Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention

Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

[datensicherheit.de, 16.07.2025] Laut Medienberichten haben sich Angriffe mit sogenannter Ransomware im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar. Auch die Zahl aktiver Ransomware-Banden sei im letzten Jahr – 2024 – sprunghaft angestiegen. Demnach sind derzeit 65 Gruppen aktiv, „wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben“. Kay Ernst von Zero Networks gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware.

Kay Ernst: Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!

Ransomware auf den Punkt gebracht

Ernst erklärt: „Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird.“ Angreifer verlangten oft Zahlungen in „Krypto-Währungen“, um die Rückverfolgung zu erschweren.

• Das „Double Extortion“-Modell, also eine doppelte Erpressung mit Ransomware mache sie besonders gefährlich:

Zusätzlich zur Sperrung von Dateien exfiltrierten viele Ransomware-Varianten auch noch Daten – und die -Banden drohten dann mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Ransomware-Angriffe kaum zu stoppen

Da das Ransomware-Geschäft so profitabel sei, könnten Cyberkriminelle talentierte Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte „Tools“ (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie „Hypervisor Jackpotting“ und die Umgehung von EDR (Endpoint Detection and Response) zu erforschen.

• Mit anderen Worten: „Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, so dass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen!“

Ransomware-Angriffe seien in der Regel hochentwickelt – sie nutzten oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig mache, sie zu erkennen, bevor es zu spät ist.

Ransomware-Funktionen im Phasenmodell

Es gebe zwar verschiedene Arten von Ransomware, aber in den meisten Fällen würden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen könnten, folgten sie im Allgemeinen dem gleichen Ablauf. Ransomware-Angriffe erfolgen laut Ernst in der Regel in sechs Phasen:

1. Aufklärungsphase
   Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
2. Infektionsphase
   Sie verschaffen sich ersten Zugriff – „häufig über Phishing-E-Mails, ,Exploit-Kits’ oder kompromittierte Anmeldedaten“.
3. Eskalationsphase
   Die Angreifer bewegen sich lateral durch das Netzwerk und erweiteren ihre Berechtigungen – „um an sensible Systeme zu gelangen“.
4. Scanphase
   Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
5. Verschlüsselungsphase
   Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln – „oft begleitet von der Löschung von Backups oder Schattenkopien“.
6. Erpressungsphase:
   Die Angreifer verlangen eine Lösegeldzahlung für die Herausgabe des Entschlüsselungscodes – „oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen“.

Ransomware-Typen im Überblick

Angreifer verwendeten bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter laut Ernst:

• Verschlüsselnde Ransomware
  Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, so dass Angreifer Lösegeld für die Entschlüsselung verlangen können.
• Scareware
  Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht „Scareware“ den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
• Screen Lockers
  Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können – „bis ein Lösegeld gezahlt wird“.
• DDoS-Erpressung
  Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt – „sofern keine Zahlung erfolgt“.
• Ransomware-as-a-Service (RaaS)
  Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler „Ransomware-Kits“ an andere Cyberkriminelle.

Umfassende Ransomware-Abwehr u.a. mittels proaktiver Sicherheitskontrollen

Ernst betont warnend: „Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird.“

• Die besten Strategien zur Ransomware-Prävention behandelten Ransomware eben als unvermeidbar – „und nehmen ihr dann ihre Fähigkeit zur Verbreitung“.

Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Einsatz proaktiver Sicherheitskontrollen empfohlen

Da Ransomware-Angriffe so oft unentdeckt blieben, böten präventive Kontrollen laut Ernst den besten Schutz:

• Mikrosegmentierung
  Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, „in denen das interne Netzwerk gescannt wird“, als auch für die späteren Phasen, „in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten“. Ein segmentiertes Netzwerk schneidet Angreifer ab, so dass sie fast nichts tun können, um sich zu verbreiten.
• Multi-Faktor-Authentifizierung (MFA)
  Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern – „die sie oft nur allzu leicht stehlen oder knacken können“. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
• Deaktivierung unnötiger Ports und Dienste
  Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
• Robuste Perimeter-Abwehr
  Lösungen wie eine Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des „Nord-Süd“-Datenverkehrs.

Empfohlene Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware-Angriffen wäre zwar ideal, aber ebenso wichtig sei dennoch die Vorbereitung auf die Wiederherstellung. „Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion.“

• Das bedeutet: „Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt.“

Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten sei hierbei: „Endpoint Detection and Response“-Systeme (EDR) allein könnten laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Tipps zur Eindämmung von Ransomware-Angriffen

Ernst führt weiter aus: „Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch!“ Zu schnelles Handeln ohne klare Strategie könne zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen.

• Der erste Schritt zur Eindämmung von Ransomware bestehe darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gelte es vom Netzwerk zu trennen – „um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt“. Wenn bereits eine Netzwerksegmentierung vorhanden ist, ließen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssten nicht nur Daten „wiederhergestellt“ werden – „auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern“.

Ransomware-Angriffe stoppen, bevor sie sich ausbreiten

„Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware“, unterstreicht Ernst. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreite, könnten herkömmliche Sicherheitslösungen einfach nicht Schritt halten.

• „Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht.“ Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen könnten Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können.

„Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können.“ Mit anderen Worten: „Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen.“ Abschließend gibt Ernst den Rat: „Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!“

Weitere Informationen zum Thema:

ZERO NETWORKS
About Us / Radical Simplicity, Uncompromising Security

cybernews, Paulina Okunytė, 11.04.2025
Ransomware gangs go whale hunting with Fortune 500 companies

verizon business, 2024
2024 Data Breach Investigations Report

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS