Ransomware.

Ransomware verschlüsselt Dateien, Datenbanken, virtuelle Maschinen oder ganze Speicher-Volumes und zeigt anschließend eine Lösegeldforderung an, in der Regel in Kryptowährung gegen den Entschlüsselungsschlüssel. Moderne Operatoren betreiben meist "Double Extortion": Sie stehlen Daten vor der Verschlüsselung und drohen mit deren Veröffentlichung auf Leak-Sites, falls das Opfer nicht zahlt. Der Erstzugriff erfolgt typischerweise über Phishing, exponierte RDP/VPN-Portale, Software-Schwachstellen oder kompromittierte Zugangsdaten.

Reale Kampagnen zeigen das Muster. WannaCry (Mai 2017) breitete sich wurmartig über Netzwerke aus und nutzte dabei den SMB-Exploit EternalBlue. Der Vorfall bei Colonial Pipeline (Mai 2021) — verursacht durch DarkSide-Affiliates, die über ein geleaktes VPN-Passwort ohne MFA eindrangen — legte die Treibstoffversorgung an der US-Ostküste lahm. Wochen später nutzte REvil eine Zero-Day-Lücke in Kaseyas VSA-Management-Software (CVE-2021-30116) aus, um Ransomware in einem einzigen Lieferketten-Angriff an 800 bis 1.500 Unternehmen weiterzuverteilen, und forderte anschließend 70 Millionen US-Dollar für einen universellen Entschlüsseler.

flowchart LR
  A[Erstzugriff<br/>Phishing / RDP / VPN] --> B[Aufklärung und Rechteausweitung]
  B --> C[Datenexfiltration]
  C --> D[Massenverschlüsselung]
  D --> E[Lösegeldforderung + Leak-Site-Drohung]
  E --> F{Opfer zahlt?}
  F -->|Ja| G[Entschlüsseler eventuell bereitgestellt]
  F -->|Nein| H[Daten geleakt / Systeme verloren]

Wirksame Abwehrmaßnahmen umfassen Offline- und unveränderliche Backups, EDR/XDR, MFA für alle Remote-Zugänge, schnelles Patchen, Netzsegmentierung, Konten nach dem Least-Privilege-Prinzip sowie einen geübten Incident-Response-Plan. Zahlen garantiert keine Wiederherstellung und finanziert möglicherweise weitere Angriffe.