Der Vorfall
Im Oktober 2020 veröffentlichten FBI, CISA und das US-Gesundheitsministerium eine gemeinsame Warnung: Eine „unmittelbare und zunehmende Cyberkriminalitäts-Bedrohung" richte sich gezielt gegen US-Krankenhäuser. Der Name der Bedrohung: Ryuk.
Zwischen 2018 und 2020 traf Ryuk hunderte Organisationen weltweit. Die Angreifer wählten ihre Ziele mit Bedacht: Krankenhäuser, deren Patientendaten Leben und Tod bedeuten. Stadtverwaltungen, die ohne IT nicht arbeitsfähig sind. Schulbezirke in der Pandemie, die auf Fernunterricht angewiesen waren.
Die Stadt New Orleans rief im Dezember 2019 den Notstand aus, nachdem Ryuk die gesamte Stadtverwaltung lahmgelegt hatte. Die Wiederherstellung kostete über 7 Millionen Dollar. Die Stadt Riviera Beach in Florida zahlte 600.000 Dollar Lösegeld. Lake City, ebenfalls in Florida, überwies 460.000 Dollar in Bitcoin.
Im September 2020 traf Ryuk die Universal Health Services (UHS), einen der größten US-amerikanischen Krankenhausbetreiber mit über 400 Einrichtungen. 250 Kliniken waren betroffen. Ärzte mussten auf Stift und Papier umsteigen. Laborbefunde konnten nicht abgerufen werden, Medikamentenpläne waren nicht verfügbar. Der Schaden: 67 Millionen Dollar.
In Deutschland traf Ryuk unter anderem die Düsseldorfer Funke Mediengruppe im Dezember 2020. Die Zeitungsredaktionen konnten keine Ausgaben mehr produzieren. Notausgaben wurden an externen Standorten erstellt.
Das FBI schätzt, dass Ryuk zwischen 2018 und 2021 Lösegelder von über 150 Millionen US-Dollar erpresst hat.
Wie der Angriff funktionierte
Ryuk war keine eigenständige Attacke, sondern die letzte Stufe einer sorgfältig orchestrierten Angriffskette. Die Täter – die russischsprachige Gruppe „Wizard Spider" – operierten wie ein Unternehmen mit arbeitsteiligen Prozessen.
Stufe 1 – Emotet öffnet die Tür: Der Angriff begann fast immer mit einer Emotet-Phishing-Mail. Ein Mitarbeiter öffnete ein Word-Dokument, aktivierte Makros, und Emotet installierte sich auf dem Rechner. Dieser Schritt war vollständig automatisiert und traf tausende Unternehmen gleichzeitig.
Stufe 2 – TrickBot erkundet das Netzwerk: Einige Tage nach der Emotet-Infektion wurde TrickBot nachgeladen. TrickBot war spezialisiert auf Aufklärung: Er identifizierte die Netzwerkstruktur, fand Domain Controller, stahl Administratoren-Zugangsdaten und kartografierte die wertvollsten Systeme. TrickBot meldete seine Ergebnisse an die Angreifer zurück.
Stufe 3 – Manuelle Bewertung: Jetzt kam der menschliche Faktor. Die Angreifer prüften die von TrickBot gesammelten Informationen. Handelt es sich um ein lohnendes Ziel? Wie groß ist das Netzwerk? Wie hoch ist der Jahresumsatz? Gibt es Cyberversicherung? Basierend auf dieser Bewertung wurde die Lösegeldforderung kalkuliert – typischerweise zwischen 100.000 und 12,5 Millionen Dollar.
Stufe 4 – Vorbereitung der Verschlüsselung: Die Angreifer verbanden sich manuell über TrickBots Backdoor mit dem Netzwerk. Sie deaktivierten Virenscanner, löschten Schattenkopien und Backups, deaktivierten Windows-Wiederherstellungspunkte. Dieser Vorgang dauerte oft mehrere Tage und geschah in der Regel nachts oder am Wochenende, wenn die IT-Abteilung nicht besetzt war.
Stufe 5 – Ryuk schlägt zu: Erst jetzt wurde Ryuk ausgerollt – gleichzeitig auf alle erreichbaren Systeme im Netzwerk. Ryuk verschlüsselte Dateien mit einer Kombination aus AES-256 und RSA-4096. Eine Entschlüsselung ohne den Schlüssel war mathematisch unmöglich. Auf dem Bildschirm erschien die Lösegeldforderung.
Warum Virenscanner versagten
Die Emotet-TrickBot-Ryuk-Kette war geradezu darauf ausgelegt, Virenscanner zu umgehen:
Zeitfaktor: Zwischen der initialen Emotet-Infektion und dem Ryuk-Angriff vergingen typischerweise zwei bis vier Wochen. In dieser Zeit hatten die Angreifer längst Administratorrechte erlangt und konnten Virenscanner gezielt deaktivieren oder Ausnahmeregeln hinzufügen.
Gezielte Deaktivierung: Vor dem eigentlichen Ryuk-Angriff deaktivierten die Täter systematisch alle Sicherheitslösungen. Sie nutzten die gestohlenen Admin-Zugangsdaten, um Virenscanner per Gruppenrichtlinie auf allen Rechnern gleichzeitig abzuschalten. Der Scanner war also gar nicht mehr aktiv, als Ryuk zum Einsatz kam.
Individuelle Anpassung: Ryuk wurde vor jedem Einsatz gegen die gängigen Virenscanner getestet und bei Bedarf angepasst. Die Angreifer hatten die Zeit und die Ressourcen, jede Version so zu modifizieren, dass sie zum Zeitpunkt des Angriffs von keinem Scanner erkannt wurde.
Legitime Administrationstools: Die manuelle Ausbreitung im Netzwerk erfolgte über RDP, PsExec und PowerShell – alles legitime Administrationstools. Für den Virenscanner sah es aus, als würde ein Administrator ganz normal arbeiten.
So hätte Deep Freeze geschützt
Die Ryuk-Angriffskette ist lang – und genau darin liegt die Chance für Deep Freeze, sie zu durchbrechen.
Stufe 1 wird eliminiert: Emotet installiert sich auf der Systempartition und richtet Persistenz ein (Registry-Einträge, geplante Aufgaben, Autostart). Beim nächsten Neustart mit Deep Freeze: alles weg. Keine Emotet-Installation, keine C2-Verbindung, kein Nachladen von TrickBot.
Die gesamte Kette bricht: Ohne Emotet kein TrickBot. Ohne TrickBot keine Netzwerkaufklärung. Ohne Netzwerkaufklärung keine gestohlenen Admin-Zugangsdaten. Ohne Admin-Zugangsdaten kein Deaktivieren der Sicherheitssysteme. Ohne all das kein Ryuk. Die gesamte Kette besteht aus aufeinander aufbauenden Stufen – und Deep Freeze zerreißt sie an der Basis.
Selbst bei verzögertem Neustart: Angenommen, ein Rechner wird ausnahmsweise eine Woche lang nicht neu gestartet und TrickBot ist bereits aktiv. Beim nächsten Neustart wird trotzdem alles zurückgesetzt. TrickBot kann nur Informationen sammeln, solange er aktiv ist. Nach dem Neustart ist er weg – und die Angreifer verlieren ihren Zugang zu diesem Rechner.
Die manuelle Phase wird unmöglich: Die Angreifer brauchen persistenten Zugang zum Netzwerk, um ihre mehrtägige Vorbereitung durchzuführen. Wenn ihre Backdoors bei jedem Neustart verschwinden, können sie weder Backups löschen noch Virenscanner deaktivieren noch Ryuk ausrollen.
Bei UHS hätten 250 Kliniken statt eines wochenlangen Ausfalls nach koordinierten Neustarts sofort wieder arbeiten können. 67 Millionen Dollar Schaden – vermieden durch einen simplen Neustart.
Die Lehre
- Professionelle Angreifer arbeiten mehrstufig. Die Emotet-TrickBot-Ryuk-Kette zeigt: Moderne Cyberangriffe sind keine einzelnen Ereignisse, sondern wochen- oder monatelange Operationen. Jede Stufe braucht Persistenz auf der Systempartition – und genau die verhindert Deep Freeze.
- Virenscanner können deaktiviert werden. Wenn Angreifer Administratorrechte haben, schalten sie Virenscanner einfach ab. Deep Freeze kann nicht per Software deaktiviert werden – selbst mit Administratorrechten.
- Lösegeldzahlung ist keine Lösung. Selbst wenn Du zahlst, garantiert das nicht die Entschlüsselung. Das FBI rät ausdrücklich von Zahlungen ab. Mit Deep Freeze brauchst Du gar nicht erst in diese Situation zu kommen.
- Krankenhäuser und Kommunen sind besonders verwundbar – weil sie auf ihre IT angewiesen sind und gleichzeitig oft unterfinanziert. Deep Freeze ist eine kosteneffiziente Lösung, die genau diese Organisationen schützt.
- Die beste Verteidigung macht den Angriff wertlos. Ryuk funktioniert nur, wenn die Verschlüsselung Druck erzeugt. Wenn Du Deine Systeme per Neustart wiederherstellen kannst, gibt es keinen Druck – und keinen Grund zu zahlen.