Ransomware Decoded — CryptTrap Intel Series Vol. 01

Malware
Threat Intelligence
Encryption Crime

CryptTrap · 2026

Intel Series

RANSOM

WARE

DECODED.

Was

Wie Angreifer Systeme verschlüsseln, Lösegeld fordern — und warum es funktioniert.

Schaden

$1.1 Milliarden Lösegeld 2023. 66% aller Unternehmen betroffen.

Ziel

Verstehen wie der Angriff läuft — bevor er läuft.

Was ist Ransomware?

Ransomware ist Schadsoftware die Dateien auf einem System verschlüsselt und anschließend ein Lösegeld fordert — meist in Kryptowährung — im Austausch gegen den Entschlüsselungsschlüssel.

Ransom (Lösegeld) + Ware (Software). Eine der profitabelsten Cyberwaffen der Geschichte. Sie trifft Einzelpersonen, Krankenhäuser, Konzerne und ganze Regierungen. Kein System ist per se sicher — die Frage ist wann, nicht ob.

Moderne Gruppen operieren wie Unternehmen: mit Support-Teams, SLAs für Entschlüsselung und Affiliate-Programmen für andere Angreifer. Ransomware-as-a-Service macht den Einstieg trivial.

Wie der Angriff läuft

Kein Ransomware-Angriff ist zufällig. Er läuft in klaren Phasen ab — oft über Tage oder Wochen unbemerkt, bis die Verschlüsselung startet.

Initial Access

Phishing-Mail · RDP-Exploit · kompromittiertes VPN · gestohlene Credentials

Execution & Persistence

Payload wird gestartet · Registry-Einträge · Scheduled Tasks · Backdoor installiert

Lateral Movement

Netzwerk erkunden · Rechte eskalieren · Backups lokalisieren und löschen

Data Exfiltration

Daten stehlen vor Verschlüsselung — Double Extortion: zahle oder die Daten werden veröffentlicht

Encryption + Ransom Note

AES-256 Dateiverschlüsselung · RSA-geschützter Key · Bitcoin-Adresse · Countdown

ENCRYPT0R v3.2.1 — SYSTEM LOCKED · SIMULATION

DEINE DATEIEN
WURDEN
VERSCHLÜSSELT

Preis verdoppelt sich in

71:58:44

Dateien gelöscht in

167:58:44

Lösegeldforderung

0.042 BTC

≈ $2.800 USD

Sende an

1A1zP1eP5QGefi2DMPTfTL5SLmv7Divf — SIMULATION

Alle Dateien wurden mit AES-256 + RSA-4096 verschlüsselt. Ohne unseren privaten Schlüssel ist Wiederherstellung unmöglich.

⚠ Simulation — Rein visuelles Bildungsbeispiel. Keine echte Malware.

Die Verschlüsselung

Ransomware nutzt hybride Kryptographie — zwei Algorithmen kombiniert, weil keiner allein ausreicht. AES-256 ist schnell genug um tausende Dateien in Sekunden zu verschlüsseln. RSA-2048 schützt den AES-Schlüssel selbst — nur der Angreifer hat den privaten Schlüssel.

Ohne den privaten RSA-Key ist Brute-Force in der Praxis unmöglich. Die Mathematik dahinter würde mit heutiger Hardware Milliarden von Jahren dauern.

AES-256

Symmetrisch. Verschlüsselt die Dateien selbst. Schnell, militärisch erprobt. Der gleiche Standard den Banken und Regierungen nutzen.

session_key = AES_keygen()
AES_encrypt(file, session_key)
rename(file, file + ".locked")

RSA-2048

Asymmetrisch. Verschlüsselt den AES-Key. Public Key liegt auf dem System — Private Key nur beim Angreifer. Das ist der Hebel.

pub_key = fetch_from_C2()
encrypted_key = RSA_encrypt(
session_key, pub_key
)

Case Files

Reale Angriffe — Dokumentiert

#001

WannaCry

2017 · Nordkorea / Lazarus · EternalBlue

Nutzte die NSA-Lücke EternalBlue — verbreitete sich wurmartig ohne User-Interaktion. 200.000+ Systeme in 150 Ländern. NHS, Deutsche Bahn, Telefónica. Schaden: $4–8 Milliarden.

#002

Colonial Pipeline

2021 · DarkSide Group · $4.4M

Größte Kraftstoffpipeline der USA lahmgelegt. Treibstoffversorgung an der Ostküste zusammengebrochen. CEO zahlte $4.4M in Bitcoin innerhalb von Stunden.

#003

Kaseya VSA

2021 · REvil Group · $70M Forderung

Supply-Chain-Angriff über MSP-Software. 1.500+ Unternehmen gleichzeitig kompromittiert. Coop-Supermärkte in Schweden: 800 Filialen geschlossen.

#004

Change Healthcare

2024 · BlackCat / ALPHV · $22M

Größter Angriff auf US-Gesundheitswesen. Apotheken und Krankenhäuser wochenlang ohne Abrechnungssysteme. Geschätzter Schaden: über $1 Milliarde.

Wie man sich schützt

01 3-2-1 Backup — 3 Kopien, 2 Medien, 1 offline. Air-Gap ist Pflicht.
02 Patches sofort einspielen — WannaCry nutzte eine bereits gepatchte Lücke.
03 Least Privilege — kein User braucht Admin-Rechte für alltägliche Aufgaben.
04 Netzwerksegmentierung — VLANs stoppen laterale Bewegung im Netzwerk.
05 EDR statt Antivirus — verhaltensbasierte Erkennung, nicht nur Signaturen.
06 Niemals zahlen ohne Expertenrat — Zahlung garantiert keine Entschlüsselung.

Was Angreifer wollen

→ Schnelles Lösegeld — Zeitdruck durch Countdown erzeugt Panik
→ Backups zerstören — damit keine Alternative zur Zahlung bleibt
→ Daten stehlen — Double Extortion verdoppelt den Druck
→ Admin-Rechte — je höher, desto mehr Schaden möglich
→ Unentdeckt bleiben — durchschnittlich 21 Tage im Netzwerk vor Verschlüsselung
→ Skalierung — RaaS macht Angriffe ohne technisches Wissen möglich