Kontakt aufnehmen
Cyber-Angriffe

Moderne Ransomware: Verschleierter Code und Fileless-Angriffe

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat , Chief Marketing Officer , Nomios-Gruppe

5 min. Lesezeit

Share

In einer sichständig weiterentwickelnden Cybersicherheitslandschaft stellen Ransomware weiterhin eine der bedrohlichsten Gefahren für Organisationen dar. Im Jahr 2025 beobachten wir die Fortsetzung eines Trends, der in den letzten Jahren begonnen hat: die zunehmende Raffinesse der Infiltrations- und Ausführungsmethoden. Dieser Artikel stellt die von Cyberkriminellen verwendeten Mechanismen vor, insbesondere Techniken mit verschleiertem Code und Fileless-Angriffe, und schlägt geeignete Verteidigungsstrategien vor.

Die Evolution von Ransomware: Hin zu mehr Heimlichkeit

Laut dem Anfang 2025 veröffentlichten Controld-Bericht nehmen Fileless-Angriffe weiter zu und sind an einem erheblichen Teil der Sicherheitsvorfälle beteiligt. Diese Entwicklung erklärt sich durch die Effektivität dieser Techniken bei der Umgehung traditioneller, signaturbasierter Sicherheitslösungen. Im Jahr 2023 wurden "Living-off-the-Land"-Binärdateien bereits bei 79% der gezielten Angriffe eingesetzt, ein Trend, der sich seitdem fortgesetzt hat.

Angreifer haben nach und nach konventionelle Methoden zugunsten diskreterer und schwerer zu erkennender Ansätze aufgegeben. Das Ziel bleibt dasselbe – Daten zu verschlüsseln und Lösegeld zu fordern – aber die Mittel, um dies zu erreichen, haben sich erheblich weiterentwickelt und erfordern fortschrittliche Erkennungsfähigkeiten, um ihnen entgegenzuwirken.

Verschleierungstechniken: Verbergen, um besser zuzuschlagen

Die Code-Verschleierung ist eine grundlegende Technik im Arsenal der Ransomware-Entwickler. Sie besteht darin, Computercode für einen Analysten oder ein automatisiertes Erkennungssystem absichtlich schwer verständlich zu machen, während seine bösartige Funktionalität erhalten bleibt.

Gängige Verschleierungsmechanismen

  • Base64-Kodierung: Umwandlung von Code in scheinbar zufällige ZeichenkettenBeispiel eines Base64-verschleierten PowerShell-Befehls:

Dieser Code zeigt nach der Ausführung ein Fenster mit der Nachricht: "Nomios empfiehlt, keinen Code auszuführen, den Sie im Internet finden, ohne ihn zu analysieren".

powershell.exe -e powershell.exe -EncodedCommand QQBkAGQALQBUAHkAcABlACAALQBBAHMAcwBlAG0AYgBsA
HkATgBhAG0AZQAgAFMAeQBzAHQAZQBtAC4AVwBpAG4AZ
ABvAHcAcwAuAEYAbwByAG0AcwANAAoAWwBTAHkAcwB0A
GUAbQAuAFcAaQBuAGQAbwB3AHMALgBGAG8AcgBtAHMAL
gBNAGUAcwBzAGEAZwBlAEIAbwB4AF0AOgA6AFMAaABvAH
cAKAAiAE4AbwBtAGkAbwBzACAAbgBlACAAdgBvAHUAcwAg
AHIAZQBjAG8AbQBtAGEAbgBkAGUAIABwAGEAcwAgAGQAJw
BlAHgA6QBjAHUAdABlAHIAIABkAHUAIABjAG8AZABlACAAdA
ByAG8AdQB2AOkAIABzAHUAcgAgAEkAbgB0AGUAcgBuAGUA
dAAgAGMAbwBtAG0AZQAgAOcAYQAgADoAKQAiACwAIAAiA
E4AbwBtAGkAbwBzACAA6gB0AHIAZQAgAGwA4AAiACkA

Placeholder for OffuscatedOffuscated
  • XOR-Operation: Anwendung binärer Operationen zwischen bösartigem Code und einem geheimen Schlüssel
  • Unter den am häufigsten verwendeten Verschleierungstechniken zeichnet sich die XOR-Operation (exklusives ODER) durch ihre einfache Implementierung und Wirksamkeit aus. Diese binäre Operation vergleicht zwei Bits und gibt nur dann 1 zurück, wenn genau eines der beiden Bits 1 ist. Um Code mit XOR zu verschleiern, wenden Angreifer diese Operation zwischen jedem Byte des bösartigen Codes und einem geheimen Schlüssel an. Der Prozess kann mit verschiedenen Schlüsseln in verschiedenen Phasen des Angriffs wiederholt werden, was für Sicherheitsanalysten ein echtes Rätsel darstellt.
  • Einfügung von totem Code: Hinzufügen nutzloser Anweisungen, um die statische Analyse zu erschweren
  • Polymorphismus: Automatische Änderung des Codes bei jeder Ausführung unter Beibehaltung seiner Funktionalität

Diese Verschleierungstechniken ermöglichen es Ransomware, signaturbasierte Erkennungssysteme effektiv zu umgehen und erschweren die forensische Analyse nach einem Vorfall erheblich. Wie eine kürzlich durchgeführte Ransomware-Analyse bei Nomios gezeigt hat, kann der Entschlüsselungsprozess erhebliche Zeit und Ressourcen erfordern und manchmal ganze Teams über mehrere Tage hinweg beschäftigen. Deshalb werden ausgelagerte SOC-Dienste für viele Organisationen unverzichtbar.

Anatomie von Fileless-Angriffen: Die unsichtbare Bedrohung

Fileless-Malware stellt eine bemerkenswerte Entwicklung in der Bedrohungslandschaft dar. Im Gegensatz zu herkömmlicher Ransomware, die die Installation einer ausführbaren Datei auf der Festplatte erfordert, operieren diese Angriffe vollständig im Speicher, ohne persistente Spuren im Dateisystem zu hinterlassen.

Eigenschaften von Fileless-Angriffen

  • Ausnutzung legitimer Tools, die bereits im System vorhanden sind (Living off the Land)
  • Direkte Ausführung im Speicher ohne Schreiben auf die Festplatte
  • Häufige Verwendung von bösartigem PowerShell und dem .NET-Framework
  • Persistenz über die Windows-Registry oder geplante Aufgaben

Diese Ransomware nutzt legitime Tools, die bereits im System vorhanden sind, wie PowerShell oder Python, um ihre bösartigen Nutzlasten direkt im Speicher auszuführen. Dieser "Living off the Land"-Ansatz (Verwendung nativer Systemtools) macht die Erkennung für traditionelle Sicherheitslösungen, die sich auf die Dateianalyse konzentrieren, sehr schwierig.

Laut Halcyon.ai-Daten, die Anfang 2025 veröffentlicht wurden, sind "Living-off-the-Land"-Techniken inzwischen ein charakteristisches Merkmal moderner Ransomware-Kampagnen, die es Angreifern ermöglichen, legitime Tools für bösartige Aktionen zu verwenden und gleichzeitig ihren digitalen Fußabdruck zu minimieren. Die Erkennung dieser Angriffe erfordert fortschrittliche Verhaltensüberwachungslösungen.

Der moderne Angriffsprozess: Eine sequentielle Vorgehensweise

Moderne Ransomware-Angriffe erfolgen nicht mehr in einem einzigen Schritt, sondern ähneln eher einer methodischen Abfolge von Aktionen, die oft über mehrere Tage oder sogar Wochen verteilt sind, um die Erkennung zu vermeiden. Sie ähneln einem kriminellen "Adventskalender", bei dem Angreifer ihre Nutzlast in kleinen Stücken über mehrere Tage verteilen, um die Erkennung zu vermeiden.

Typische Phasen eines Fileless-Angriffs

  1. Anfangsphase: Ausführung eines Base64-verschleierten PowerShell-Skripts, oft über ein bösartiges Dokument
  2. Etablierung von Persistenz: Erstellung geplanter Aufgaben oder Registrierungsänderungen
  3. Interne Aufklärung: Sammeln von Informationen über das Netzwerk und Identifizieren vorrangiger Ziele
  4. Laterale Bewegung: Ausbreitung im Netzwerk durch Ausnutzung von Schwachstellen oder kompromittierten Anmeldedaten
  5. Speicherinjektion: Laden von bösartigem Code direkt in den Speicher legitimer Prozesse
  6. Datenexfiltration: Diebstahl sensibler Informationen vor der Verschlüsselung (Technik der doppelten Erpressung)
  7. Endgültiger Einsatz: Ausführung der vollständigen Verschlüsselungs-Nutzlast

Dieser sequentielle Ansatz ermöglicht es Angreifern, bis zum günstigen Moment für den Einsatz der Verschlüsselung diskret zu bleiben und so die Auswirkungen des Angriffs zu maximieren. Um diese komplexen Sequenzen zu erkennen, verwenden spezialisierte SOC-Teams fortschrittliche Ereigniskorrelationstechniken.

Der strategische Einsatz bösartiger DLLs

Bösartige DLLs spielen eine zentrale Rolle bei vielen modernen Ransomware-Angriffen. Diese Bibliotheken, die oft in .NET entwickelt werden, sind selbst verschleiert, um die Analyse zu erschweren, und können direkt in den Speicher geladen werden, ohne Spuren auf der Festplatte zu hinterlassen.

Die Hauptfunktionen dieser DLLs umfassen:

  • Aufrufen spezifischer Systemfunktionen
  • Umgehen von Sicherheitsmechanismen
  • Erleichterung der lateralen Ausbreitung im Netzwerk
  • Ausführen von Verschlüsselungsroutinen

Wie ein kürzlich vom Nomios SOC blockierter Vorfall gezeigt hat, kann die vollständige Rekonstruktion einer bösartigen DLL mehrere Tage intensiver forensischer Analysearbeit erfordern, selbst für erfahrene Experten.

Polymorphe Ransomware

Jenseits von Verschleierung und Fileless-Techniken stellt polymorphe Ransomware einen weiteren Fortschritt in der Raffinesse dar. Diese Schadsoftware hat die Fähigkeit, ihren Code und ihre Signatur ständig zu verändern, was die Erkennung durch herkömmliche Lösungen fast unmöglich macht.

Polymorpher Code ist ein Programm, das sich automatisch transformieren kann, während es seine ursprüngliche Funktionalität beibehält. Im Kontext von Ransomware ermöglicht diese Technik der Malware, bei jeder Infektion einzigartige Varianten von sich selbst zu generieren und so signaturbasierte Erkennungssysteme zu umgehen.

Polymorphe Techniken umfassen:

  • Codemutation während der Ausführung
  • Verwendung von Zufallscodegeneratoren
  • Einfügung nutzloser, aber harmloser Befehlssequenzen
  • Dynamische Reorganisation von Funktionen

Angesichts dieser sich entwickelnden Bedrohungen spielen moderne Security Operations Center eine entscheidende Rolle beim Schutz kritischer Infrastrukturen.

Abwehrstrategien gegen fortschrittliche Ransomware

Angesichts dieser ausgeklügelten Bedrohungen müssen Organisationen einen mehrschichtigen Verteidigungsansatz verfolgen, der fortschrittliche Technologien und menschliches Fachwissen kombiniert.

1. Verbesserung der Verhaltensanalyse

  • Einsatz von EDR-Lösungen (Endpoint Detection and Response), die Verhalten analysieren können, anstatt sich ausschließlich auf Signaturen zu verlassen
  • Aktivierung erweiterter Protokollierung von PowerShell und Skripten
  • Implementierung von Systemen zur Erkennung von Verhaltensanomalien

2. Einschränkung der Angriffsfläche

  • Einschränkung der Ausführung nicht signierter PowerShell-Skripte
  • Anwendung des Prinzips der geringsten Privilegien, um die laterale Ausbreitung zu begrenzen
  • Segmentierung des Netzwerks, um potenzielle Infektionen einzudämmen

3. Stärkung der digitalen Forensik-Fähigkeiten

  • Entwicklung von Fähigkeiten in der Analyse flüchtigen Speichers
  • Implementierung von Tools zur Erfassung und Analyse des Netzwerkverkehrs
  • Etablierung von Incident-Response-Verfahren speziell für Fileless-Angriffe

4. Integration eines modernen SOC

Ein Security Operations Center (SOC), das zur Erkennung und Reaktion auf fortschrittliche Bedrohungen ausgestattet ist, stellt ein wesentliches Element der Verteidigung gegen moderne Ransomware dar. Zu den wichtigsten Fähigkeiten eines effektiven SOC gehören:

  • Kontinuierliche 24/7-Überwachung der Infrastruktur
  • Fortschrittliche Verhaltensanalysefähigkeiten
  • Expertise bei der Erkennung von Verschleierungstechniken und Fileless-Angriffen
  • Schnelle Incident-Response-Verfahren

Expertenmeinung

Ransomware, die Techniken mit verschleiertem Code und Fileless-Angriffen verwendet, stellt 2025 eine große Bedrohung für Organisationen dar. Ihre zunehmende Raffinesse, kombiniert mit der Einführung polymorpher Techniken, macht ihre Erkennung und Analyse immer komplexer.

Für Analysten und Cybersicherheitsmanager ist das Verständnis dieser fortschrittlichen Mechanismen unerlässlich, um effektive Verteidigungsstrategien zu implementieren. Jenseits technischer Lösungen ist es ein Wettlauf um Expertise zwischen Verteidigern und Angreifern, der weitergeht.

Angesichts dieser sich ständig weiterentwickelnden Bedrohung bleibt der effektivste Ansatz die Kombination aus fortschrittlicher SOC-Technologie, hochqualifizierter menschlicher Expertise und einer von der gesamten Organisation geteilten Sicherheitskultur.

Kontakt aufnehmen

Löchern Sie unsere Security-Experten

Unser Team steht Ihnen gern für ein kurzes Telefongespräch oder Videomeeting zur Verfügung. Wir stehen bereit, um gemeinsam mit Ihnen Ihre Security-Herausforderungen, Anbietervergleiche und anstehenden IT-Projekte zu diskutieren. Wir helfen jederzeit gern.

Placeholder for Portrait of engineer beard wearing poloPortrait of engineer beard wearing polo
Updates

Weitere Updates

Placeholder for Strata cloudStrata cloud
Palo Alto Networks

Palo Alto Networks

Panorama ablösen, Potenziale heben: Der optimale Zeitpunkt für Strata Cloud

Zentrale Verwaltung neu gedacht: Warum Strata Cloud jetzt der richtige Schritt ist

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

1 min. Lesezeit
Placeholder for Defend against machine-led attacksDefend against machine-led attacks

Cybersicherheit

Sorgenfrei durch die Bedrohungs-Welle

Schützen Sie Ihre F5 BIG-IP™ mit KI-basierter Next-Gen-Security von F5 und CrowdStrike – für maximale Transparenz und Zero Trust.

2 min. Lesezeit
Placeholder for Engineers working on Managed PKIEngineers working on Managed PKI

Netzwerksicherheit

PKI in der Praxis: Anwendungsfälle, Herausforderungen und Abwägungen

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot

3 min. Lesezeit
 Alle Artikel