mehrere Schutzebenen zu entwickeln. Das Stoppen der Infiltration ist jedoch nur ein Teil der Lösung; die Erkennung bösartiger Aktivitäten während eines Angriffs und solide Backup-Systeme bilden die anderen beiden Standbeine. Ob kurzlebige Cloud-Umgebung oder seit Jahren genutzter On-Premises-Server – Scans, Mitarbeiterschulungen und Mikrosegmentierung minimieren die Zahl der Eintrittsvektoren erheblich.

Keine einzelne Lösung ist ausreichend, wenn Kriminelle sich an neue Infiltrationsstrategien wie doppelte Erpressung oder die Integration fortschrittlicher Wurmfunktionen anpassen. Kontinuierliche Verbesserungen auf Basis klar definierter Richtlinien, bewährter Backups und adaptiver EDR-Lösungen halten Infiltrationen unter Kontrolle. In Kombination mit einem dedizierten Ransomware-Scanner oder einer KI-basierten Endpoint Protection Platform wie SentinelOne erhält Ihre Umgebung Echtzeit-Erkennung und automatische Behebung.