Begriff
Ransomware
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Digitale Geiselnahme.
Du öffnest einen Anhang.
Plötzlich werden alle deine Dateien (.docx, .jpg) verschlüsselt. Sie heißen jetzt .locked.
Ein roter Bildschirm erscheint:
"Zahle 1000$ in Bitcoin, oder deine Daten sind für immer verloren."
Es gibt keinen "Hack", um die Verschlüsselung zu knacken (da sie starkes AES/RSA nutzen).
Entweder du hast ein Backup, oder du zahlst (und hoffst).
Merksatz: Eine Art von Malware, die den Zugriff auf Computer oder Daten sperrt (meist durch Verschlüsselung) und ein Lösegeld (Ransom) für die Freigabe verlangt.
Prävention:
- Immer Backups haben! (Offline oder in der Cloud mit Versionierung).
- Keine Makros in Office erlauben.
- Updates installieren.
Reaktion:
- Netzwerkstecker ziehen (damit es sich nicht verbreitet).
- Nicht zahlen (man finanziert Kriminelle und wird vielleicht trotzdem nicht entschlüsselt).
- System plattmachen und Backup einspielen.
1. Double Extortion
Früher: Nur verschlüsseln. Heute: Erst Daten klauen, dann verschlüsseln. Wenn die Firma Backups hat und nicht zahlt, droht der Hacker: "Okay, dann veröffentlichen wir eure Kundendaten im Darknet." (DSGVO-Albtraum). Man wird also doppelt erpresst.
2. RaaS (Ransomware as a Service)
Hacker sind jetzt Franchise-Unternehmen. Eine Gruppe (z. B. LockBit) schreibt die Software. "Affiliates" (Partner) führen den Angriff durch. Der Gewinn wird geteilt (70% Affiliate, 30% Entwickler). Es gibt Support-Hotlines und benutzerfreundliche Dashboards für die Erpresser.
3. Lateral Movement
Ransomware verschlüsselt nicht sofort. Sie bricht ein, wartet Wochen, breitet sich im ganzen Netzwerk aus (Domain Admin werden), löscht heimlich die Backups... Und dann schlägt sie überall gleichzeitig zu (Big Bang).
1. Cryptographic Key Handling (Asymmetrisch vs. Symmetrisch)
Warum kann der Admin die verschlüsselten Dateien nicht einfach offline knacken?
Die Malware nutzt einen Hybrid-Kryptoansatz. Der Virus generiert auf dem befallenen Rechner live einen einzigartigen symmetrischen AES-256 Key und verschlüsselt rasend schnell alle PDFs.
Aber dieser AES-Key muss nun in Sicherheit gebracht werden (damit der Admin ihn nicht im RAM findet). Die Malware besitzt einen hardcodierten asymmetrischen Public RSA Key des Angreifers. Die Malware verschlüsselt den frisch generierten AES-Key mit diesem Public RSA Key und hängt ihn als Meta-Tag an die .locked Datei. Der AES-Key existiert fortan nur noch verschlüsselt und kann physikalisch nur von demjenigen gelesen werden, der den passenden Private RSA Key hat (der auf einem dunklen Server in Russland liegt). Knacken ohne Private Key = mathematisch de-facto unmöglich.
2. Bypass von Volumetric Backups (Volume Shadow Copies)
Der Admin denkt sich: "Egal, Windows macht ja automatische VSS (Volume Shadow Copy Service) Snapshots auf Blocklevel."
Moderne Ransomware ist sich dessen bewusst. Bevor der Krypto-Loop startet, feuert die Malware administrative PowerShell-Skripte ab:
vssadmin.exe Delete Shadows /All /Quiet
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
Dies exekutiert alle unsichtbaren lokalen Backups, zerstört die Windows-Wiederherstellungspunkte und fragmentiert den freien Festplattenplatz tief im NTFS, sodass auch forensische Undelete-Tools (wie Recuva) keine RAW-Datenblöcke alter Versionen mehr rekombinieren können.
3. IAB (Initial Access Brokers)
Die moderne Ransomware-Bande knackt keine Firmen mehr selbst. Die Szene ist industrialisiert (Cybercrime Supply Chain). Es gibt Spezialisten, die IABs. Sie tun nichts anderes, als RDP-Server im Netz zu scannen, VPN-Zugänge per Phishing zu knacken oder "Zero-Days" in Firewalls auszunutzen. Haben sie lokalen Admin-Zugriff bei "Firma X" erlangt, schleusen sie keine Malware ein. Sie verkaufen diesen geräuschlosen Zugang für 50.000$ im Darknet. Die eigentlichen Ransomware-Operator (RaaS) kaufen diesen VIP-Pass, spazieren unbemerkt durch den VPN-Tunnel rein und deployen sofort ihre Verschlüsselungs-Pyramide, ohne sich wochenlang mit dem Knacken des Netzwerks aufzuhalten.
Quick-Check
WannaCry?
Ein Wurm + Ransomware. Verbreitete sich automatisch weltweit (über SMB-Lücke). Legte die britische NHS (Krankenhäuser) lahm.Kann man entschlüsseln?
Manchmal. Wenn die Hacker Fehler im Krypto-Code gemacht haben ("No More Ransom" Projekt bietet Tools an). Aber bei professioneller Ransomware: Nein.Versicherung?
Cyber-Versicherungen zahlen oft das Lösegeld. Das ist umstritten, weil es das Geschäftsmodell der Hacker am Leben hält ("Firma X zahlt eh, die ist versichert").