Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI-Sicherheits-Portfolio
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity || Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud || Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity || Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Identity Security
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      Digitale Forensik, IRR und Vorbereitung auf Sicherheitsvorfälle.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Ransomware-as-a-Service (RaaS)?
Cybersecurity 101/Intelligente Bedrohung/Ransomware-as-a-Service (RaaS)

Was ist Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service (RaaS) demokratisiert Cyberkriminalität. Erfahren Sie, wie dieses Modell funktioniert und wie Sie sich gegen seine Bedrohungen schützen können.

CS-101_Threat_Intel.svg
Inhaltsverzeichnis

Verwandte Artikel

  • Was ist Threat Detection and Response (TDR)?
  • Was sind Brute-Force-Angriffe?
  • Was ist Cyber-Resilienz? Vorteile und Herausforderungen
  • Was ist polymorphe Malware? Beispiele und Herausforderungen
Autor: SentinelOne
Aktualisiert: September 7, 2025

Ransomware-as-a-Service (RaaS) ermöglicht es Cyberkriminellen, Ransomware-Tools für Angriffe zu mieten. Dieser Leitfaden untersucht, wie RaaS funktioniert, welche Auswirkungen es auf Unternehmen hat und welche Strategien zur Prävention es gibt.

Erfahren Sie mehr über die Bedeutung von Mitarbeiterschulungen und robusten Sicherheitsmaßnahmen. Das Verständnis von RaaS ist für Unternehmen entscheidend, um sich vor Ransomware-Bedrohungen zu schützen.

Das Aufkommen von RaaS verstärkt die Dringlichkeit für Unternehmen, ihre Cybersicherheit zu verbessern, robuste Abwehrmaßnahmen zu implementieren und Prioritäten zu setzen Incident Response zu priorisieren. Die Abwehr der Bedrohung durch RaaS hat höchste Priorität im fortwährenden Kampf um den Schutz sensibler Informationen und die Aufrechterhaltung der digitalen Widerstandsfähigkeit.

Ein kurzer Überblick über Ransomware-as-a-Service

Ransomware-as-a-Service (RaaS) hat in der aktuellen Cybersicherheitslandschaft erheblich zur Verbreitung von Ransomware-Angriffen beigetragen. Dieses Bedrohungsmodell bietet Cyberkriminellen unabhängig von ihren technischen Fähigkeiten die Tools und die Infrastruktur, um Ransomware-Angriffe durchzuführen, und senkt damit die Einstiegshürde in die Welt der digitalen Erpressung.

RaaS tauchte erstmals Mitte der 2010er Jahre auf. Frühe Ransomware-Varianten wie CryptoWall und Locky zeigten das Potenzial für lukrative Lösegeldzahlungen und veranlassten Cyberkriminelle, nach leichter zugänglichen Methoden für die Durchführung von Angriffen zu suchen. RaaS entstand als Antwort auf diese Nachfrage und ermöglichte es erfahrenen Ransomware-Entwicklern, ihre Schadsoftware, Support-Services und sogar Partnerprogramme an technisch weniger versierte Kriminelle zu vermieten. Dieser Ansatz demokratisierte die Cyberkriminalität und ermöglichte es einem breiteren Spektrum von Bedrohungsakteuren, Ransomware-Kampagnen durchzuführen.

Heute hat sich RaaS zu einem komplexen Untergrund-Ökosystem entwickelt. Cyberkriminelle können leicht auf RaaS-Plattformen im Dark Web, wo sie Ransomware-Varianten mieten oder kaufen und Kundensupport sowie Tutorials zur Durchführung und Verwaltung von Angriffen erhalten können. Diese Plattformen bieten oft auch Gewinnbeteiligungsmodelle an, bei denen Partner und Ransomware-Betreiber die Lösegeldzahlungen untereinander aufteilen, was für Cyberkriminelle einen Anreiz zur Teilnahme darstellt.

RaaS hat zu einem exponentiellen Anstieg von Ransomware-Vorfällen in verschiedenen Branchen und Organisationen geführt, von kleinen Unternehmen bis hin zu großen Konzernen. Diese Verbreitung hat zu erheblichen finanziellen Verlusten, Datenverstößen und Störungen kritischer Dienste geführt. RaaS hat auch die Bedrohungslandschaft diversifiziert, wodurch es immer schwieriger wird, Angriffe zu verfolgen und bestimmten Akteuren zuzuordnen.

So funktioniert Ransomware-as-a-Service

Aus technischer Sicht funktioniert RaaS als Servicemodell, bei dem ein Entwickler oder eine Gruppe Affiliates oder Nutzern Ransomware-Software und die dazugehörige Infrastruktur zur Verfügung stellt, sodass diese Ransomware-Angriffe durchführen können, ohne die Malware selbst erstellen zu müssen. Hier finden Sie eine detaillierte technische Erklärung der Funktionsweise von RaaS:

Einrichtung der RaaS-Infrastruktur

RaaS-Betreiber schaffen die notwendige Infrastruktur für die Verbreitung und Verwaltung von Ransomware-Kampagnen. Dazu gehört die Einrichtung von Command-and-Control-Servern (C2), Zahlungsportalen und sicheren Kommunikationskanälen.

Entwicklung von Ransomware

RaaS-Entwickler erstellen die eigentliche Ransomware-Variante, komplett mit Verschlüsselungsalgorithmen, Lösegeldforderungen und allen einzigartigen Funktionen oder Taktiken. Die Ransomware ist oft polymorph gestaltet, d. h. sie kann ihren Code ändern, um der Erkennung durch Antivirensoftware zu entgehen.

Onboarding von Affiliates

RaaS-Betreiber rekrutieren Affiliates oder Nutzer, die an Ransomware-Angriffen interessiert sind. Diese Affiliates verfügen möglicherweise über unterschiedliche technische Fachkenntnisse. Affiliates registrieren sich auf der RaaS-Plattform und erhalten Zugriff auf die Ransomware-Toolkits sowie Anweisungen zu deren Einsatz und Verbreitung.

Anpassung und Konfiguration

Partner können die Parameter der Ransomware anpassen, z. B. die Höhe des Lösegeldes, die Art der Kryptowährung (z. B. Bitcoin oder Monero) und die Verschlüsselungseinstellungen. Sie können auch die Verbreitungsmethoden wählen, z. B. E-Mail-Phishing-Kampagnen, bösartige Websites oder die Ausnutzung von Software-Schwachstellen.

Erstellung der Nutzlast

Partner nutzen die RaaS-Plattform, um maßgeschneiderte Ransomware-Nutzlasten zu erstellen, bei denen es sich im Wesentlichen um ausführbare Dateien handelt, die die Malware enthalten. Die Nutzlast umfasst den Ransomware-Code, Verschlüsselungsroutinen und eine vordefinierte Liste von Zieldateien und -verzeichnissen.

Verbreitung und Infektion

Die Partner verbreiten die Ransomware-Payloads auf verschiedene Weise, beispielsweise über Phishing-E-Mails, bösartige Anhänge oder durch Ausnutzen von Software-Schwachstellen. Wenn das System eines Opfers infiziert ist, beginnt die Ransomware mit der Verschlüsselung von Dateien, sodass diese für das Opfer unzugänglich werden.

Kommunikation mit dem C2-Server

Die Ransomware kommuniziert mit dem vom RaaS-Anbieter betriebenen C2-Server. Diese Verbindung wird verwendet, um erfolgreiche Infektionen zu melden, Entschlüsselungscodes abzurufen und Lösegeldzahlungen abzuwickeln.

Interaktion mit den Opfern

Nach der Infektion erhalten die Opfer eine Lösegeldforderung mit Zahlungsanweisungen und Informationen zur Kontaktaufnahme mit den Angreifern. Die Opfer werden zu einem vom RaaS-Betreiber gehosteten Zahlungsportal weitergeleitet, wo sie das Lösegeld in Kryptowährung überweisen können.

Entschlüsselungsprozess

Sobald das Lösegeld bezahlt ist, stellt der RaaS-Betreiber den Entschlüsselungscode dem Partner oder Nutzer zur Verfügung, der ihn wiederum an das Opfer weitergibt. Die Opfer können dann den Entschlüsselungscode verwenden, um ihre verschlüsselten Dateien zu entsperren.

Zahlungsaufteilung und Anonymität

Der RaaS-Betreiber und der Partner teilen sich in der Regel die Lösegeldzahlung, wobei ein Prozentsatz an den Betreiber für die Bereitstellung der Plattform und der Infrastruktur geht. Kryptowährungstransaktionen sind so konzipiert, dass sie anonym sind, was es schwierig macht, die Zahlungsempfänger zu verfolgen.

Berichterstattung und Überwachung

RaaS-Plattformen stellen Affiliates häufig Dashboards und Tools zur Verfügung, mit denen sie den Fortschritt ihrer Kampagnen überwachen, Infektionen verfolgen und Lösegeldzahlungen in Echtzeit einsehen können.

Support und Updates

RaaS-Anbieter bieten Affiliates möglicherweise technischen Support, einschließlich Updates des Ransomware-Codes, um Sicherheitsmaßnahmen zu umgehen oder die Funktionalität zu verbessern.

Tiefer gehende Bedrohungsdaten erhalten

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Anwendungsfälle von Ransomware-as-a-Service

Ransomware-as-a-Service (RaaS) hat die Cyberkriminalität revolutioniert und macht leistungsstarke Ransomware-Tools und -Dienste für eine Vielzahl von Angreifern zugänglich. Hier sind einige Anwendungsfälle von RaaS aus der Praxis, ihre Bedeutung und die Maßnahmen, die Unternehmen ergreifen, um sich gegen die Risiken zu schützen.

REvil RaaS

REvil ist einer der berüchtigtsten RaaS-Betriebe. Sie stellen ihre Ransomware-Tools Affiliates zur Verfügung, die weltweit Angriffe auf Unternehmen und Institutionen durchführen.

  • Bedeutung – Das RaaS-Modell von REvil ermöglicht es einer Vielzahl von Angreifern, Ransomware-Angriffe mit unterschiedlichem Schwierigkeitsgrad durchzuführen. Diese Angriffe führen häufig zu Datenverstößen, Ausfallzeiten und erheblichen Lösegeldforderungen.
  • Sicherheitsmaßnahmen – Unternehmen konzentrieren sich auf umfassende Backup- und Disaster-Recovery-Lösungen, verbessern die Endpunktsicherheit und verstärken die Schulung ihrer Mitarbeiter, um das Risiko zu verringern, Opfer von REvil und ähnlichen RaaS-Gruppen zu werden.

DarkTequila Ransomware

DarkTequila ist ein Beispiel für RaaS, das sich vor allem gegen Privatpersonen und Unternehmen in Lateinamerika richtete. Sie verschlüsselte nicht nur Daten, sondern stahl auch sensible Informationen wie Anmeldedaten und Finanzdaten.

  • Bedeutung – Die Kombination aus Datenverschlüsselung und Datendiebstahl stellt eine erhebliche Bedrohung für Unternehmen dar. Sie unterstreicht die Notwendigkeit robuster Endpunktsicherheit, Datenschutz und sicherer Backup-Lösungen.
  • Sicherheitsmaßnahmen – Unternehmen setzen fortschrittliche Endpoint Detection and Response (EDR)-Lösungen ein, implementieren Maßnahmen zur Verhinderung von Datenverlusten (DLP) (DLP) und verbessern die Schulung ihrer Mitarbeiter, um sich vor Bedrohungen wie DarkTequila zu schützen.

Phobos-Ransomware

Phobos-Ransomware funktioniert als RaaS, wodurch Partner die Payloads der Ransomware anpassen und verbreiten können. Sie hat es auf Unternehmen abgesehen, verschlüsselt Daten und fordert Lösegeld.

  • Bedeutung – Phobos zeigt die Anpassungsfähigkeit von RaaS, die es Angreifern ermöglicht, Ransomware-Kampagnen auf bestimmte Ziele oder Branchen zuzuschneiden. Unternehmen müssen mehrschichtige Sicherheitsmaßnahmen ergreifen, um solche Bedrohungen abzuwehren.
  • Sicherheitsmaßnahmen – Unternehmen implementieren E-Mail-Filterlösungen, erweiterte Bedrohungserkennung und kontinuierliche Überwachung, um Phobos-Ransomware-Angriffe zu erkennen und zu blockieren, bevor sie Schaden anrichten können.

Dharma Ransomware

Dharma ist ein Beispiel für einen RaaS-Betrieb, der eine Vielzahl von Unternehmen ins Visier genommen hat und häufig Schwachstellen im Remote Desktop Protocol (RDP) ausnutzt, um Zugriff zu erlangen und Ransomware zu installieren.

  • Bedeutung – Der Erfolg von Dharma unterstreicht, wie wichtig es ist, Fernzugriffslösungen zu sichern, regelmäßige Schwachstellenanalysen durchzuführen und Patches anzuwenden, um den ersten Zugriff durch Angreifer zu verhindern.
  • Sicherheitsmaßnahmen – Unternehmen führen eine robuste Netzwerksegmentierung ein, um laterale Bewegungen zu begrenzen, stärken die RDP-Sicherheit durch starke Passwörter und Zwei-Faktor-Authentifizierung und verbessern ihre Patch-Management-Praktiken.

Ryuk-Ransomware

Ryuk, oft in Verbindung mit RaaS, zielt auf hochwertige Ziele wie Organisationen im Gesundheitswesen und Regierungsbehörden ab. Sie ist dafür bekannt, gezielte Angriffe durchzuführen und hohe Lösegeldforderungen zu stellen.

  • Bedeutung – Ryuk ist ein Beispiel dafür, wie RaaS-Gruppen Angriffe sorgfältig planen und durchführen, um ihre Gewinne zu maximieren. Unternehmen benötigen fortschrittliche Bedrohungsinformationen und Fähigkeiten zur Reaktion auf Vorfälle, um sich gegen solche Bedrohungen zu verteidigen.
  • Sicherheitsmaßnahmen – Unternehmen investieren in Threat Hunting und den Austausch von Informationen, verbessern die E-Mail-Sicherheit, um Phishing-Versuche zu erkennen, und entwickeln umfassende Pläne zur Reaktion auf Vorfälle, um Ryuk und ähnliche Bedrohungen zu bekämpfen.

Um sich gegen die mit Ransomware-as-a-Service verbundenen Risiken zu schützen, ergreifen Unternehmen mehrere proaktive Maßnahmen:

  • Sicherung und Wiederherstellung – Durch die Aufbewahrung verschlüsselter Offline-Backups wichtiger Daten können Unternehmen Daten wiederherstellen, ohne Lösegeld zahlen zu müssen.
  • Erweiterte Endpunktsicherheit – Ein robuster Endpunktschutz, einschließlich EDR Lösungen, hilft dabei, Ransomware zu erkennen und zu blockieren, bevor sie ausgeführt werden kann.
  • E-Mail-Filterung – Verbesserte E-Mail-Filterlösungen können Phishing-E-Mails mit Ransomware-Payloads identifizieren und unter Quarantäne stellen.
  • Benutzerschulungen – Die Aufklärung der Mitarbeiter über die Risiken von Phishing und Social-Engineering-Angriffen ist entscheidend für die Verhinderung von Ransomware-Infektionen.
  • Vulnerability Management – Bewerten und beheben Sie regelmäßig Schwachstellen, um die Angriffsfläche zu reduzieren und den ersten Zugriff durch Bedrohungsakteure zu verhindern.
  • Planung der Reaktion auf Vorfälle – Entwickeln und testen Sie Pläne für die Reaktion auf Vorfälle, um im Falle eines Ransomware-Vorfalls eine schnelle und effektive Reaktion zu gewährleisten.
  • Austausch von Bedrohungsinformationen – Die Zusammenarbeit mit Branchenkollegen zum Austausch von Bedrohungsinformationen hilft Unternehmen, über neue Bedrohungen und RaaS-Aktivitäten auf dem Laufenden zu bleiben.

Fazit

RaaS hat das Ransomware-Geschäft demokratisiert und ermöglicht es auch technisch weniger versierten Personen, verheerende Angriffe zu starten. Diese Kommerzialisierung von Ransomware hat zu einem exponentiellen Anstieg von Angriffen in allen Branchen geführt, die sich gegen große und kleine Unternehmen richten. Die Folgen sind verheerend und reichen von schwerwiegenden finanziellen Verlusten über Datenverstöße bis hin zu Reputationsschäden. Die Notwendigkeit, RaaS einen Schritt voraus zu sein, ergibt sich aus dem Ausmaß und der Anpassungsfähigkeit dieser Bedrohung. Ransomware-Angriffe können sich schnell weiterentwickeln, und Cyberkriminelle können leicht auf diese Dienste zugreifen, sodass es für Unternehmen unerlässlich ist, ihre digitalen Assets proaktiv zu schützen.

Um die Bedrohung durch RaaS zu mindern, sind robuste Cybersicherheitsmaßnahmen erforderlich, darunter regelmäßige Updates und Patches, Mitarbeiterschulungen, strenge Zugriffskontrollen und umfassende Backup-Strategien. Außerdem sind Wachsamkeit und die Fähigkeit erforderlich, sich an neue Bedrohungen anzupassen.

"

Häufig gestellte Fragen zu Ransomware as a Service

RaaS ist ein kriminelles Modell, bei dem Entwickler Ransomware-Toolkits erstellen und warten und diese dann an Partner vermieten, die Angriffe starten. Die Partner erhalten eine fertige Payload, Zahlungsportale und Support als Gegenleistung für Abonnementgebühren oder einen Anteil an den Lösegeldzahlungen.

Dadurch können auch technisch weniger versierte Akteure komplexe Ransomware einsetzen, ohne selbst Code schreiben zu müssen.

Die Betreiber hosten Ransomware-Builder, Command-and-Control-Infrastruktur und Zahlungsportale. Partner abonnieren diese Tools und zahlen dafür monatliche Gebühren, einmalige Lizenzen oder Gewinnanteile.

Sie kümmern sich um den ersten Zugriff, setzen die Malware ein und verhandeln mit den Opfern. Die Betreiber konzentrieren sich auf Funktionsupdates und die Infrastruktur, während die Partner die Ransomware verbreiten und die Gewinnanteile an die Entwickler weiterleiten.

Es gibt Betreiber (Entwickler), die die Malware erstellen und die Infrastruktur hosten, Partner, die die Malware kaufen oder abonnieren und Infektionen durchführen, sowie Initial Access Broker, die Zugangspunkte verkaufen. Nach der Bereitstellung können Verhandlungsführer die Kommunikation mit den Opfern und die Erpressung von Zahlungen übernehmen. Manchmal schließen sich Geldwäscher oder Administratoren von Leak-Seiten an, um gestohlene Daten zu veröffentlichen, wenn die Lösegeldforderungen nicht erfüllt werden.

Achten Sie auf ungewöhnliche Privilegienerweiterungen – neue Administratorkonten oder Serviceinstallationen –, insbesondere nach Spear-Phishing. Überwachen Sie unerwartete C2-DNS-Lookups und ausgehende Verbindungen mit hohem Datenvolumen zu unbekannten IPs. Achten Sie auf plötzliche Spitzen bei Datei-Hashing-Fehlern oder neuen ausführbaren Dateien auf kritischen Servern. Frühzeitige Warnmeldungen in Ihrem SIEM oder XDR zu diesen Anomalien können auf eine sich anbahnende RaaS-Kampagne hinweisen.

Zu den IOCs gehören häufig eindeutige Dateinamen von Lösegeldforderungen, neue Dateierweiterungen (wie .lockbit oder .crYpt), verdächtige geplante Aufgaben zur Dateiverschlüsselung und gelöschte VSS-Schattenkopien über vssadmin-Befehle. Achten Sie auf Verbindungen zu bekannten RaaS-assoziierten IPs oder Domains, ungewöhnliche Powershell- oder WMIC-Befehle und Exfiltrationsmuster, die von der Netzwerküberwachung gemeldet werden.

Eine XDR-Plattform wie SentinelOne Singularity kann bösartige Prozesse erkennen und blockieren, Änderungen durch Ransomware automatisch rückgängig machen und Warnmeldungen von Endpunkten bis zur Cloud zentralisieren. Ergänzen Sie sie durch Anti-Malware-Suiten, sichere Backups und SIEM/SOAR-Integrationen, um die Eindämmung zu automatisieren. Regelmäßige Sicherheitsaudits und die Absicherung von Endpunkten stärken ebenfalls die Abwehr gegen RaaS-Toolkits.

XDR sammelt Daten von Endpunkten, Netzwerken, E-Mails und der Cloud und nutzt Analysen, um mehrstufige Angriffe frühzeitig zu erkennen. Es korreliert ungewöhnliches Dateiverschlüsselungsverhalten, Netzwerk-Anomalien und Privilegienerweiterungen über alle Ebenen hinweg.

Automatisierte Playbooks können infizierte Hosts isolieren, bösartige Prozesse beenden und verschlüsselte Dateien wiederherstellen – und so verhindern, dass sich die Ransomware weiterverbreitet oder Lösegeldforderungen gestellt werden.

Erfahren Sie mehr über Intelligente Bedrohung

Was ist Adware? Tipps zur Erkennung und PräventionIntelligente Bedrohung

Was ist Adware? Tipps zur Erkennung und Prävention

Dieser ausführliche Leitfaden erklärt Adware und behandelt dabei Definition, Infektionswege, Erkennungsmethoden und Tipps zur Vorbeugung. Erfahren Sie, wie Sie Adware entfernen, Geräte sichern und Unternehmen vor Adware-Bedrohungen schützen können.

Mehr lesen
Was sind Indikatoren für Kompromittierung (IoCs)?Intelligente Bedrohung

Was sind Indikatoren für Kompromittierung (IoCs)?

Mehr lesen
Was ist ein Exploit in der Cybersicherheit?Intelligente Bedrohung

Was ist ein Exploit in der Cybersicherheit?

Es ist entscheidend, Exploits zu verstehen und sich dagegen zu schützen. Informieren Sie sich über die verschiedenen Arten von Exploits und die praktischen Maßnahmen, mit denen Sie Ihre Systeme vor potenziellen Bedrohungen schützen können.

Mehr lesen
Was ist Detection Engineering?Intelligente Bedrohung

Was ist Detection Engineering?

Dieser Leitfaden erläutert die Erkennungstechnik und behandelt dabei ihre Definition, ihren Zweck, ihre Schlüsselkomponenten, Best Practices, ihre Relevanz für die Cloud und ihre Rolle bei der Verbesserung der Echtzeit-Sichtbarkeit und des Schutzes vor Bedrohungen.

Mehr lesen
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Deutsch
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2025 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen