Ransomware-Angriff erfolgreich abgewehrt – mit Rechenpower und etwas Glück

Ein Kunde wurde Opfer eines perfiden Ransomware-Angriffs: Eine scheinbar harmlose E-Mail mit Dateianhang löste eine vollständige Verschlüsselung aller Dateien auf dem PC und den verbundenen Netzlaufwerken aus. Selbst der Backup-Server war betroffen. Die Erpresser forderten 1 Bitcoin Lösegeld – rund CHF 100'000 – samt Anleitung zur Zahlung.

Die Situation war ernst: Die gesamte Buchhaltung, offene Auftragsmappen und kritische Kundendaten waren unzugänglich. Die letzte Offline-Sicherung lag Monate zurück. Der Schaden wäre existenzbedrohend gewesen.

Was ist Ransomware?

Ransomware ist eine Schadsoftware, die Dateien verschlüsselt und erst nach Zahlung eines Lösegelds diese wieder entschlüsselt und lesbar macht. Häufig tarnt sich der Angriff als Bewerbung, Rechnung oder ZIP-Datei. Nach dem Öffnen beginnt im Hintergrund die Verschlüsselung. Die Schadsoftware verbreitet sich über das Netzwerk und verschlüsselt alle erreichbaren Speicherorte. Solche Angriffe sind oft automatisiert und professionell ausgeführt. Betroffene Systeme können ohne externe Backups kaum wiederhergestellt werden.

Unsere Lösung: Hashcat & Rechencluster

Unsere Analyse zeigte: Die Dateien wurden einzeln per SHA256-Hash kodiert. Ein Rückgängig-Machen ist eigentlich unmöglich, denn es handelt sich bei SHA256 um eine kryptografische Hashfunktion mit einer Ausgabelänge von 256 Bit. Das entspricht 2²⁵⁶ möglichen Kombinationen, also etwa 1,16 × 10⁷⁷ Möglichkeiten. Diese Anzahl ist so gewaltig, dass selbst mit allen Supercomputern der Welt und über Jahrtausende hinweg ein vollständiges Durchprobieren (Brute-Force) als praktisch unmöglich gilt. Ein direktes Rückrechnen des Hash-Werts zum ursprünglichen Passwort ist mathematisch nicht möglich – der einzige Weg ist das gezielte Ausprobieren von plausiblen Passwörtern und der Abgleich mit dem Hash. Da die Dateinamen in diesem Fall erhalten blieben, standen uns viele Dateien bekannten Inhalts (zum Beispiel Windows System Dateien) zum Vergleich zur Verfügung.

Aufgrund unserer Vernetzung mit wissenschaftlichen Instituten, konnten wir für den Zweck des Passwortknackens eine Kooperation mit der Universität Uppsala (Schweden) eingehen und auf einen riesigen GPU-Cluster zurückgreifen. Der Cluster wird sonst für kosmologische Simulationen verwendet. Mit Hashcat setzten wir auf eine sogenannte Brute-Force-Methode: Dabei wird für jeden verschlüsselten Hash-Wert ein riesiger Pool an möglichen Passwörtern durchprobiert – aus bekannten Datenlecks, Passwortlisten und Variationen. Das Ziel ist es, ein Passwort zu finden, das denselben Hash-Wert erzeugt. Mit unserem Setup konnten wir dabei mehr als 1 Million Hashes pro Minute testen. Diese parallele Berechnung auf vielen Grafikkarten gleichzeitig ermöglicht eine enorme Geschwindigkeit im Vergleich zu herkömmlichen Computern (CPUs).

Nach knapp 48 Stunden war es geschafft! Das von den Angreifern verwendete Passwort war in einem früheren Datenleck enthalten. Wir konnten alle Dateien zu 100 Prozent wiederherstellen – Lösegeld wurde nicht bezahlt.

Unsere Empfehlungen zur Vorsorge

• Schulen Sie Mitarbeitende: Sensibilisierung im Umgang mit E-Mails ist der beste Schutz.
• Offline-Backups: Speichern Sie Sicherungen regelmässig ausserhalb des Netzwerks.
• EDR-Lösungen: Moderne Antivirus-Software mit Verhaltensanalyse erkennen Ransomware frühzeitig.
• Netzwerk-Segmentierung: Begrenzen Sie den Schaden durch klare Trennung von Systemen.
• Penetrationstests & Beratung: Lassen Sie sich von Fachpersonen unterstützen - Gerne von uns!

Ransomware ist kein Einzelfall mehr. Gerne beraten wir Sie proaktiv, bevor es zu spät ist.

Wie können wir helfen?

Ihr Name * E-Mail * Telefon Nachricht * Nachricht senden

Jetzt 50 % Neukundenrabatt sichern! Den Rabattcode erhalten Sie direkt per E-Mail.