Ransomware

Ransomware ist eine Kategorie von Schadsoftware (Malware), die darauf ausgerichtet ist, Dateien oder gesamte Systeme zu verschlüsseln und anschließend ein Lösegeld (Ransom) für den Entschlüsselungsschlüssel zu fordern. Moderne Ransomware-Gruppen operieren mit professionellen Unternehmensstrukturen, Support-Teams und sogar SLA-Garantien für die Entschlüsselung nach Zahlung.

Geschichte

1989 - AIDS Trojan (PC Cyborg) Die erste dokumentierte Ransomware verbreitete sich per Diskette auf AIDS-Forschungskonferenzen. Sie verschlüsselte Dateinamen und forderte $189 an eine Postfachadresse in Panama.

2013 - CryptoLocker Beginn der modernen Ransomware-Ära. CryptoLocker nutzte erstmals starke RSA-2048-Verschlüsselung und Bitcoin für anonyme Zahlungen. Innerhalb weniger Monate wurden mehrere Millionen Dollar erpresst.

2016 - GoldenEye Eine auf Petya basierende Ransomware, die gezielt Personalabteilungen angriff. Gefälschte Bewerbungsschreiben im XLS-Format forderten die Aktivierung von Office-Makros, woraufhin die Verschlüsselung startete.

2017 - WannaCry Die bislang verheerendste globale Ransomware-Attacke. WannaCry nutzte den NSA-Exploit EternalBlue für die SMB-Protokollschwachstelle (CVE-2017-0144) und infizierte binnen Stunden über 200.000 Systeme in 150 Ländern — darunter den britischen NHS und die Deutsche Bahn. Über 98 % der betroffenen Systeme liefen unter Windows 7. Die Lösegelder flossen trotz der enormen Schadenswirkung kaum: Die bekannten Bitcoin-Wallets verzeichneten nur ca. 175 Zahlungen.

2017 - NotPetya Technisch als Ransomware getarnt, aber tatsächlich ein Wiper (Sabotage). NotPetya verursachte laut Schätzungen Schäden von über $10 Milliarden — der teuerste Cyberangriff der Geschichte.

2019 - LockerGoga, GandCrab, Emotet Das Jahr markierte eine deutliche Eskalation. LockerGoga legte den norwegischen Aluminiumkonzern Norsk Hydro lahm. GandCrab richtete sich als RaaS-Plattform an Affiliates. Emotet agierte als Dropper für Ransomware-Nachladungen und traf Frankfurts Stadtverwaltung, die Justus-Liebig-Universität Gießen und das Berliner Kammergericht.

2019 - Double Extortion (Doppelte Erpressung) Die Ransomware-Gruppe REvil/Sodinokibi pionierte die Strategie, Daten vor der Verschlüsselung zu stehlen und bei Nicht-Zahlung mit Veröffentlichung zu drohen. Dies machte Backups allein nicht mehr ausreichend.

2019-heute - Ransomware-as-a-Service (RaaS) Professionalisierung des Geschäftsmodells: Entwickler (Core Teams) stellen ihre Ransomware-Plattformen an Affiliates bereit, die die eigentlichen Angriffe durchführen und einen Anteil (typisch 20–30 %) der Lösegelder zahlen.

2021 - Emotet-Zerschlagung Am 26. Januar 2021 zerschlugen Strafverfolgungsbehörden aus acht Ländern (Deutschland, Niederlande, Ukraine, Litauen, Frankreich, England, Kanada, USA) koordiniert die Infrastruktur von Emotet. Da der Quellcode möglicherweise kursiert, blieb die Gefahr einer Neuauflage bestehen.

Technischer Ablauf eines Ransomware-Angriffs

Laut IBM X-Force 2024 beträgt die durchschnittliche Dwell Time — die Zeit zwischen Erstzugang und sichtbarem Schaden — 194 Tage. Ransomware-Angriffe sind kein spontanes Ereignis, sondern das Ergebnis wochenlanger Vorbereitung.

Schritt 1: Initial Access

Häufigste Einfallstore:

• Phishing-E-Mails mit Malware-Anhängen oder Links zu Drive-by-Downloads. Klassisches Beispiel: gefälschte Bewerbungsunterlagen (GoldenEye, GermanWiper, Ordinypt, GandCrab), die Makros aktivieren oder schädliche EXEs als PDFs tarnen.
• Ausnutzung öffentlicher Dienste: RDP-Ports (3389), VPN-Gateways mit bekannten Schwachstellen. Pay2Key verschlüsselte 2020 ganze Netzwerke über RDP innerhalb einer Stunde.
• Kompromittierte Zugangsdaten: Gekaufte oder geleakte Credentials für VPNs und Remote-Zugangs-Systeme (Credential Stuffing).
• BadUSB / physische Angriffsvektoren: Die Gruppe FIN7 verschickte 2022 physische Pakete mit BadUSB-Sticks (getarnt als Geschenkboxen oder Covid-Leitlinien des US-Gesundheitsministeriums) an Unternehmen der US-Rüstungsindustrie. Die Sticks meldeten sich als USB-Tastatur an, umgingen so USB-Sperren und lieferten die Ransomware-Payload.
• Supply-Chain-Kompromittierung: Angriff über Software-Updates (wie bei SolarWinds).

Schritt 2: Persistence und Privilege Escalation

Nach dem initialen Zugang etablieren Angreifer persistente Backdoors — über Scheduled Tasks, Registry-Autoruns oder WMI Event Subscriptions — und eskalieren ihre Rechte auf Domänenadministrator-Niveau:

• Kerberoasting (Event ID 4769 + RC4 als Erkennungsindikator)
• Pass-the-Hash mit Mimikatz (LSASS Memory Access — Sysmon Event ID 10)
• Missbrauch legitimer Tools (LOLBins: PowerShell, WMI, PsExec)

Schritt 3: Lateral Movement

Mit Domain-Admin-Rechten breiten sich Angreifer per PsExec, WMI Remote Execution oder GPO-Deployment auf weitere Systeme aus. Emotet war besonders effektiv darin: Nach der Erstinfektion las der Trojaner automatisch Outlook-Kontakte aus und verschickte Phishing-Mails im Namen des Opfers (Dynamit-Phishing) — ohne manuelle OSINT-Arbeit des Angreifers.

Schritt 4: Exfiltration (Double Extortion)

Wochen vor der Verschlüsselung stehlen Angreifer still Unternehmensdaten — oft über legitime Cloud-Dienste wie MEGA oder Dropbox, um Filterung zu umgehen. Dies erzeugt ein zweites Druckmittel: Selbst bei erfolgreichem Backup-Recovery drohen die Angreifer mit Datenpublikation.

Schritt 5: Impact — Verschlüsselung

Kurz vor der Ausrollung vernichten Angreifer Backups und Recovery-Optionen:

vssadmin delete shadows /all /quiet
bcdedit /set {default} recoveryenabled No

Das Löschen von Shadow Copies ist eines der verlässlichsten Frühwarnzeichen und sollte in jedem SIEM einen sofortigen Alert auslösen.

Die Verschlüsselung selbst nutzt ein hybrides Schema: RSA-4096 für den Schlüsselaustausch, AES-256 für die eigentliche Dateiverschlüsselung. Moderne Gruppen wie LockBit 3.0 benötigen pro Server ca. 5 Minuten; bei gleichzeitigem Rollout über GPO gibt es keinen Ausweg mehr. Egregor drukte 2020 Lösegeldforderungen zusätzlich auf allen erreichbaren Netzwerkdruckern und Registrierkassen aus — ein taktischer Trick, um Opfer zu exponieren und Druck zu erhöhen.

Bekannte Ransomware-Familien

GermanWiper (2019)

Besonders tückisch: GermanWiper verschlüsselte Dateien nicht, sondern überschrieb sie mit Nullen — eine Dateiwiederherstellung war nach Zahlung des Lösegelds technisch unmöglich. Verbreitung per gefälschten Bewerbungs-E-Mails. BSI und CERT-Bund warnten explizit: Zahlen hilft nicht.

Ordinypt (2019)

Ähnlich wie GermanWiper ein destruktiver Wiper, der sich als Ransomware tarnte. Ziel: deutsche Unternehmen. Verbreitung über gefälschte Bewerbungen einer „Eva Richter". Die verschlüsselten Dateien erhielten die kryptische Endung MyyqA. Lösegeldforderung ca. 1.300 EUR in Bitcoin.

Emotet (2014–2021)

Technisch kein klassischer Ransomware-Angriff, sondern ein hochentwickelter Banking-Trojaner und Dropper: Emotet lud nach der Infektion Ransomware wie Ryuk oder TrickBot nach. Verbreitung über Dynamit-Phishing (automatischer E-Mail-Versand im Namen des Opfers). Abgeschaltet durch internationale Strafverfolgung im Januar 2021.

LockerGoga (2019)

Traf den norwegischen Aluminiumproduzenten Norsk Hydro und verschlüsselte das Active Directory, was konzernweite Authentifizierung blockierte. Verbreitungsweg unklar, vermutlich gezielter Angriff mit einzigartigen Codes.

REvil/Sodinokibi (2019–2021)

Pioniere der Double-Extortion-Strategie. REvil-Entwickler gaben öffentlich an, in einem Jahr ca. 100 Millionen USD erpresst zu haben. Verantwortlich für den Kaseya-Angriff ($70 Mio. Lösegeld gefordert). Bekanntes RaaS-Modell.

Maze (2019–2020)

Erste bekannte Gruppe die Double Extortion im großen Stil einsetzte (Datenpublikation bei Nicht-Zahlung). Stellte 2020 den Betrieb offenbar ein — in der Branche spekuliert man auf den Kauf eines neuen Identitäts-Brandings. Bei Einstellung der Aktivitäten haben einige Gruppen in der Vergangenheit den Master-Schlüssel veröffentlicht.

Egregor (2020)

Nachfolgerin von Maze. Traf Spieleentwickler Ubisoft und Crytek (Frankfurt) — gestohlener Quellcode von Watch Dogs Legion wurde als Drohpfand verwendet. Taktisches Markenzeichen: Lösegeldforderungen per Netzwerkdrucker und Kassensystemen ausdrucken.

Pay2Key (2020)

Nutzte RDP als Einstiegsvektor und konnte ganze Netzwerke innerhalb einer Stunde verschlüsseln. Richtete einen internen Proxy ein, um Erkennung zu erschweren. Forderungen: 4–9 Bitcoin. Intern von den Entwicklern „Cobalt" genannt (Payload: Cobalt.Client.exe).

Please_Read_Me (2020)

Dateiloser Angriff auf MySQL-Datenbanken per Brute-Force. Kompromittierte ca. 85.000 Server und legte über 250.000 Datenbanken offen. Phase 1: direkte Lösegeldforderung. Phase 2: gestohlene Daten auf TOR-Server, automatische Veröffentlichung bei Nicht-Zahlung. Einnahmen ca. $24.906 — gering, aber der Angriff war extrem simpel.

LockBit (2019–2024)

Größte bekannte Ransomware-Gruppe mit bis zu 1.000 Opfern/Monat. Nutzte LockBit 3.0 mit RSA-4096 + AES-256 Hybrid-Schema. Infrastruktur 2024 durch internationale Strafverfolgung (Operation Cronos) zerschlagen.

BlackCat/ALPHV (2021–2024)

Erste größere Gruppe mit Go-basierter, plattformübergreifender Ransomware (Windows, Linux, VMware ESXi). Ebenfalls 2024 zerschlagen.

Cl0p (2019–aktiv)

Bekannt für Exploitation von Zero-Days in MOVEit Transfer, GoAnywhere MFT. Statt breiter Streuung: gezielter Massenangriff auf eine Schwachstelle, gleichzeitig hunderte Opfer.

Bekannte Ransomware-Vorfälle

Norsk Hydro (März 2019)

Der norwegische Aluminiumkonzern (109 Milliarden USD Umsatz, Präsenz in 50 Ländern) wurde von LockerGoga getroffen. Das befallene Active Directory blockierte jede Authentifizierung und Autorisierung im gesamten Konzern. Werke in Europa und Amerika wechselten in den manuellen Betrieb. Schaden: 60–73 Millionen USD (inkl. Wiederherstellungskosten). Der Aktienkurs fiel trotz exzellenter Krisenkommunikation (tägliche Facebook-Updates, Webcasts mit Management) um 3 %. Das NorCert hatte das Unternehmen vorab gewarnt — die Infektion ließ sich dennoch nicht verhindern.

Baltimore, USA (Mai 2019)

Ryuk-Ransomware legte die städtische IT komplett lahm: Rechnungsstellung, Wassergebühren, Genehmigungsprozesse — alles stand still. Gesamtschaden: 18,2 Millionen USD. Die Bürgermeisterin bestätigte, dass keine Lösegeldzahlung erfolgte.

Stadt Frankfurt am Main (Dezember 2019)

Emotet startete von einem einzigen infizierten Rechner im Bürgeramt Fechenheim. Frankfurts gesamte Stadtverwaltung musste offline genommen werden.

Justus-Liebig-Universität Gießen (Dezember 2019)

Ebenfalls Emotet. 38.000 Passwörter mussten händisch zurückgesetzt werden — durch physische Schlangen von Studierenden und Mitarbeitenden. Der Vorfall illustriert, was lateral movement in einem großen Netzwerk bedeutet.

Berliner Kammergericht (Oktober 2019 – 2020)

Emotet. Das Gericht war monatelang nur telefonisch, per Fax und postalisch erreichbar. Computer wurden ausschließlich als Schreibmaschinen genutzt. Das Ausmaß der Datenkompromittierung blieb lange unklar.

Stadt New Orleans (Dezember 2019)

Eine einzige Phishing-E-Mail löste eine Ryuk-Infektion aus, die 450 Server und 3.500 Laptops verschlüsselte. Die Cyberversicherung über 3 Millionen USD deckerte die Gesamtschäden nicht vollständig ab.

Swisswindows AG (Mai 2019 → Insolvenz 2020)

Der Schweizer Fensterbauer (170 Mitarbeitende, St. Gallen) erlitt einen Cyberangriff mit über einem Monat Produktionsausfall. Welche Malware eingesetzt wurde, ist nicht öffentlich bekannt — der monatelange Ausfall lässt einen Verschlüsselungstrojaner vermuten. Die Folgekosten trieben das bereits geschwächte Unternehmen in die Insolvenz. Ein seltener, aber dokumentierter Fall, in dem ein Ransomware-Angriff direkt zur Unternehmensauflösung führte.

Wempe, Hamburg (2019–2020)

Der Hamburger Luxusjuwelier zahlte nach einem Ransomware-Angriff mehr als eine Million Euro Lösegeld in Bitcoin, um seine IT-Systeme wieder freizuschalten. Während des Ausfalls konnten keine Rechnungen geschrieben werden; nur die Kassensysteme blieben verschont. Der Fall verdeutlicht das Dilemma: Zahlung löst das unmittelbare Problem, finanziert aber das kriminelle Geschäftsmodell und signalisiert Zahlungsbereitschaft.

Ubisoft / Crytek (Oktober 2020)

Die Ransomware-Gruppe Egregor kompromittierte die Netzwerke beider Spieleentwickler. Bei Crytek wurden laut Angreifern alle Systeme vollständig verschlüsselt. Bei Ubisoft wurden Daten gestohlen — darunter angeblich der Quellcode von Watch Dogs Legion. Egregor drohte mit schrittweiser Veröffentlichung.

Anwaltskammer (BeA-Informationsseite, Oktober 2020)

Eine ungeschützte MySQL-Datenbank (ohne Authentifizierung) ermöglichte den Angreifern Datenkopie und vollständige Löschung. Lösegeld: 0,06 Bitcoin (~570 EUR) — eine ungewöhnlich niedrige Forderung, die vermutlich damit zusammenhing, dass mehrere Angreifer gleichzeitig Zugriff hatten. Ein Penetrationstest hätte die Fehlkonfiguration vorab aufgedeckt.

Aebi Schmidt (April 2019)

Der Schweizer Hersteller von Flughafenunterhaltungs- und Straßenreinigungsfahrzeugen musste seinen gesamten internationalen Netzbetrieb kurzfristig einstellen. Das BSI gab am 24. April 2019 eine offizielle Warnmeldung zu eskalierenden Ransomware-Angriffen heraus.

Ransomware auf MongoDB-Datenbanken (Januar 2017)

Nicht eine einzelne Gruppe, sondern eine Angriffswelle: Angreifer identifizierten über Shodan rund 1.800 ungesicherte MongoDB-Installationen, kopierten die Daten, löschten die Datenbanken und forderten Lösegeld (0,2 Bitcoin, damals ca. 210 EUR). 78 % der betroffenen Installationen liefen mit bekannt verwundbaren Versionen. Die erste Angriffswelle erzielte zusammen ca. $24.900. Nachahmer folgten umgehend mit höheren Forderungen.

Ransomware-as-a-Service (RaaS)

Das RaaS-Modell hat Ransomware demokratisiert: Technisch weniger versierte Angreifer (Affiliates) können professionelle Schadsoftware mieten und Infrastruktur für Zahlungsabwicklung, Verhandlungen und Entschlüsselung nutzen.

Bekannte RaaS-Gruppen (historisch):

• LockBit (2019–2024): Größte bekannte Ransomware-Gruppe, bis zu 1.000 Opfer/Monat
• BlackCat/ALPHV (2021–2024): Erste größere Gruppe mit Go-basierter, plattformübergreifender Ransomware
• Cl0p (2019–aktiv): Bekannt für Exploitation von Zero-Days in MOVEit, GoAnywhere
• REvil/Sodinokibi (2019–2021): Verantwortlich für Kaseya-Angriff ($70 Mio. Lösegeld gefordert)

Schadensstatistiken

• 660 Millionen EUR an Schadensmeldungen verarbeitete die Allianz-Industrieversicherungstochter AGCS allein aus 1.736 Schadensmeldungen der Jahre 2015–2020, wobei Ransomware für den Großteil verantwortlich war.
• 85 % aller Cyber-Schadensmeldungen gehen auf Hacker-Aktivitäten zurück.
• 60 % der Gesamtkosten entfallen auf Betriebsausfälle — nicht auf die eigentliche Lösegeldzahlung.
• $2,73 Millionen durchschnittliche Lösegeldforderung 2024 (Coveware).
• 46 % der betroffenen Organisationen zahlen tatsächlich Lösegeld (Coveware 2024).
• ca. 20 % der zahlenden Opfer erhalten nie einen funktionierenden Entschlüsselungsschlüssel.
• 194 Tage durchschnittliche Dwell Time (IBM X-Force 2024) — der Angreifer ist monatelang unbemerkt im Netz.

Schutzmaßnahmen

Technisch

• Offline-Backups (3-2-1-1-0-Regel): 3 Kopien, 2 verschiedene Medien, 1 offsite, 1 air-gapped (offline, nicht löschbar durch Ransomware) — und 0 Wiederherstellungsfehler (regelmäßig testen!)
• Netzwerksegmentierung: Mikrosegmentierung verhindert laterale Ausbreitung
• Patch-Management: Kritische CVEs müssen innerhalb von 72 Stunden gepatcht werden
• MFA auf allen Remote-Zugängen: Kompromittierte Credentials allein reichen dann nicht; macht Credential-Stuffing-Angriffe nutzlos
• Privilegien-Minimierung + PAM: Kein normaler Nutzer benötigt Domänenadministrator-Rechte
• EDR/XDR-Lösungen: Endpoint Detection and Response für Verhaltensanalyse (LSASS-Zugriff, Shadow-Copy-Löschung als Alerts)
• E-Mail-Filtering: Anti-Phishing, DMARC/DKIM/SPF-Enforcement
• Hardware-Whitelisting: USB-Gerätesperren auf Basis erlaubter Hardware-IDs (schützt vor BadUSB-Angriffen wie FIN7)
• SIEM mit 90+ Tagen Log-Retention: Frühzeitige Erkennung der Angriffsphasen über Windows-Event-IDs
• Immutable Backups: Azure Backup Immutability, Veeam SOBR oder S3 Object Lock verhindern Löschung durch Ransomware

Organisatorisch

• Incident Response Plan: Schriftlich dokumentiert, regelmäßig geübt (Tabletop Exercises)
• Sicherheitsbewusstsein: Mitarbeiterschulungen und simulierte Phishing-Tests
• Krisenmanagement-Team: Wer entscheidet im Ernstfall über Zahlung/Nicht-Zahlung?
• Offline-Notfallkontaktliste: E-Mail gilt nach einem Ransomware-Angriff als kompromittiert

Sollte man Lösegeld zahlen?

Offizielle Empfehlung von BSI, BKA und Europol: Nein. Gründe:

1. Zahlung finanziert weitere kriminelle Aktivitäten
2. Keine Garantie auf Entschlüsselung (ca. 20 % erhalten nie funktionierende Schlüssel)
3. Statistische Wahrscheinlichkeit eines Folgeangriffs steigt
4. Mögliche OFAC-Sanktionsverletzung bei Zahlung an gelistete Gruppen (US-OFAC-Sanktionen gelten auch für Unternehmen außerhalb der USA — Gruppen wie CONTI, REvil und DarkSide waren zeitweise sanktioniert)

In der Praxis zahlen ca. 46 % der betroffenen Organisationen (Coveware 2024). Die durchschnittliche Lösegeldforderung lag 2024 bei $2,73 Millionen.

Im Angriffsfall: Sofortmaßnahmen

1. Systeme vom Netz trennen — nicht sofort ausschalten (forensische Beweise im RAM erhalten; RAM-Dump mit WinPmem wenn möglich)
2. Fotos der Bildschirme anfertigen (Lösegeldforderung, Dateinamen, Uhrzeit)
3. BSI/BKA benachrichtigen (bei KRITIS-Betreibern verpflichtend nach NIS2 — 24 Stunden Frühwarnung, 72 Stunden Erstmeldung)
4. DSGVO-Meldung an zuständige Landesdatenschutzbehörde innerhalb von 72 Stunden, wenn personenbezogene Daten betroffen
5. Incident Response Team aktivieren — extern wenn nötig (DFIR-Kosten: ca. 5.000–50.000 EUR, reduzieren Ausfallzeit von Wochen auf Tage)
6. Backups überprüfen — sind sie kompromittiert? Viele Gruppen warten 2–4 Wochen nach Erstzugang, bevor sie verschlüsseln, und nutzen diese Zeit für Backup-Sabotage.
7. Ransomware identifizieren — ID Ransomware (malwarehunterteam.com) oder NoMoreRansom.org (kostenlose Decryptors für 150+ Varianten)
8. Keine eigenständige Verhandlung — Hinzuziehen von Spezialisten; vor Zahlung immer Sanktionslisten prüfen

Weiterführende Informationen: AWARE7 Notfallhilfe bei Cyberangriffen