Dateilose Taktiken, persistente Bedrohungen: Supply-Chain-Angriffe als Einstiegspunkt für Ransomware

Angriffe auf Softwarelieferketten gehören inzwischen zur Spitze moderner Ransomware-Kampagnen. Anstelle einer direkten Infektion des Zielsystems attackieren Täter gezielt Drittanbieter, Bibliotheken oder hardwarenahe Komponenten und schaffen auf diese Weise verdeckte Eintrittswege in Unternehmensnetze. Diese indirekte Vorgehensweise macht nicht nur die Zuordnung schwieriger, sondern unterläuft etablierte Verteidigungsmechanismen. Kombiniert mit dateilosen Techniken führt das zu einer Bedrohungslage, die sich nur schwer erkennen lässt: Eine  Kompromittierung erfolgt heute häufig nicht mehr durch klassische Schadsoftware, sondern über Speicheroperationen, legitime Tools und standardisierte Betriebssystemkomponenten.

Die Sicherheitsarchitektur vieler Unternehmen ist auf solche Szenarien nicht vorbereitet. Besonders in vernetzten Branchen mit langen Produktlebenszyklen, komplexen Abhängigkeiten zwischen Komponenten und einer hohen Dichte an Embedded-Systemen finden Angreifer günstige Bedingungen vor. Dass etwa 69 Prozent aller Organisationen im vergangenen Jahr mindestens einen erfolgreichen Ransomware-Angriff meldeten (laut Veeam Ransomware Trends Report), überrascht vor diesem Hintergrund kaum. Noch gravierender ist, dass sich bei über 89 Prozent dieser Vorfälle der Angriff gezielt gegen Backup-Repositories richtete – in 34 Prozent der Fälle mit zumindest teilweisem Erfolg. Die oft zitierte Vorstellung, Ransomware beginne stets mit einem Dateianhang in einer E-Mail, greift in diesem Kontext deutlich zu kurz.

Lieferketten als Achillesferse

Das eigentliche Einfallstor liegt in den vorgelagerten Abhängigkeiten. Ob Remote-Update, Drittanbieter-SDK oder generisch eingebundene Firmware, der eigentliche Angriff erfolgt upstream. Erst nach erfolgreicher Modifikation gelangt die manipulierte Komponente mit regulären Prozessen zum eigentlichen Ziel.

Dieser Downstream-Angriff wirkt dann wie ein legitimes Update, ein vertrauliches Logistiksystem oder ein langjährig genutztes Embedded-Modul. Prominente Vorfälle wie bei SolarWinds, Kaseya, MOVEit oder ASUS Live Update haben gezeigt, wie wirkungsvoll dieser Mechanismus funktioniert. Es genügt, einen einzigen, zentralen Update-Prozess zu kompromittieren, um anschließend zehntausende Zielsysteme simultan zu infizieren.

Dabei geraten längst nicht nur klassische IT-Komponenten ins Visier. Besonders industriell eingesetzte Steuerungen und Geräte mit Echtzeitbetriebssystemen (RTOS), die selten aktualisiert werden und häufig Open-Source-Komponenten wie BusyBox oder OpenSSL enthalten, sind lohnende Ziele. Angreifer nutzen hier fehlende Integritätsprüfungen, eingebettete Bibliotheken oder selten dokumentierte Firmwarepfade, um Schadcode über längere Zeiträume unerkannt zu verteilen. Die Tatsache, dass rund 80 Prozent aller industriellen Firmware-Stacks quelloffene Module enthalten, erhöht das Risiko signifikant.

Dateilose Angriffe erschweren Erkennung

Einmal in der Zielumgebung angelangt, verzichten moderne Angreifer zunehmend auf klassische Malware. Stattdessen arbeiten sie mit dateilosen Techniken, bei denen keine ausführbare Datei auf der Festplatte abgelegt wird. Die Nutzlast existiert ausschließlich im Arbeitsspeicher oder in persistenten Konfigurationselementen wie dem Windows-Management-Instrumentation-(WMI)-Repository, der Windows-Registrierung oder in geplanten Aufgaben. Diese Strategie hat zwei Vorteile: Sie vermeidet signaturbasierte Erkennungsmethoden und erschwert die forensische Nachverfolgung. In einer Illumio-Studie gaben 56 Prozent der Befragten an, Opfer eines Angriffs geworden zu sein, bei dem Daten exfiltriert, aber keine Malware sichtbar hinterlassen wurde.

Die technische Umsetzung dieser Angriffe variiert. Bei Typ-I-Angriffen erfolgt keine Dateinutzung, wie bei DoublePulsar, das per EternalBlue-Schwachstelle direkt in den Kernelspeicher injiziert wird. Andere Varianten wie Kovter (Typ III) nutzen Registrierungseinträge zur Steuerung, legen aber keine verwertbare Datei auf dem Datenträger ab.

Dazwischen liegt Typ II, hier werden Skripte oder Shellcode im WMI oder als Autorun definiert, ohne je als Datei aufzutreten. Die Folge: selbst gründliche Antivirenscans erkennen
die Bedrohung nicht, weil schlicht nichts zum Scannen existiert.

Angriff mit Bordmitteln

Ergänzt wird dieses Arsenal durch sogenannte Living-off-the-Land-Techniken (LOTL). Angreifer nutzen dabei legitime, signierte Systemtools wie regsvr32.exe, powershell.exe oder mshta.exe zur Ausführung ihrer Schadlogik. Der gesamte Angriff findet so im Rahmen gültiger Systemprozesse statt, ohne verdächtige Binärdateien, ohne auffällige Prozesse. Besonders perfide: Viele dieser Tools sind in Whitelists enthalten oder werden in produktiven Umgebungen aktiv genutzt. Ein Exploit, der über PowerShell eine Registry-Backdoor setzt, ist schwerer zu entdecken als ein klassischer Dropper.

Diese Methoden sind nicht nur raffinierter, sondern auch effektiver. Die Illumio-Studie beziffert den durchschnittlichen finanziellen Schaden eines einzelnen Ransomware-Vorfalls auf 146.685 US-Dollar, bei nur 13 Prozent vollständiger Datenwiederherstellung nach Lösegeldzahlung. Immer häufiger arbeiten Angreifer in mehreren Phasen: zunächst der Zugriff über ein legitimes Tool, dann laterales Vorgehen (lateral movement) mit gestohlenen Credentials, schließlich Datenexfiltration oder Kryptolocker. In 47 Prozent der Fälle dient die Exfiltration erbeuteter Daten der Erpressung.

Lieferkette unter rechtlichem Druck

Mit dem Cyber Resilience Act (CRA) und der Radio Equipment Directive (EN18031) führt die EU eine Herstellerhaftung für unsichere Produkte ein. Gleichzeitig wächst die internationale Zusammenarbeit: Der US-amerikanischen Counter-Ransomware-Initiative gehören inzwischen über 60 Staaten an, mehrere Länder verbieten öffentliche Lösegeldzahlungen.

Die technischen Herausforderungen bleiben jedoch bestehen, besonders in komplexen Lieferketten mit unsicheren Komponenten. Ransomware-Gruppen agieren heute schneller und gezielter. Die durchschnittliche „Dwell Time“ – die Zeitspanne zwischen initialem Zugriff und aktiver Schadensausführung – liegt laut Veeam mittlerweile unter 24 Stunden.

Gleichzeitig hat sich die Erkennungsqualität verbessert. Das Antimalware Scan Interface (AMSI) von Microsoft ermöglicht die Analyse von Skript-Inhalten zur Laufzeit, selbst bei starker Verschleierung. In Microsofts Sharpshooter-Fallbeispiel wurde .NET-Shellcode direkt aus dem Arbeitsspeicher blockiert, ohne dass eine Datei vorhanden war.

Microsofts Defender ATP nutzt zusätzlich Speicherscans, Verhaltensüberwachung und kontrollierte Zugriffsmechanismen, um auch verschachtelte Makro-Payloads wie Ursnif oder Fileless-Trojaner wie Powemet zu erkennen. Entscheidender Vorteil: Durch Multi-Process-Correlation lässt sich auch lateral eingeschleuste Malware rekonstruieren, zum Beispiel wenn ein initiales Makro ein Kommandozeilenprogramm auslöst, das wiederum über powershell.exe ein Remote-Skript lädt.

Lücken in der Verteidigung

Trotz wachsender Awareness bleibt die Abwehr fragmentiert. Nur 42 Prozent der Unternehmen setzen laut Illumio gezielt KI-gestützte Verteidigungsmechanismen gegen Ransomware ein. Die Hälfte der Unternehmen beklagt eine erschwerte Reaktionsfähigkeit durch interne Nachlässigkeit, unzureichende Prozesse oder fehlende Sichtbarkeit. Segmentierung, Zero Trust und Multi-Faktor-Authentifizierung (MFA) gelten zwar als etablierte Bausteine, entfalten jedoch nur Wirkung in Kombination mit präziser Netzwerktransparenz, Angriffserkennung und automatisierter Isolation.

Ein zentraler Schwachpunkt bleibt der Mensch. Social Engineering liefert auch 2025 den Einstiegspunkt für viele dateilose Kampagnen. In 58 Prozent der Fälle beginnt der Angriff laut Illumio mit einer Phishing-E-Mail, häufig gefolgt von der Aktivierung eines Makros oder dem Klick auf einen präparierten Link. Dass Windows S-Mode Skriptausführung unterbindet, ist ein Schritt, schützt jedoch nur einzelne Nutzersegmente. In realen Infrastrukturen helfen nur Awareness, Angriffssimulationen und robuste Endpoint-Detection-and-Response-(EDR)-Systeme.

Fazit

Moderne Ransomware-Operationen nutzen gezielt die Schwächen der Softwarelieferkette und kombinieren sie mit dateilosen Persistenzmechanismen. Dies erfordert ein neues Verteidigungsparadigma: weg von signaturbasierten Modellen, hin zu verhaltensbasierter Erkennung, Speicheranalyse und tiefgreifender Integritätsprüfung in allen Stufen der IT- und OT-Infrastruktur. Angreifer agieren heute methodisch und kennen die eingesetzten Tools, die Systemlandschaft und typische menschliche Fehler. Die nächste Supply-Chain-Attacke wird nicht durch eine verdächtige Datei auffallen – sie kommt als scheinbar harmloses, digital signiertes Update.