Was Ransomware ist und wie sie funktioniert
Ransomware ist Malware, die die Daten einer Organisation verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel fordert. Moderne Kampagnen nutzen doppelte Erpressung: Sie exfiltrieren zuerst die Daten, verschlüsseln dann und drohen mit Veröffentlichung. Es ist kein augenblickliches Ereignis: Der Angreifer bleibt tage- oder wochenlang im Netzwerk (Initial Access, Lateral Movement, Exfiltration), bevor verschlüsselt wird. In diesem Fenster stoppt man ihn.
Kein Ereignis, ein Prozess
Man stellt sich Ransomware wie einen Blitzschlag vor: Im einen Moment funktioniert alles, im nächsten ist alles verschlüsselt. Die Realität sieht anders aus: Der Angreifer ist bereits tage- oder wochenlang im Netzwerk, bevor verschlüsselt wird. Initial Access, Aufklärung, Lateral Movement, Exfiltration: Die Verschlüsselung ist der letzte Akt. Und vor diesem Akt gewinnt oder verliert man.
Doppelte (und dreifache) Erpressung
Moderne Banden exfiltrieren Daten vor der Verschlüsselung: So können sie selbst mit perfekten Backups mit der Drohung der Veröffentlichung erpressen. Manche ergänzen DDoS-Angriffe oder direkten Druck auf Kunden und Partner. Deshalb ist ein Backup, so wesentlich es ist, allein nicht ausreichend.
Verteidigung: vor der Verschlüsselung stoppen
Wirksame Verteidigung handelt im Fenster vor der Verschlüsselung: kontinuierliche Detection & Response, um Lateral Movement und Exfiltration zu fassen, geschützte Identitäten, isolierte Backups und ein einsatzbereiter Incident-Response-Plan. Wenn der Angriff bereits läuft, zählt der Notfall-Leitfaden: was nach einem Ransomware-Angriff zu tun ist.
Die Phasen eines Ransomware-Angriffs
| Phase | Was passiert | Wo man handelt |
|---|---|---|
| Initial Access | Phishing, exponiertes VPN/RDP, Edge-Exploits | Frühe Detection, ITDR |
| Lateral Movement | Eskalation, Aufklärung, Persistenz | MDR: hier stoppen |
| Exfiltration | Daten herauskopiert | Eindämmung, C2-Blockade |
| Verschlüsselung | Ransomware ausgeführt, Lösegeld | Zu spät: Recovery |
In Operation Storming Tide entdeckte das Fortgale-Team den Angreifer in den Phasen vor der Verschlüsselung (Matanbuchus 3.0 → Astarion → SystemBC) und verhinderte Exfiltration und Ransomware durch Eindämmung.
Zur Analyse →Häufige Fragen.
Soll ich das Lösegeld zahlen?
Fast nie. Zahlung garantiert weder Recovery noch die Löschung exfiltrierter Kopien, sie finanziert Kriminalität und kann Vorschriften verletzen. Siehe den Notfall-Leitfaden Ransomware-Angriff: was tun.
Wie gelangt Ransomware in ein Unternehmen?
Die häufigsten Vektoren: Phishing und Diebstahl von Zugangsdaten, exponierte Dienste (VPN, RDP), Exploits von Perimetergeräten (Firewalls, VPN-Gateways) und von Initial Access Brokern verkaufte Zugänge.
Was ändert die doppelte Erpressung?
Der Angreifer exfiltriert die Daten, bevor er sie verschlüsselt, und droht mit Veröffentlichung. Selbst mit perfekten Backups bleibt das Offenlegungsrisiko: deshalb ist es wichtig, den Angriff vor der Exfiltration zu stoppen, nicht nur wiederherstellen zu können.
Wie schützt man sich vor Ransomware?
Getestete und isolierte Backups, Härtung von Identität und Zugriff, kontinuierliche Detection & Response (MDR), um den Angreifer in den Phasen vor der Verschlüsselung zu fassen, und ein einsatzbereiter Incident-Response-Plan.
Von der Theorie zum realen Einsatz.
Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale Ransomware-Schutz.
Verwandte Ressourcen: Ransomware-Angriff: was tun (Notfall) · Was ist MDR · Ransomware-Schutz · Ransomware-Gruppen im Überblick (technische Profile)
Ein technisches Gespräch, kein Funnel.
Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.