Warum Medusa Ransomware eine wachsende Bedrohung für kritische Infrastrukturen darstellt

Senior Content Marketing Manager

April 4, 2025

23 min. Lesedauer

Medusa war schon immer etwas mehr als ein Monster.

In alter Mythos, ihr Blick verwandelte Männer in Stein. Während der Renaissance, sie war ein Symbol für Schönheit, die tödlich wurde. Heute ist sie wieder zu einer Figur der Transformation geworden — sie taucht auf in Mode, Popkultur und Symbole der Ermächtigung.

Heute ist sie zurück — nicht in Marble oder Mythos, sondern in Form von Schadsoftware. Der Ransomware-as-a-Service (RaaS) -Betrieb von Medusa, aktiv seit Juni 2021, verstärkt derzeit Angriffe auf kritische Infrastrukturen auf der ganzen Welt. Zu den Zielbranchen gehören die Medizin-, Bildungs-, Rechts-, Versicherungs-, Technologie- und Fertigungsindustrie.

In den ersten beiden Monaten des Jahres 2025 war die Anzahl der Medusa-Ransomware-Angriffe hat sich im Vergleich zum Vorjahreszeitraum verdoppelt — ein starker Anstieg, der signalisiert, dass Medusa beschleunigt und nicht verblasst.

Different portrayals of Medusa throughout the years

Im Mythos bedeutete der Anblick der Medusa den Tod. Im Bereich Cybersicherheit kann es Strom, Wasser, Verkehr, Finanzsysteme und das Vertrauen der Öffentlichkeit gefährden — die Infrastruktur, die die Welt am Laufen hält, wenn man sie nicht sieht. ‍

Eine gemeinsame Warnung von CISA und FBI

Im Februar 2024 gaben CISA und das FBI eine gemeinsame Empfehlung heraus: #StopRansomware: Medusa Ransomware.

Mehr als 300 Organisationen sind bereits Opfer gefallen, darunter Krankenhäuser, Finanzinstitute, Schulen und Regierungsbehörden.

Die Agenturen haben diese dringenden Schritte empfohlen:

Stellen Sie sicher, dass Betriebssysteme, Software und Firmware gepatcht und auf dem neuesten Stand sind.
Segmentieren Sie Netzwerke, um laterale Bewegungen einzuschränken.
Filtern Sie den Netzwerkverkehr, indem Sie verhindern, dass unbekannte oder nicht vertrauenswürdige Quellen auf Remotedienste zugreifen.

Ransomware ist jetzt ein nationales Risiko

‍Ransomware war nicht immer so gefährlich. 1989 kam es zum ersten bekannten Ransomware-Angriff — bekannt als AIDS-Trojaner — wurde per Diskette geliefert und verlangte 189$ per Post.

Heute, laut Illumio's Studie zu den globalen Kosten von Ransomware:

25% der kritischen Systeme fallen während eines Angriffs aus, durchschnittlich 12 Stunden lang.
Die durchschnittlichen Lösegeldforderungen übersteigen 1,2 Millionen US-Dollar.
Selbst nach der Zahlung stellen nur 13% der Opfer alle ihre Daten wieder her.
Die Eindämmung dauert über 130 Stunden (etwa 11 Tage) und fast 18 Personen.

Ransomware ist nicht nur eine Cyberbedrohung. Das kostet Zeit, Geld und Belastbarkeit. Und wenn kritische Infrastrukturen betroffen sind, kann das auf dem Spiel stehende Geld ruinieren, die Öffentlichkeit gefährden und sogar Regierungen destabilisieren.

Warum kritische Infrastrukturen so gefährdet sind

‍Kritische Infrastruktur ist aus einem wichtigen Grund ein Magnet für Ransomware: Es ist wichtig.

„Kritische Infrastrukturen sind von Natur aus unverzichtbar — wenn man sie ausschaltet, ist der Dominoeffekt enorm“, sagt Trevor Dearing, Direktor für kritische Infrastrukturlösungen bei Illumio. „Die eigentliche Gefahr für kritische Dienste besteht darin, dass der Betrieb unterbrochen wird — wenn Strom-, Wasser- oder Transportsysteme ausfallen. Dann wird es wirklich gefährlich.“

Von Stromnetzen bis hin zu Pipelines läuft das Rückgrat der Gesellschaft oft auf veralteter, nicht patchbarer Technologie — insbesondere auf älteren ICS- und SCADA-Systemen.

Michael Adjei, Direktor für Systemtechnik bei Illumio für EMEA, stimmt dem zu.

„Diese Systeme sind schwer zu aktualisieren und für Angreifer leicht auszunutzen“, sagt er. „Das macht sie zu idealen Zielen für Ransomware wie Medusa.“

Auch wenn die Modernisierung an Fahrt gewinnt, bleibt die Sicherheit in der Welt der kritischen Infrastrukturen oft auf der Strecke.

„Festverdrahtete Steuerungssysteme werden durch Ethernet und Wi-Fi ersetzt, ohne die Auswirkungen auf die Sicherheit vollständig zu berücksichtigen“, sagt Dearing. „Und viele Hersteller liefern Geräte mit schwacher Standardsicherheit aus — und schränken dann ein, was Unternehmen tun können, um sie zu schützen.“

Viele Organisationen für kritische Infrastrukturen befinden sich in öffentlichem Besitz oder sind auf nationale Mittel angewiesen. Das bedeutet langsame Beschaffung, komplexe Aufsicht und begrenzte Budgets. Mit anderen Worten, es ist ein riesiges, unterverteidigtes Ziel.

Wie ernst könnte ein Angriff auf kritische Infrastrukturen werden?

Im Jahr 2023 wurden 11 der 15 häufigsten Sicherheitslücken als Zero-Day-Lücken ausgenutzt, so ein gemeinsamer Bericht von CISA und der NSA. Die Geschwindigkeit und das Ausmaß der Ausnutzung zeigen, wie schnell Angreifer dazu übergehen, Schwachstellen als Waffe auszunutzen, bevor die Verteidiger sie reparieren können — insbesondere in kritischen Systemen. Im Zuge der Weiterentwicklung der Ransomware-Taktiken können Angreifer kleinere Sicherheitslücken in große Bedrohungen verwandeln — mit dem Potenzial, kritische Infrastrukturen zu destabilisieren und wichtige Dienste zu stören.

Ransomware wurde für das Hybrid-Zeitalter entwickelt

Medusa benötigt keine Zero-Day-Schwachstellen oder laute Exploits. Es bewegt sich leise und wurde für Hybridumgebungen entwickelt, in denen Cloud-Apps eine Verbindung zu lokalen Rechenzentren herstellen können. ‍

Medusa vermeidet die Erkennung, indem es Tools verwendet, die sich bereits in Ihrem Netzwerk befinden — bekannt als vom Land leben (Los L). Anstatt neue Malware zu verbreiten, nutzt es integrierte Programme und Sicherheitslücken aus, um sich in den normalen Betrieb einzufügen.

Dazu könnten gehören:

PowerShell
Windows-Verwaltungsinstrumentation (WMI)
Remotedesktop-Protokoll (RDP)
ConnectWise ScreenConnect
SSH (auf Linux- und Unix-Systemen)

„Diese Tools sind erlaubt, vertrauenswürdig und verfügen bereits über den Zugriff, den sich Angreifer wünschen“, sagt Adjei. „Es geht weniger um das Tool als vielmehr um sein Privileg und seine Reichweite.“

Fernverwaltungssoftware wie ScreenConnect oder SolarWinds ist besonders attraktiv, da sie vorab zugelassen ist. Es wurde für die Vernetzung, Überwachung und Steuerung im großen Maßstab entwickelt und wird in den falschen Händen zu einem Kraftmultiplikator, sodass Angreifer sofort systemübergreifend zugreifen können.

Und wenn sich Ransomware wie die IT verhält, löst sie möglicherweise keine Alarme aus.

Wie Adjei es ausdrückt: „Moderne Ransomware stürzt nicht durch die Haustür ab — sie mischt sich wie ein Spion ein.“‍

Seitliche Bewegung: Wie sich Medusa ausbreitet

Angreifer landen dort, wo es einfach ist — nicht dort, wo sie sein wollen. Dann bewegen sie sich lautlos durch das Netzwerk, System für System, bis sie die Kronjuwelen erreichen.

Es gibt zwei Arten von seitliche Bewegung:

‍Host-intrinsisch: Rechteerweiterung innerhalb des Systems (z. B. svc-ndscans)‍
Host-Extrinsisch: Wechsel zwischen Maschinen über RDP oder WinRM

Bei einem typischen Medusa-Angriff arbeiten beide Typen zusammen. Zunächst erlangen sie die Kontrolle in einem Gerät. Dann nutzen sie diesen Zugang, um leise über das Netzwerk zu fächern. ‍

Datenexfiltration und doppelte Erpressung

Medusa erpresst auch doppelt: Daten werden verschlüsselt und exfiltriert — sie verlangt Lösegeld für die Wiederherstellung und für das Versprechen, dass gestohlene Daten nicht online oder im Dark Web veröffentlicht, verkauft oder durchgesickert werden.

In der letzten Phase lokalisieren und stehlen Angreifer sensible Daten und senden sie an ihre Command-and-Control-Server zurück. Dieser Callback-Verkehr kann mithilfe von Techniken wie DNS-Textaufzeichnungen oder ICMP-Paketen über gängige Kommunikationsports getunnelt werden — Methoden, die darauf ausgelegt sind, herkömmliche Abwehrmechanismen unbemerkt zu umgehen.