Kontakt aufnehmen
Cyber-Angriffe Ransomware

Moderne Ransomware: Verschleierter Code und Fileless-Angriffe

Muhammed San
Placeholder for Muhammed SanMuhammed San

Muhammed San , SOC Analyst , Nomios Niederlande

4 min. Lesezeit
Placeholder for Managed SOC security engineer - MSSPManaged SOC security engineer - MSSP

Share

Ransomware bleibt eine der größten Bedrohungen für Unternehmen. Im Jahr 2025 werden die Angriffe immer ausgefeilter – Cyberkriminelle setzen zunehmend auf verschleierten Code und dateilose Techniken, um einer Erkennung zu entgehen.

Dieser Artikel erklärt diese Methoden und zeigt auf, welche Abwehrmaßnahmen Unternehmen ergreifen können – insbesondere durch Managed SOC Services wie Managed Detection & Response.

Ransomware: Tarnung statt Tempo

Die Code-Verschleierung ist eine grundlegende Technik im Arsenal der Ransomware-Entwickler. Sie besteht darin, Computercode für einen Analysten oder ein automatisiertes Erkennungssystem absichtlich schwer verständlich zu machen, während seine bösartige Funktionalität erhalten bleibt.

Verschleierungstechniken: Code im offenen Blick verbergen

Verschleierung ist eine Kerntechnik im Werkzeugkasten von Ransomware-Entwicklern. Sie macht Code absichtlich schwer lesbar für Analysten oder automatisierte Systeme, während die bösartige Funktionalität erhalten bleibt.

Gängige Verschleierungsmechanismen umfassen:

Base64-Kodierung: Wandelt Code in scheinbar zufällige Zeichenfolgen um. Zum Beispiel kann ein PowerShell-Befehl folgendermaßen kodiert werden:

powershell.exe -e powershell.exe -EncodedCommand 
QQBkAGQALQBUAHkAcABlACAALQBBAHMAcwBlAG0AYgBsA
HkATgBhAG0AZQAgAFMAeQBzAHQAZQBtAC4AVwBpAG4AZA 
BvAHcAcwAuAEYAbwByAG0AcwANAAoAWwBTAHkAcwB0AG
UAbQAuAFcAaQBuAGQAbwB3AHMALgBGAG8AcgBtAHMALg
BNAGUAcwBzAGEAZwBlAEIAbwB4AF0AOgA6AFMAaABvAHc
AKAAiAE4AbwBtAGkAbwBzACAAbgBlACAAdgBvAHUAcwAgA
HIAZQBjAG8AbQBtAGEAbgBkAGUAIABwAGEAcwAgAGQAJwB
lAHgA6QBjAHUAdABlAHIAIABkAHUAIABjAG8AZABlACAAdA
ByAG8AdQB2AOkAIABzAHUAcgAgAEkAbgB0AGUAcgBuAGUAdA
AgAGMAbwBtAG0AZQAgAOcAYQAgADoAKQAiACwAIAAiAE4
AbwBtAGkAbwBzACAA6gB0AHIAZQAgAGwA4AAiACkA

Placeholder for OffuscatedOffuscated

Bei der Ausführung öffnet dieser Befehl ein Fenster mit der Anzeige: „Nomios empfiehlt, keinen im Internet gefundenen Code auszuführen, ohne ihn zuvor zu analysieren.“

  • XOR-Operationen: Kombinieren jedes Byte des Codes mit einem geheimen Schlüssel. Diese einfache, aber effektive Technik lässt sich mit mehreren Schlüsseln wiederholen und macht die Deobfuskation für Analysten zu einem komplexen Puzzle.
  • Einfügen von Dead Code: Fügt sinnlose oder redundante Anweisungen hinzu, um statische Analysewerkzeuge zu verwirren.
  • Polymorphismus: Verändert den Code bei jeder Ausführung automatisch, während die Funktionalität erhalten bleibt.

Diese Verschleierungstechniken ermöglichen es Ransomware, signaturbasierte Erkennungssysteme effektiv zu umgehen und die forensische Nachbearbeitung nach einem Vorfall erheblich zu erschweren.

Wie eine aktuelle Ransomware-Analyse bei Nomios zeigt, kann der Deobfuskierungsprozess viel Zeit und Ressourcen in Anspruch nehmen und mitunter ganze Teams über mehrere Tage binden. Deshalb werden ausgelagerte SOC-Services für viele Organisationen zunehmend unverzichtbar.

Dateilose Angriffe: Die unsichtbare Bedrohung

Dateilose Malware stellt einen signifikanten Wandel in der Ransomware-Taktik dar. Im Gegensatz zu traditioneller Ransomware, die eine ausführbare Datei auf der Festplatte ablegt, läuft fileless-Malware vollständig im Arbeitsspeicher und hinterlässt kaum oder keine Spuren im Dateisystem.

Wesentliche Merkmale sind:

  • Nutzung legitimer, bereits auf dem System vorhandener Tools (Living-off-the-Land)
  • Direkte Ausführung im Arbeitsspeicher, ohne die Festplatte zu berühren
  • Häufige Nutzung von PowerShell oder dem .NET-Framework
  • Persistenz über die Registrierungsdatenbank (Registry) oder geplante Tasks

Durch die Nutzung nativer Systemwerkzeuge sind diese Angriffe für traditionelle, dateibasierte Sicherheitslösungen nur schwer zu entdecken. Laut Daten von Halcyon.ai aus dem Frühjahr 2025 bestimmen Living-off-the-Land-Techniken inzwischen moderne Ransomware-Kampagnen und erlauben Angreifern, ihren digitalen Fußabdruck zu minimieren. Zur Erkennung dieser Angriffe sind fortgeschrittene, verhaltensbasierte Monitoring-Lösungen erforderlich.

Der moderne Angriffsprozess: Sequentieller Einsatz

Moderne Ransomware-Angriffe sind keine einstufigen Vorgänge mehr. Sie folgen einer methodischen Abfolge, oft über Tage oder Wochen verteilt, um einer Entdeckung zu entgehen. Angreifer bringen ihre Payload schrittweise ein und bleiben unentdeckt, bis die finale Verschlüsselungsphase einsetzt.

Typische Phasen eines dateilosen Angriffs sind:

  • Initiale Ausführung: Base64-kodierte PowerShell-Skripte, häufig über bösartige Dokumente geliefert
  • Aufbau von Persistenz: Geplante Tasks oder Änderungen an der Registry
  • Interne Aufklärung: Kartierung des Netzwerks und Identifikation hochpriorisierter Ziele
  • Laterale Bewegung: Ausbreitung über verwundbare Systeme oder kompromittierte Zugangsdaten
  • Memory Injection: Laden bösartiger Prozesse direkt in den Speicher legitimer Prozesse
  • Datenexfiltration: Entwendung sensibler Daten vor der Verschlüsselung (Double Extortion)
  • Endgültige Bereitstellung: Ausführen der vollständigen Verschlüsselungsnutzlast

Dieser gestufte Ansatz maximiert den Schaden bei gleichzeitig geringer Wahrscheinlichkeit früher Erkennung. SOC-Teams nutzen fortgeschrittene Ereigniskorrelation, um solche Sequenzen zu erkennen und schnell zu reagieren.

Strategischer Einsatz bösartiger DLLs

Bösartige DLLs (Dynamic Link Library, DLL) stehen im Zentrum vieler moderner Ransomware-Angriffe. Oft in .NET entwickelt, sind diese Bibliotheken obfuskiert und werden direkt in den Speicher geladen. Zu ihren Hauptfunktionen gehören:

  • Aufruf von Systemfunktionen
  • Umgehung von Sicherheitsmechanismen
  • Ermöglichung lateraler Bewegungen
  • Ausführung von Verschlüsselungsroutinen

Analysen des Nomios-SOC zeigen, dass die Rekonstruktion einer bösartigen DLL selbst für erfahrene Experten mehrere Tage intensiver Arbeit in Anspruch nehmen kann. Wie ein kürzlich vom Nomios-SOC unterbundener Vorfall zeigt, kann die vollständige Rekonstruktion einer bösartigen DLL mehrere Tage intensiver forensischer Analyse erfordern — selbst für versierte Spezialisten.

Polymorphe Ransomware

Polymorphe Ransomware fügt eine weitere Ebene der Raffinesse hinzu. Sie verändert konstant ihren Code und ihre Signatur und erzeugt mit jeder Infektion einzigartige Varianten. Zu den Techniken gehören:

  • Code-Mutation während der Ausführung
  • Zufällige Code-Erzeugung
  • Einfügen harmloser Instruktionen
  • Dynamische Umorganisation von Funktionen

Diese Fähigkeiten machen eine Erkennung durch traditionelle Lösungen nahezu unmöglich.

Verteidigungsstrategien gegen fortgeschrittene Ransomware

Der Schutz vor diesen Bedrohungen erfordert einen mehrschichtigen Ansatz, der Technologie und Fachwissen kombiniert:

1. Verbessern der Verhaltenserkennung

  • Einsatz von EDR-Lösungen (Endpoint Detection and Response), die in der Lage sind, das Verhalten zu analysieren, anstatt sich nur auf Signaturen zu verlassen
  • Aktivieren der erweiterten Protokollierung von PowerShell und Skripts
  • Implementierung von Systemen zur Erkennung von Verhaltensanomalien

2. Begrenzung der Angriffsfläche

  • Einschränkung der Ausführung von nicht signierten PowerShell-Skripten
  • Anwendung des Prinzips der geringsten Privilegien zur Begrenzung der seitlichen Ausbreitung
  • Segmentierung des Netzwerks zur Eindämmung potenzieller Infektionen

3. Verstärkung der digitalen Forensik

  • Entwicklung von Fähigkeiten zur Analyse flüchtiger Speicher
  • Implementierung von Tools zur Erfassung und Analyse des Netzwerkverkehrs
  • Einführung von Verfahren zur Reaktion auf Vorfälle, die sich speziell auf dateilose Angriffe beziehen

4. Integration eines modernen SOC

  • 24/7-Überwachung der Infrastruktur
  • Fähigkeiten zur Verhaltensanalyse
  • Erfahrung in der Erkennung von Verschleierungs- und dateilosen Angriffen
  • Verfahren zur schnellen Reaktion auf Vorfälle

Ransomware, die Verschleierung, dateilose Ausführung und polymorphe Techniken einsetzt, ist immer schwerer zu erkennen und zu analysieren. Die wirksamste Verteidigung kombiniert fortschrittliche SOC-Technologie, erfahrene Analysten und eine unternehmensweite Sicherheitskultur.

Experten-Einblicke

Ransomware, die verschleierten Code und dateilose Angriffstechniken verwendet, stellt im Jahr 2025 eine große Bedrohung für Unternehmen dar. Ihre zunehmende Raffinesse in Verbindung mit der Einführung polymorpher Techniken macht ihre Erkennung und Analyse immer komplexer.

Für Analysten und Cybersicherheitsmanager ist das Verständnis dieser fortschrittlichen Mechanismen von entscheidender Bedeutung für die Umsetzung wirksamer Abwehrstrategien. Abgesehen von den technischen Lösungen geht der Wettlauf um Fachwissen zwischen Verteidigern und Angreifern weiter.

Angesichts dieser sich ständig weiterentwickelnden Bedrohung bleibt die Kombination aus fortschrittlicher SOC-Technologie, hochqualifiziertem Personal und einer Sicherheitskultur, die von der gesamten Organisation geteilt wird, der effektivste Ansatz.

Kontakt aufnehmen

Löchern Sie unsere Security-Experten

Unser Team steht Ihnen gern für ein kurzes Telefongespräch oder Videomeeting zur Verfügung. Wir stehen bereit, um gemeinsam mit Ihnen Ihre Security-Herausforderungen, Anbietervergleiche und anstehenden IT-Projekte zu diskutieren. Wir helfen jederzeit gern.

Placeholder for Portrait of engineer beard wearing poloPortrait of engineer beard wearing polo
Updates

Weitere Updates

Placeholder for Defend against machine-led attacksDefend against machine-led attacks

Cybersicherheit

Sorgenfrei durch die Bedrohungs-Welle

Schützen Sie Ihre F5 BIG-IP™ mit KI-basierter Next-Gen-Security von F5 und CrowdStrike – für maximale Transparenz und Zero Trust.

2 min. Lesezeit
Placeholder for Engineers working on Managed PKIEngineers working on Managed PKI

Netzwerksicherheit

PKI in der Praxis: Anwendungsfälle, Herausforderungen und Abwägungen

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot

3 min. Lesezeit
Placeholder for LondonLondon

Nomios expands cybersecurity offering with the acquisition of Intragen, a European leader in IAM

Nomios expands cybersecurity offering with the acquisition of Intragen, a european leader in identity and access management

6 min. Lesezeit
Alle Artikel