Kreml-Ransomware

Ransomware ist eine der zerstörerischsten Formen von Malware: Sie greift unbemerkt auf Dateien zu, verweigert legitimen Zugriff und zwingt die Opfer zu aussichtslosen Verhandlungen. Der Schutz von Geräten und Netzwerken ist nicht nur für den Schutz persönlicher und geschäftlicher Daten unerlässlich, sondern auch, um Störungen, finanzielle Verluste und eine umfassendere Gefährdung des Netzwerks zu verhindern.

Die Bedrohung durch den Kreml auf einen Blick

KREMLIN ist eine Ransomware-Familie, die bei der Untersuchung einer gefährlichen Malware-Probe entdeckt wurde. Ihr Verhalten ist direkt und skrupellos: Sie verschlüsselt die Dateien der Opfer und hängt die Erweiterung „.KREMLIN“ an (z. B. „1.png“ → „1.png.KREMLIN“, „2.pdf“ → „2.pdf.KREMLIN“). Anschließend hinterlässt sie eine README.txt-Lösegeldforderung, in der die Opfer aufgefordert werden, die Angreifer per Telegram unter @KremlinRestore zu kontaktieren. Die Nachricht dient den Angreifern als Einstiegspunkt, um eine Zahlung auszuhandeln und Kryptowährungsdetails preiszugeben. Die Wiederherstellung von Dateien ohne die Entschlüsselungstools der Angreifer ist selten möglich, weshalb gute Prävention und zuverlässige Backups unerlässlich sind.

Wie funktioniert der Kreml?

Nach erfolgreicher Ausführung listet KREMLIN Benutzerdatendateien auf, verschlüsselt sie und benennt sie mit der Endung „.KREMLIN“. Es hinterlässt eine Textdatei mit Lösegeldforderungen und Kontaktinformationen, die die Opfer über Telegram an die Angreifer weiterleitet. Die Angreifer geben dann typischerweise Zahlungsanweisungen (Kryptowährungs-Wallet, Betrag). Bleibt die Ransomware auf dem System, verschlüsselt sie möglicherweise weitere Dateien oder versucht, sich auf andere Hosts im selben Netzwerk auszubreiten.

Gängige Übertragungs- und Ausbreitungsvektoren

Bedrohungsakteure nutzen eine breite Palette von Social-Engineering- und Verbreitungstechniken, um Ransomware wie KREMLIN zu verbreiten. Typische Vektoren sind Raubkopien von Anwendungen, Cracking-Tools und Schlüsselgeneratoren, bösartige oder gefälschte E-Mail-Anhänge und Links (bösartige Office-Dokumente, PDFs, Archive), Tech-Support-Betrug, die Ausnutzung ungepatchter Software-Schwachstellen, infizierte USB-Geräte, kompromittierte oder inoffizielle Download-Sites, P2P-Netzwerke, bösartige Werbung und Downloadprogramme von Drittanbietern. Angreifer bündeln oder verschleiern häufig ausführbare Dateien in Dokumenten oder Archiven, um Benutzer zur Ausführung zu verleiten.

Warum von der Zahlung abgeraten wird und was Opfer erwarten sollten

Die Zahlung eines Lösegelds garantiert keine Datenwiederherstellung: Angreifer liefern möglicherweise keinen funktionierenden Entschlüsseler, verlangen zusätzliche Zahlungen oder verschwinden einfach. Die Zahlung fördert zudem kriminelle Aktivitäten und erhöht die Wahrscheinlichkeit zukünftiger Angriffe. Unternehmen mit zuverlässigen, getesteten Backups haben die besten Chancen auf eine vollständige Wiederherstellung ohne Zahlung. Unabhängig davon, ob Dateien letztendlich wiederhergestellt werden, ist es wichtig, die Ransomware von den infizierten Systemen zu entfernen – andernfalls könnte sie wiederhergestellte Dateien erneut verschlüsseln oder sich weiter verbreiten.

Sofortmaßnahmen nach Feststellung einer Infektion

Oberste Priorität haben die Eindämmung und Sicherung forensischer Beweise. Trennen Sie infizierte Rechner umgehend vom Netzwerk (z. B. durch Ausstecken von Netzwerkkabeln und Deaktivieren des WLANs) und isolieren Sie sie, um eine laterale Ausbreitung zu verhindern. Schalten Sie Systeme nicht abrupt ab, wenn eine forensische Erfassung geplant ist. Sichern Sie stattdessen nach Möglichkeit Images und dokumentieren Sie Zeitstempel und durchgeführte Aktionen. Wenn Sie über aktuelle, verifizierte Backups verfügen, beginnen Sie erst dann mit einer kontrollierten Wiederherstellung, wenn die Malware vollständig aus der Umgebung entfernt wurde.

Bewährte Sicherheitspraktiken zur Risikominderung und Begrenzung der Auswirkungen

Führen Sie geprüfte Offline-Backups durch: Erstellen Sie regelmäßig Backups kritischer Daten, wobei mindestens eine Kopie offline oder auf einem unveränderlichen Datenträger gespeichert sein muss. Testen Sie regelmäßig Wiederherstellungsverfahren, damit die Backups im Notfall zuverlässig funktionieren.

Patchen und härten Sie Systeme : Wenden Sie zeitnah Sicherheitsupdates auf Betriebssysteme, Anwendungen und Firmware an. Reduzieren Sie die Angriffsfläche, indem Sie nicht verwendete Dienste deaktivieren und unnötige Software entfernen.

Nutzen Sie Endpunktschutz und EDR : Setzen Sie moderne Antiviren- und Endpunkterkennungs- und -reaktionslösungen ein, die bösartiges Verhalten erkennen und blockieren können, mit zentraler Protokollierung und Warnfunktion.

Erzwingen Sie das Prinzip der geringsten Berechtigungen und die Netzwerksegmentierung : Beschränken Sie Benutzer- und Dienstberechtigungen auf das Nötigste. Segmentieren Sie Netzwerke, sodass ein kompromittierter Endpunkt nicht ohne Weiteres auf kritische Server oder Backups zugreifen kann.

Starke Authentifizierung und MFA : Erfordern Sie eine Multi-Faktor-Authentifizierung für Fernzugriff, E-Mail und Administratorkonten. Ersetzen Sie Standardkennwörter oder schwache Passwörter durch starke, eindeutige Anmeldeinformationen.

Sichere E-Mail- und Web-Gateways : Nutzen Sie erweiterte E-Mail-Filter und URL-Scans, um schädliche Anhänge und Phishing-Links zu reduzieren. Implementieren Sie DNS- und Web-Filter, um den Zugriff auf bekannte schädliche Websites oder Command-and-Control-Infrastrukturen zu blockieren.

Benutzerschulungen und Phishing-Simulationen : Schulen Sie Ihre Mitarbeiter regelmäßig im Erkennen von Phishing, Social Engineering und verdächtigen Downloads. Nutzen Sie simulierte Phishing-Kampagnen, um das Bewusstsein zu messen und zu verbessern.

Kontrollieren Sie die Installation von Software und Wechselmedien : Schränken Sie die Installation von Anwendungen oder die Ausführung von nicht signiertem Code ein. Blockieren oder überwachen Sie die Verwendung von USB-Laufwerken und anderen Wechselmedien.

Überlegungen zur Wiederherstellung und Bereinigung

Die Beseitigung der Ransomware ist Voraussetzung für eine sichere Wiederherstellung. Arbeiten Sie mit IT- und Sicherheitsexperten zusammen, um Persistenzmechanismen (Starteinträge, geplante Aufgaben, Dienste, Lateral-Movement-Artefakte) zu identifizieren und zu entfernen. Erstellen Sie gegebenenfalls ein Reimage für stark kompromittierte Systeme. Stellen Sie vor der Datenwiederherstellung sicher, dass die Umgebung sauber ist. Andernfalls werden die wiederhergestellten Daten möglicherweise erneut verschlüsselt. Sichern Sie Beweise für die Strafverfolgung und konsultieren Sie gegebenenfalls Cyber-Versicherungsanbieter und Rechtsberater zu Offenlegungspflichten.

Abschließende Anmerkungen – Resilienz statt Lösegeld

Die Vorgehensweise von KREMLIN – Dateien verschlüsseln und die Zahlung in Kryptowährung verlangen, nachdem die Opfer angewiesen wurden, über Telegram Kontakt aufzunehmen – ist typisch für moderne Ransomware: schnell, störend und finanziell motiviert. Die wirksamste Verteidigung ist ein mehrschichtiges Sicherheitskonzept (technische Kontrollen, Patches, Erkennung), robuste Offline-Backups und eine geübte Reaktion auf Vorfälle. Im Falle einer Infektion sollten Eindämmung, Entfernung und Wiederherstellung aus vertrauenswürdigen Backups Priorität haben. Verlassen Sie sich nicht auf die Versprechungen der Angreifer und beauftragen Sie professionelle Notfallhelfer und Strafverfolgungsbehörden.