Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
4April 2025
23 min. lesen

Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Medusa war schon immer etwas mehr als ein Monster.  

In antiken Mythen verwandelte ihr Blick Männer in Stein. Während der Renaissance war sie ein Symbol für Schönheit, die sich ins Verderben verkehrte. Heute wird sie als Symbol der Transformation wiederentdeckt – sie taucht in der Mode, der Popkultur und als Symbol der Selbstermächtigung auf.

Heute ist sie zurück – nicht in Marmor oder Mythos, sondern in Malware. Medusas Ransomware-as-a-Service (RaaS)-Operation, die seit Juni 2021 aktiv ist, intensiviert nun die Angriffe auf kritische Infrastrukturen weltweit. Zu den Zielbranchen gehören die Medizin-, Bildungs-, Rechts-, Versicherungs-, Technologie- und Fertigungsindustrie.

In den ersten beiden Monaten des Jahres 2025 hat sich die Zahl der Medusa-Ransomware-Angriffe im Vergleich zum gleichen Zeitraum des Vorjahres verdoppelt – ein starker Anstieg, der signalisiert, dass Medusa an Fahrt gewinnt und nicht abnimmt.

Unterschiedliche Darstellungen von Medusa im Laufe der Jahre

Im Mythos bedeutete der Anblick der Medusa den Tod. Wenn man sie nicht sieht, kann dies die Energie-, Wasser-, Transport-, Finanzsysteme und das Vertrauen der Öffentlichkeit gefährden – die Infrastruktur, die die Welt am Laufen hält.

Eine gemeinsame Warnung von CISA und FBI

Im Februar 2024 veröffentlichten CISA und das FBI eine gemeinsame Warnung: #StopRansomware: Medusa Ransomware.

Mehr als 300 Organisationen sind bereits Opfer geworden, darunter Krankenhäuser, Finanzinstitute, Schulen und Regierungsbehörden.

Die Agenturen haben diese dringenden Schritte empfohlen:

  • Stellen Sie sicher, dass Betriebssysteme, Software und Firmware gepatcht und auf dem neuesten Stand sind.
  • Segmentieren Sie Netzwerke, um laterale Bewegungen einzuschränken.
  • Filtern Sie den Netzwerkverkehr, indem Sie verhindern, dass unbekannte oder nicht vertrauenswürdige Ursprünge auf Remotedienste zugreifen.

Ransomware ist jetzt ein nationales Risiko

Ransomware war nicht immer so gefährlich. Im Jahr 1989 erfolgte der erste bekannte Ransomware-Angriff – bekannt als AIDS-Trojaner –, der auf einer Diskette ausgeliefert wurde und 189 Dollar per Post forderte.

Laut der globalen Kostenstudie von Illumio zu Ransomware:

  • 25 % der kritischen Systeme fallen während eines Angriffs für durchschnittlich 12 Stunden aus.
  • Die durchschnittlichen Lösegeldforderungen übersteigen 1,2 Millionen US-Dollar.
  • Selbst nach der Zahlung stellen nur 13 % der Opfer alle ihre Daten wieder her.
  • Die Eindämmung dauert über 130 Stunden (ca. 11 Tage) und umfasst fast 18 Personen.

Ransomware ist nicht nur eine Cyber-Bedrohung. Das kostet Zeit, Geld und Belastbarkeit. Und wenn es auf kritische Infrastrukturen trifft, kann dies den finanziellen Ruin verursachen, die Öffentlichkeit gefährden und sogar Regierungen destabilisieren.  

Warum kritische Infrastrukturen so gefährdet sind

Kritische Infrastrukturen sind aus einem wichtigen Grund ein Magnet für Ransomware: Sie sind von Bedeutung.

"Kritische Infrastrukturen sind von Natur aus unverzichtbar – wenn man sie ausschaltet, ist der Welleneffekt enorm", sagt Trevor Dearing, Director Critical Infrastructure Solutions bei Illumio. "Die wirkliche Bedrohung für kritische Dienste besteht darin, wenn der Betrieb eingestellt wird – wenn Strom-, Wasser- oder Transportsysteme vom Netz gehen. Dann wird es wirklich gefährlich."

Von Stromnetzen bis hin zu Pipelines basiert das Rückgrat der Gesellschaft oft auf veralteten, nicht patchbaren Technologien – insbesondere auf älteren ICS- und SCADA-Systemen.

Michael Adjei, Director of Systems Engineering für EMEA bei Illumio, stimmt dem zu.

"Diese Systeme sind schwer zu aktualisieren und für Angreifer leicht auszunutzen", sagt er. "Das macht sie zu idealen Zielen für Ransomware wie Medusa."

Auch wenn die Modernisierung an Fahrt aufnimmt, bleibt die Sicherheit in der Welt der kritischen Infrastrukturen oft auf der Strecke.

"Festverdrahtete Steuerungssysteme werden durch Ethernet und Wi-Fi ersetzt, ohne die Auswirkungen auf die Sicherheit vollständig zu berücksichtigen", sagt Dearing. "Und viele Hersteller liefern Geräte mit schwacher Standardsicherheit aus – und schränken dann ein, was Unternehmen tun können, um sie zu härten."

Viele Organisationen kritischer Infrastrukturen befinden sich in öffentlichem Besitz oder sind auf nationale Finanzierung angewiesen. Das bedeutet langsame Beschaffung, komplexe Aufsicht und begrenzte Budgets. Mit anderen Worten, es ist ein massives, unterverteidigtes Ziel.

Wie schwerwiegend kann ein Angriff auf kritische Infrastrukturen werden?

Laut einem gemeinsamen Bericht von CISA und NSA wurden im Jahr 2023 11 der 15 häufigsten Sicherheitslücken als Zero-Day-Schwachstellen ausgenutzt. Die Geschwindigkeit und das Ausmaß der Ausnutzung zeigen, wie schnell Angreifer Schwachstellen ausnutzen, bevor Verteidiger sie beheben können – insbesondere in kritischen Systemen. Da sich die Taktiken von Ransomware ständig weiterentwickeln, können Angreifer kleinere Sicherheitslücken in große Bedrohungen verwandeln – mit dem Potenzial, kritische Infrastrukturen zu destabilisieren und wichtige Dienste zu stören.  

Ransomware für das hybride Zeitalter

Medusa braucht keine Zero-Day-Schwachstellen oder lauten Exploits. Es bewegt sich leise und ist für hybride Umgebungen konzipiert, in denen Cloud-Anwendungen eine Verbindung zu lokalen Rechenzentren herstellen können.

Medusa entgeht der Entdeckung, indem es Tools nutzt, die sich bereits in Ihrem Netzwerk befinden – bekannt als Living off the Land (LotL). Statt neue Schadsoftware einzuschleusen, nutzt es integrierte Programme und Sicherheitslücken aus, um sich unauffällig in den normalen Betrieb einzufügen.

Dazu könnten gehören:

  • PowerShell
  • Windows-Verwaltungsinstrumentation (WMI)
  • Remotedesktopprotokoll (RDP)
  • ConnectWise ScreenConnect
  • SSH (auf Linux- und Unix-Systemen)  

"Diese Tools sind erlaubt, vertrauenswürdig und haben bereits den Zugriff, den Angreifer wollen", sagt Adjei. "Es geht weniger um das Tool, sondern mehr um sein Privileg und seine Reichweite."

Remote-Management-Software wie ScreenConnect oder SolarWinds ist besonders attraktiv, weil sie vorab genehmigt ist. Es wurde entwickelt, um in großem Maßstab zu verbinden, zu überwachen und zu steuern, und wird in den falschen Händen zu einem Kraftmultiplikator, der Angreifern eine unmittelbare Reichweite über alle Systeme hinweg bietet.

Und wenn sich Ransomware wie die IT verhält, löst sie möglicherweise keinen Alarm aus.

Wie Adjei es ausdrückt: "Moderne Ransomware kommt nicht durch die Haustür gestürzt – sie fügt sich ein wie ein Spion."

Seitwärtsbewegung: Wie sich Medusa ausbreitet

Angreifer landen dort, wo es einfach ist – nicht dort, wo sie sein wollen. Dann bewegen sie sich lautlos durch das Netzwerk, System für System, bis sie die Kronjuwelen erreichen.

Es gibt zwei Arten von Seitwärtsbewegungen:

  • Host-intrinsisch: Privilegienausweitung innerhalb des Systems (z. B. svc-ndscans)
  • Host-extrinsisch: Verschieben zwischen Maschinen über RDP oder WinRM

Bei einem typischen Medusa-Angriff arbeiten beide Typen zusammen. Zuerst erlangen sie die Kontrolle innerhalb eines Geräts. Dann nutzen sie diesen Zugang, um sich leise über das Netzwerk auszubreiten.

Der Prozess der lateralen Bewegung

Datenexfiltration und doppelte Erpressung  

Medusa wendet auch doppelte Erpressung an: Daten verschlüsseln und exfiltrieren sie – sie verlangen Lösegeld für die Wiederherstellung und für das Versprechen, dass gestohlene Daten nicht veröffentlicht, verkauft oder online oder im Dark Web durchgesickert sind.

In der letzten Phase lokalisieren und stehlen Angreifer sensible Daten und senden sie an ihre Command-and-Control-Server zurück. Dieser Callback-Datenverkehr kann mithilfe von Techniken wie DNS-Textdatensätzen oder ICMP-Paketen über gängige Kommunikationsports getunnelt werden – Methoden, die so konzipiert sind, dass sie unbemerkt an herkömmlichen Abwehrmaßnahmen vorbeischlüpfen.

DNS-Tunneling-Tools ermöglichen es Angreifern, Daten über vertrauenswürdige Protokolle wie DNS zu exfiltrieren, wodurch sie schwer zu erkennen sind.

Wende dich nicht von Medusa ab

Weitere Informationen zum Umfang, zum Ausmaß und zu den Einsätzen der heutigen Ransomware-Bedrohungen:

Verwandte Themen

Eindämmung von Ransomware

Verwandte Artikel

CCPA und Zero-Trust-Sicherheit für personenbezogene Daten: Gesundheitswesen und Bildung
Eindämmung von Ransomware

CCPA und Zero-Trust-Sicherheit für personenbezogene Daten: Gesundheitswesen und Bildung

Erfahren Sie, wie Mikrosegmentierung und Zero Trust Gesundheits- und Bildungseinrichtungen dabei unterstützen, personenbezogene Daten im Rahmen des CCPA zu schützen, ohne Ihr Netzwerk neu zu gestalten.

Mehr lesen
So nutzen Sie risikobasierte Transparenz für Ransomware-Schutz, Compliance und mehr
Eindämmung von Ransomware

So nutzen Sie risikobasierte Transparenz für Ransomware-Schutz, Compliance und mehr

Erfahren Sie, wie Sie Sicherheitsrisiken lokalisieren und die Transparenz erhalten, die für den Schutz vor Ransomware, Compliance und mehr erforderlich ist.

Mehr lesen
So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio
Eindämmung von Ransomware

So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio

Erfahren Sie, wie Sie RDP-Gefährdung mit Mikrosegmentierung, MFA und Richtliniendurchsetzung abbilden, bewerten und blockieren können, um Ransomware zu stoppen, bevor sie sich über RDP ausbreitet.

Mehr lesen
Studie zu den globalen Kosten von Ransomware: Was uns die Zahlen sagen
Eindämmung von Ransomware

Studie zu den globalen Kosten von Ransomware: Was uns die Zahlen sagen

Erfahren Sie, wie Angreifer zu Betriebsunterbrechungen übergehen, warum Prävention nicht ausreicht und wie Zero Trust und Mikrosegmentierung die Auswirkungen von Ransomware eindämmen.

Mehr lesen
9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden
Eindämmung von Ransomware

9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden

Erfahren Sie, wie die Echtzeit-Transparenz und die einfachen Kontrollen von Illumio Ihre größten Quellen von Ransomware-Risiken, wie z. B. ungenutzte RDP-Ports, schnell reduzieren können.

Mehr lesen
Ransomware im Jahr 2025: Kosten, Trends und wie Sie Ihr Risiko reduzieren können
Eindämmung von Ransomware

Ransomware im Jahr 2025: Kosten, Trends und wie Sie Ihr Risiko reduzieren können

Erfahren Sie, wie Angreifer Sicherheitslücken ausnutzen, warum Ransomware heute ein Geschäftsmodell ist und wie Mikrosegmentierung Bedrohungen im Keim ersticken kann.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren