Lösungen
Lösungen
All-in-one-Lösung
Übersicht
Managed XDR
IT rund um die Uhr geschützt halten
24/7 Incident Response
Geschäftsbetrieb wiederherstellen
Cyber Awareness
Sicherheitsrisiken erkennen
Cyber Versicherung
Geschäftskontinuität sichern
Integrationen
Technologiepartner
Branchen
Alle Branchen
Logistik
Fertigung
Dienstleistungsbranche
Gesundheitswesen
Partner
Partnernetzwerk
Für Makler & Risikoberater
Reduzieren Sie das Cyber-Risiko Ihrer Kunden.
Für Managed-Service-Anbieter (MSP)
Erweitern Sie Ihr Angebot um Cybersicherheit.
Fallstudien
Kunden schützen
D.LIVE GmbH
Unterhaltung
Jan de Rijk
Logistik
Avi Medical
Gesundheitswesen
KeyTec Netherlands
Fertigung
Van der Most Transport
Logistik
Signature Foods
Fertigung
GOED Belgien
Gesundheitswesen
Zimmer Group
Fertigung
Preise
Ressourcen
Ressourcen
NIS2 Informationszentrum
Ihr einfacher Leitfaden zu NIS2
Blogs
Kostenloses Anti-Phishing-Tool
Jetzt kostenlos anmelden
Ressourcen-Bibliothek
Leitfäden und Broschüren
Wissensbasis
Kunden-Login
Unternehmen
Über uns
News
Karriere
Kontakt
Presse
de
en
Kontakt aufnehmen
Plattform-Tour starten
Lösungen
Back
Lösungen
All-in-one-Lösung
Managed XDR
24/7 Incident Response
Cyber Awareness
Cyber Versicherung
Integrationen
Branchen
Alle Branchen
Logistik
Fertigung
Dienstleistungsbranche
Gesundheitswesen
Partner
Back
Partnernetzwerk
Für Makler & Risikoberater
Für Managed-Service-Anbieter (MSP)
Fallstudien
Back
Kunden schützen
D.LIVE GmbH
Jan de Rijk
Avi Medical
KeyTec Netherlands
Van der Most Transport
Signature Foods
GOED Belgien
Zimmer Group
Preise
Ressourcen
Back
Ressourcen
NIS2 Informationszentrum
Blogs
Kostenloses Anti-Phishing-Tool
Ressourcen-Bibliothek
Wissensbasis
Unternehmen
Über uns
News
Karriere
Kontakt
Presse
de
en
24/7 Notfall-Hotline
Zurück zur Übersicht
5 min Lesezeit

$750K Lösegeldforderung: So half Eye Security einem Hersteller

5 min Lesezeit
März 24, 2025
Autor Arjan van Proosdij
ransomware investigation manufacturing
Autor Arjan van Proosdij
24 März 2025

Stellen Sie sich Folgendes vor: In einer Produktionshalle bricht das Chaos aus. Maschinen kommen zum Stillstand, auf Monitoren werden Warnmeldungen angezeigt und die Mitarbeiter geraten in Panik. Ein Ransomware-Angriff hat den Betrieb zum Stillstand gebracht. Jede Sekunde Ausfallzeit bedeutet Umsatzverluste, verpasste Liefertermine und zerstörtes Kundenvertrauen.

Der Ablauf eines Angriffs 

Wie viele andere glaubte auch dieser Hersteller, dass die bestehenden Sicherheitsmaßnahmen ausreichen würden. Aber Cyberkriminelle sind heutzutage raffiniert und entwickeln ihre Taktiken ständig weiter, so dass traditionelle Schutzmaßnahmen oft nicht ausreichen.

 

Computer screen displaying a ransomware message.

 

Dieses Unternehmen brauchte professionelle Hilfe, und zwar schnell.

Dies war kein simpler Überfall. Es war eine kalkulierte Infiltration. Schon Wochen zuvor hatte eine scheinbar harmlose Phishing-E-Mail eine Backdoor in die IT-Umgebung des Herstellers geöffnet. Die Angreifer arbeiteten im Hintergrund und verbrachten eine Woche damit, ihre Zugriffsrechte zu erweitern, um schließlich Administratorrechte für wichtige Systeme zu erlangen. Auf diese Weise konnten sie über 300.000 Dateien lokalisieren und stehlen und weitere zehn Millionen verschlüsseln. Der Angriff wurde in der Nacht von Freitag auf Sonntag mit erschreckender Effizienz durchgeführt.

Sofortige Reaktion: Sicherung der IT-Umgebung

Der Hersteller wandte sich an Eye Security. Wir kennen die Dringlichkeit solcher Situationen. Allein in den letzten Jahren haben wir 94 Vorfälle für Nichtkunden bewältigt, darunter 27 Ransomware-Angriffe. Da jeder Vorfall einzigartig ist, passen wir unsere Strategien an die spezifischen Anforderungen der jeweiligen Situation an.

Tag 1. Sofortiger Lockdown

Nach der ersten Besprechung rieten wir dem Unternehmen, das Netzwerk sofort vom Internet zu isolieren, um weitere Schäden zu verhindern. Der Kunde trennte die Internetverbindung, um die Angreifer zu stoppen.

Tag 1-2. Schnelle Bewertung und Schadensbegrenzung

Unser Team analysierte die externe Angriffsfläche des Unternehmens auf potenzielle Schwachstellen, während der Kunde den Umfang der Verschlüsselung und die Integrität der Backups bestätigte.

Der Schaden:

300.000 Dateien wurden gestohlen, und Millionen von Dateien waren auf allen Servern verschlüsselt.
Es wurde festgestellt, dass die Backups vor dem Löschen verschlüsselt worden waren. Angreifer behaupten oft, sensible Daten gestohlen zu haben, bevor sie alle Systeme verschlüsseln.

Um diese Behauptungen zu überprüfen, haben wir den folgenden Verifizierungsprozess angewandt:

  • Ursprüngliche Behauptung: Die Angreifer legten eine Liste von Dateinamen vor und behaupteten, sie hätten diese Dateien aus dem Netzwerk des Kunden exfiltriert.
  • Nachweis: Wir forderten bestimmte Dateien aus der Liste an und baten die Angreifer, die vollständigen Dateien und nicht nur die Namen zu liefern. Damit sollte bestätigt werden, dass sie im Besitz der Daten und nicht nur der Metadaten waren.
  • Validierung: Indem wir die angeforderten Dateien erfolgreich abrufen konnten, bestätigten wir, dass die Angreifer die Daten, einschließlich der Dateiinhalte, tatsächlich exfiltriert hatten.

Computer screen displaying a ransomware message detailing stolen files.

 

Für unsere Analyse unterstützten wir den Kunden bei der Bereitstellung von EDR-Agenten auf den zugänglichen Geräten, richteten eine sichere Verbindung für die Remote-Untersuchung ein und konfigurierten Firewall-Regeln, um uns exklusiven Zugriff zu gewähren und den Zugang von Angreifern einzuschränken.

Tag 3. Neutralisierung und Wiederherstellung

Nachdem der sichere Zugang hergestellt war, beseitigten wir alle Backdoors, um das Risiko einer erneuten Infektion zu minimieren. Gleichzeitig begannen wir in Zusammenarbeit mit dem Unternehmen, die kritischen Systeme wiederherzustellen.

Wichtige Maßnahmen:

  • Wiederherstellung der Daten: Wir haben mit spezialisierten Datenrettungsexperten zusammengearbeitet, um Daten aus verschlüsselten Systemen wiederherzustellen.
  • Wiederherstellung der Systeme: Der „Assume-Breach“-Ansatz ist effektiver als die Wiederherstellung der Systeme von einer sauberen Installation aus. Aufgrund fehlender Backups und der Entscheidung des Kunden, nicht zu zahlen, wurden in diesem Fall die betroffenen Systeme trotzdem von sauberen Installationen aus wiederhergestellt. Diese Methode ist jedoch zeitaufwendiger und führt zu längeren Ausfallzeiten.
  • Zurücksetzen von Passwörtern: Alle Passwörter wurden zurückgesetzt, um die IT-Umgebung zu sichern.
  • Beginn der Verhandlungsphase: Wir eröffneten Verhandlungen mit den Angreifern, um Optionen für die Datenwiederherstellung zu ermitteln. Es waren wertvolle Daten gestohlen worden, und es bestand die Gefahr, dass sie an die Öffentlichkeit gelangen.

Computer screen displaying a message requesting instructions from ransomware attackers on how to recover files.

Unser Ziel war es, den Betrieb des Unternehmens so schnell und sicher wie möglich wiederherzustellen.

Tag 3-4. Forensische Untersuchung

Während wir die Wiederherstellungsmaßnahmen fortsetzten, begannen wir mit einer forensischen Untersuchung. Anstelle einer langwierigen, umfassenden Analyse konzentrierten wir uns darauf, den ursprünglichen Eintrittspunkt und das Volumen der gestohlenen Daten zu identifizieren. Dieser Ansatz ermöglichte es uns, die Ursache der Sicherheitsverletzung schnell zu ermitteln und konkrete Maßnahmen zur Verhinderung künftiger Angriffe zu ergreifen.

Tag 5-15. Wiederherstellung kritischer Datenserver

Ein vollständiges Backup eines kritischen Datenservers konnte erfolgreich wiederhergestellt werden. Glück gehabt! Dies beschleunigte die Wiederherstellung der IT-Umgebung erheblich, so dass die Mitarbeiter bereits am fünfzehnten Tag nach dem Angriff ihre Arbeit wieder aufnehmen konnten. Dies unterstreicht die Notwendigkeit konsistenter Backup-Praktiken und eines robusten Backup- und Datensicherungssystems.

Tag 16-30. Verhandlungen 

Nachdem die IT-Umgebung wiederhergestellt wurde und die Mitarbeiter ihre Arbeit wieder aufnehmen konnten, wurden die Verhandlungen mit den Angreifern intensiviert. Dieser Prozess erforderte eine sorgfältige Bewertung der Situation und ein strategisches Abwägen der Kosten für die Ausfallzeit. Die Spannung war greifbar. Schließlich verlangten die Angreifer die stolze Summe von 750.000 Dollar.

Die Lösegeldforderung:

Computer screen displaying a $750,000 ransom demand.

Obwohl wir immer bestrebt sind, die finanziellen Auswirkungen zu minimieren, ist eine strategische Zahlung manchmal der schnellste Weg zur Wiederherstellung. In diesem Fall reduzierten unsere erfahrenen Verhandlungsführer die Lösegeldforderung erfolgreich auf 200.000 US-Dollar in Bitcoin, wodurch die Veröffentlichung der Daten verhindert und der Reputationsschaden erheblich verringert wurde. Die Angreifer stellten jedoch keinen Entschlüsselungsschlüssel zur Verfügung. Trotz der erfolgreichen Wiederherstellung eines wichtigen Datenserver-Backups erlitt der Kunde immer noch Datenverluste.

Tag 39. Berichterstellung

Wir erstellten einen umfassenden Bericht über den Vorfall.
Wir unterstützten das Unternehmen während des gesamten Prozesses und stellten sicher, dass es sich in seinen Entscheidungen sicher fühlte. Wir halfen dem Unternehmen auch bei der Erfüllung wichtiger gesetzlicher Anforderungen, darunter:

  • Die Entwicklung eines umfassenden Kommunikationsplans für Mitarbeiter, Kunden, Partner und Investoren.
  • Einreichen der erforderlichen Polizeiberichte.
  • Meldung des Vorfalls an die zuständigen Datenschutzbehörden unter Einhaltung strenger Meldefristen.
  • Mit unserer Unterstützung konnte der Hersteller kritische Daten sicher wiederherstellen und alle Systeme wieder in Betrieb nehmen, so dass die Produktionsanlagen innerhalb von fünfzehn Tagen nach der Lösegeldzahlung wieder einsatzbereit waren.

Eine sichere Zukunft schaffen

Diese Erfahrung zeigt, dass robuste Cybersicherheit und eine Cyberversicherung kein Luxus, sondern eine Notwendigkeit sind. Heute arbeitet der Hersteller mit Eye Security zusammen, um sich gegen künftige Bedrohungen zu schützen.

So hat das Unternehmen seine Sicherheitslage verbessert:

  • 24/7 Managed Detection & Response (MDR): Das Unternehmen hat den MDR-Service von Eye Security eingeführt und verfügt nun über ein erweitertes Team engagierter Sicherheitsexperten, die seine Endpunkte kontinuierlich überwachen und sofort auf Bedrohungen reagieren. Auf diese Weise verfügt das Unternehmen über ein 24/7 Security Operations Center (SOC) - ohne die Kosten und die Komplexität eines In-house SOC.
  • Cloud-Sicherheit: Das Unternehmen hat den robusten Cloud Detection and Response (CDR) Service von Eye Security implementiert, da es die zunehmende Bedeutung des Cloud Computing für den Betrieb erkannt hat. Dadurch werden die Cloud-Identitäten und -Daten vor unbefugtem Zugriff und Schwachstellen geschützt. Bereits einen Monat nach der Implementierung konnte unser Service einen BEC-Angriff („Business-Email-Compromise“, Kompromittierung von Geschäfts-E-Mails) erfolgreich abwehren. 
  • Cyber-Versicherung: Über das Maklernetzwerk von Eye Security konnte das Unternehmen eine Cyberversicherung abschließen, um die Betriebskontinuität zu gewährleisten.

Eye Security: Mehr als nur Incident Response

Dieser Vorfall zeigt, dass Eye Security weit über Incident Response hinausgeht. Wir werden zu Ihrem erweiterten Cybersecurity-Team und bieten:

  • Incident-Response rund um die Uhr: Unser erfahrenes Team reagiert schnell und entschlossen, um Cyberangriffe einzudämmen und eine schnelle Wiederherstellung zu ermöglichen. So minimieren Sie Ausfallzeiten und finanzielle Schäden.
  • Proaktive Bedrohungsüberwachung: Wir überwachen kontinuierlich Ihre Endpunkte und Cloud-Identitäten und neutralisieren Bedrohungen, bevor sie Schaden anrichten können.
  • Umfassenden Schutz: Wir sichern Ihre gesamte Betriebsumgebung, von Produktionslinien und Lieferketten bis hin zu Cloud-Infrastrukturen und Daten.
  • Volle Transparenz mit dem Eye-Kundenportal: Unser Kundenportal bietet Ihnen einen Überblick über Ihre gesamte Angriffsfläche sowie 24/7 Sicherheitsempfehlungen und praktische Erkenntnisse.
  • Integrierte Cyber-Versicherung: Wir helfen Ihnen, sich in der komplexen Welt der Cyber-Versicherung zurechtzufinden und stellen sicher, dass Sie den richtigen Versicherungsschutz haben.

Aus der Krise eine Chance machen

Ein Ransomware-Angriff kann eine erschreckende Erfahrung sein, wobei die Lösegeldforderungen oft über 750.000 US-Dollar liegen. Aber das muss nicht Ihre Zukunft bestimmen. Mit Eye Security können Sie ein widerstandsfähiges und sicheres Unternehmen aufbauen.

Warten Sie nicht auf einen Angriff. Sprechen Sie uns noch heute an.

Nehmen Sie Kontakt auf

Möchten Sie wissen, wie wir helfen können?
Lassen Sie uns drüber reden
GET IN TOUCH
Artikel weiterleiten

Related articles.