Ransomware

Ransomware ist eine Art Schadsoftware, die Ihre Dateien verschlüsselt und eine Zahlung für die Wiederherstellung des Zugriffs fordert, wobei häufig mit der Veröffentlichung gestohlener Daten gedroht wird.
18 Februar 2026

Was ist Ransomware?

Ransomware ist eine Form von Schadsoftware, die dazu dient, Daten zu verschlüsseln oder Systeme zu sperren und anschließend ein Lösegeld für deren Freigabe zu fordern.

Ein Ransomware-Angriff besteht jedoch nicht nur aus dem Einsatz von Ransomware. Es handelt sich um einen mehrstufigen Einbruch, bei dem die Angreifer zunächst Zugang erlangen, sich dauerhaft festsetzen, ihre Berechtigungen erweitern, sich lateral über die Systeme bewegen und häufig sensible Daten exfiltrieren, bevor sie als letzten Schritt Ransomware einsetzen, um den Betrieb zu stören und die Zahlung zu erzwingen.

Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datendiebstahl und Erpressung und machen so aus der Kompromittierung umfassender Netzwerke ein hochprofitables kriminelles Geschäftsmodell.

Welche Phasen durchläuft ein Ransomware-Angriff?

  • Infiltration: Üblicherweise geschieht dies über eine Phishing-E-Mail, kompromittierte Remote-Desktop-Zugangsdaten (RDP) oder eine Software-Schwachstelle.
  • Inszenierung & Tarnung: Die Schadsoftware kommuniziert mit dem Server des Angreifers, um Verschlüsselungsschlüssel einzurichten, während sie vor gängigen Antivirenprogrammen verborgen bleibt.
  • Datenexfiltration: Vor der Verschlüsselung lädt der Angreifer unbemerkt Kopien Ihrer sensiblen Dateien auf seine eigenen Server hoch.
  • Verschlüsselung: Die Software sperrt Ihre Dateien und ändert deren Dateiendungen (z. B. wird aus .docx .locked).
  • Die Lösegeldforderung: Auf Ihrem Bildschirm erscheint eine Nachricht mit Anweisungen zur Bezahlung – üblicherweise in Bitcoin – für den Erhalt eines Entschlüsselungstools.

Kann man ohne Zahlung Entschädigung erhalten?

Die Zahlung des Lösegelds ist grundsätzlich nicht empfehlenswert, da sie keine Garantie für die Rückgabe Ihrer Dateien bietet und Sie für zukünftige Angriffe als „zahlwilligen Angreifer“ ausweist. Der beste Genesungsweg beinhaltet:

  • Externe Datensicherungen: Die Wiederherstellung aus einem sauberen, nicht verbundenen Backup ist die einzige 100%ig wirksame Wiederherstellungsmethode.
  • EDR-Rollback: Einige hochentwickelte Sicherheitstools können die Verschlüsselung "rückgängig machen", indem sie Dateien aus lokalen Schattenkopien wiederherstellen, bevor diese gesperrt wurden.
  • Entschlüsselungswerkzeuge: Gelegentlich entdecken Sicherheitsforscher Schwachstellen im Code einer bestimmten Ransomware und veröffentlichen kostenlose „Entschlüsselungsprogramme“.

Was leistet der WatchGuard Ransomware Tracker?

Der WatchGuard Ransomware Tracker ist eine umfassende, öffentliche Datenbank für Bedrohungsanalysen, die vom WatchGuard Threat Lab gepflegt wird. Das Hauptziel besteht darin, einen Überblick über die globale Ransomware-Landschaft in Echtzeit und über deren historische Entwicklung zu bieten und so Sicherheitsexperten und der Öffentlichkeit ein besseres Verständnis der aktuellen Bedrohungen zu ermöglichen.

Hier ist eine Übersicht der Funktionen des Trackers:

1. Katalogisierung aktiver Bedrohungen

Der Tracker führt eine umfassende Liste von Ransomware-Varianten (z. B. Akira, RansomHub, 0mega). Für jeden Eintrag wird typischerweise Folgendes erfasst:

  • Erster und letzter Sichtung: Wann die Ransomware erstmals identifiziert wurde und das Datum ihrer letzten Aktivität.
  • Status: Ob die Gruppe oder der Stamm derzeit "aktiv" ist oder inaktiv geworden ist.
  • Abstammung & Aliasnamen: Jegliche Verbindungen zu anderen Ransomware-Familien oder früheren Namen der Gruppe.


2. Technische Intelligenz

Bei vielen wichtigen Ransomware-Varianten bietet der Tracker einen detaillierten Einblick in die Funktionsweise der Malware, was für die Verteidigung von entscheidender Bedeutung sein kann. Dies umfasst:

  • Arten der Erpressung: Details darüber, ob die Gruppe „Doppelte Erpressung“ (Verschlüsselung von Dateien) anwendet. Und (Daten stehlen, um sie später zu veröffentlichen).
  • Verschlüsselungsmethoden: Informationen zu den verwendeten Algorithmen (z. B. AES-256 oder ChaCha20) und den verwendeten Schlüsseln.
  • Kommunikationskanäle: Links zu den TOR-basierten „Leak-Seiten“ der Gruppe, Telegram-Kanälen oder spezifischen Kennungen wie Tox-IDs.


3. Globale Opferverfolgung

Das Tool verfügt über eine Ransomware-Tracker-Karte diese Darstellung visualisiert die Häufigkeit von Angriffen nach Ländern. Es sammelt Daten über:

  • Gesamtzahl der erfassten Opfer: Die Anzahl der bestätigten Organisationen, die von Ransomware betroffen sind.
  • Gesamtzahl der aktiven Gruppen: Die Anzahl der derzeit aktiven, einzigartigen kriminellen Organisationen.
  • Verfügbarkeit des Entschlüsselers: Es hebt hervor, ob ein kostenloser Entschlüsseler existiert (oft über die Keine Lösegeldzahlungen mehr Projekt), das ein Opfer vor der Zahlung eines Lösegelds bewahren kann.

4. Strategische Einblicke

Der Tracker speist sich in WatchGuards umfassenderen „Cybersecurity Hub“ ein und verknüpft Echtzeitdaten mit deren vierteljährlichen Berichten. Internet-Sicherheitsberichte Die Dies ermöglicht es Nutzern, Trends zu erkennen, wie zum Beispiel:

  • Ob das Ransomware-Volumen in einer bestimmten Region zu- oder abnimmt.
  • Der Wandel von netzwerkbasierten Angriffen hin zu Angriffen, die auf Endpunkte abzielen.
  • Der Aufstieg von „Ransomware-as-a-Service“ (RaaS), bei dem Entwickler ihren Code an andere Kriminelle vermieten.
Gespeichert unter: Cybersecurity Trends, Ransomware, Zero Trust