Frühe Ransomware folgte einem einfachen Prinzip: in ein System eindringen, Dateien verschlüsseln und für den Entschlüsselungsschlüssel ein Lösegeld fordern. Als Organisationen begannen, statt zu zahlen ihre Daten aus Backups wiederherzustellen, entwickelten die Angreifer ein lukrativeres Modell – die doppelte Erpressung.

Bei einem Angriff mit doppelter Erpressung stehlen die Täter zunächst sensible Daten wie Patientenakten oder Abrechnungsdaten, bevor sie das Zielsystem verschlüsseln. Die Opfer geraten dann von zwei Seiten unter Druck: Sie sollen für den Entschlüsselungsschlüssel zahlen – oder die Veröffentlichung der gestohlenen Daten in Kauf nehmen. Gegen dieses Modell helfen Backups allein nicht mehr, denn die Angreifer besitzen die Daten bereits. Wer das Lösegeld verweigert, riskiert die Offenlegung sensibler Dateien mit entsprechenden geschäftlichen und regulatorischen Folgen.

Die Lage verschärft sich weiter: Fälle dreifacher Erpressung nehmen zu. Dabei kontaktieren die Angreifer direkt die Kunden oder Partner der betroffenen Organisation, um zusätzlichen Druck aufzubauen.

Bis 2025 wurden 124 aktive Ransomware-Gruppen identifiziert, davon 73 neu aufgetauchte. Die Verbreitung KI-gestützter Werkzeuge senkt zudem die Einstiegshürde für Cyberkriminalität und macht Ransomware-Fähigkeiten auch für weniger versierte Akteure zugänglich.

Mit dem Aufkommen mehrstufiger Erpressung verlieren klassische Abwehrstrategien ihre Grundlage: Reine Perimeter-Prävention reicht nicht mehr aus. Organisationen brauchen einen Schutz, der verhindert, dass Daten nach einem Einbruch als Waffe gegen sie verwendet werden – indem exfiltrierte Daten unlesbar bleiben, Ransomware der Zugriff auf Dateien von vornherein verwehrt wird und eine rasche Wiederherstellung möglich ist.

An dieser Stelle setzt D.AMO an, eine verschlüsselungsbasierte Datenschutzplattform von Penta Security, die auf jede Phase eines Angriffs mit Mehrfach-Erpressung ausgelegt ist. Sie verbindet Verschlüsselung, Zugriffskontrolle und Backup-Wiederherstellung über lokale und Cloud-Umgebungen hinweg.

Über Dateiverschlüsselung und prozessbasierte Zugriffskontrolle schützt D.AMO kritische Daten auf Servern und PCs. Die Komponente D.AMO KE verschlüsselt sämtliche Dateien in vom Administrator festgelegten Ordnern auf Betriebssystemebene. Sie lässt sich per Installer ohne Änderungen am Quellcode einrichten und arbeitet mit Verschlüsselung auf Kernel-Ebene, sodass bestehende Systeme ohne Beeinträchtigung der Nutzererfahrung geschützt werden.

Die Verschlüsselungsrichtlinien werden auf Ordnerebene angewendet. Selbst wenn Angreifer sensible Daten abziehen, bleiben die Dateien verschlüsselt – womit die für die doppelte Erpressung zentrale Drohung der Datenoffenlegung entfällt. D.AMO KE setzt zudem eine strikte Zugriffskontrolle für Prozesse und Betriebssystem-Nutzer durch und blockiert Ransomware sowie andere Schadprogramme automatisch. Blockierte Aktivitäten werden über eine Audit-Log-Funktion erfasst und lassen sich zentral im D.AMO Control Center auswerten.

Selbst nach einem erfolgreichen Angriff können Organisationen über ein eigenständig verwaltetes Wiederherstellungssystem den Betrieb wieder aufnehmen. Die Möglichkeit, aus Backups wiederherzustellen, verringert die Abhängigkeit von Verhandlungen über Entschlüsselungsschlüssel mit den Tätern deutlich.

Dieser Beitrag wurde von Penta Security gesponsert und verfasst.