Ransomware: Schockierender Angriff legt 1.000 Regierungs-PCs lahm – trotz Bitlocker!

Eine besonders perfide Variante von Ransomware hat kurz vor Weihnachten eine rumänische Regierungsbehörde lahmgelegt und beweist erneut, dass Cyberkriminelle immer kreativer werden. Es klingt fast wie Ironie des Schicksals: Anstatt aufwändige Schadsoftware einzuschleusen, haben die Angreifer offenbar Microsofts eigenes Sicherheits-Feature Bitlocker gegen die Nutzer gewendet. Diese Taktik, bekannt als „Living off the Land“, macht es klassischen Virenscannern extrem schwer, den Angriff zu erkennen, da die verwendeten Werkzeuge legitime Bestandteile des Betriebssystems sind. Während wir uns mental schon auf den Jahreswechsel 2026 einstellen, kämpfen IT-Administratoren in Bukarest gegen einen digitalen Albtraum, der über 1.000 Arbeitsplätze in Schrott verwandelt hat.

Der Vorfall wirft ein grelles Schlaglicht auf die Sicherheitsarchitektur staatlicher Einrichtungen, zeigt aber auch einen Lichtblick in der Katastrophe. Obwohl die Verwaltungs-IT massiv getroffen wurde, fließt das Wasser in den betroffenen Regionen weiter, was auf eine funktionierende Trennung zwischen Büro-Netzwerk und operativer Steuerungstechnik (OT) hindeutet. Dennoch ist der Schaden immens: Wenn Angreifer in der Lage sind, Bitlocker zentral auf tausend Rechnern zu aktivieren, bedeutet das meist, dass sie bereits tief im System verwurzelt waren und über weitreichende Admin-Rechte verfügten. Die Frage ist nun nicht mehr, ob die Firewall gehalten hat, sondern wie lange die Täter bereits unbemerkt im Netzwerk saßen.

Was ist passiert? (Ransomware Update)

Der Angriff traf die nationale Behörde für Wasserwirtschaft in Rumänien mit voller Härte und legte einen signifikanten Teil der digitalen Infrastruktur lahm. Nach aktuellen Informationen drangen Unbekannte in das Netzwerk ein und verschlüsselten die Festplatten der Arbeitsplatzrechner, indem sie die vorhandene Bitlocker-Technologie von Windows missbrauchten. Normalerweise dient Bitlocker dazu, Daten bei Diebstahl des Laptops zu schützen; hier wurde den rechtmäßigen Besitzern der Zugriff entzogen, vermutlich indem die Wiederherstellungsschlüssel geändert oder gelöscht wurden. Bislang hat sich keine der bekannten Hackergruppen zu der Tat bekannt, was Raum für Spekulationen lässt – von politisch motivierten Akteuren bis hin zu opportunistischen Trittbrettfahrern ist alles denkbar.

Für den Endanwender in der Behörde bedeutet dies den totalen Stillstand: Kein Zugriff auf E-Mails, Datenbanken oder Dokumente. Die Tatsache, dass über 1.000 Systeme fast gleichzeitig betroffen waren, deutet auf eine zentrale Verteilung des Befehls hin, etwa über einen kompromittierten Domain Controller oder eine Software-Verteilungslösung. Solche Angriffe sind besonders schwer abzuwehren, da der Befehl zur Verschlüsselung technisch gesehen legitim aussieht. Es wird keine fremde `.exe` ausgeführt, sondern ein Windows-eigener Prozess gestartet. Das ist der Albtraum jeder IT-Security-Abteilung, da herkömmliche Schutzmechanismen hier oft blind sind.

Der LazyTechLab Check

Wir müssen hier Tacheles reden: Dass Angreifer System-Tools nutzen, ist nicht neu, aber die Effizienz dieses Schlags ist beängstigend. Wenn Bitlocker als Waffe eingesetzt wird, sparen sich die Kriminellen die Entwicklung eigener Verschlüsselungsalgorithmen und umgehen gleichzeitig die Signaturerkennung von Antivirenprogrammen. Das ist „Smart Hacking“ auf eine sehr unangenehme Art und Weise. Es zeigt aber auch ein massives Versagen im Identitätsmanagement der Behörde. Um Bitlocker auf 1.000 Rechnern zu aktivieren, braucht man Domain-Admin-Rechte. Irgendjemand hat also entweder ein Passwort „123456“ benutzt, auf einen Phishing-Link geklickt oder es fehlte schlichtweg die Multi-Faktor-Authentifizierung (MFA) für privilegierte Accounts.

Ein weiterer Aspekt, den wir positiv hervorheben müssen, ist die Netzwerk-Segmentierung. In vielen Industrieanlagen hängen Office-IT und SCADA-Systeme (die Industriesteuerung) gefährlich nah beieinander. Hier scheint die „Air Gap“ oder zumindest die logische Trennung funktioniert zu haben, da die Pumpen und Filteranlagen weiterlaufen. Das ist keine Selbstverständlichkeit, wie vergangene Angriffe auf Pipelines oder Stromnetze gezeigt haben. Dennoch bleibt der fade Beigeschmack, dass moderne Ransomware nicht mehr zwingend auf externe Malware angewiesen ist. Die Werkzeuge zur Zerstörung liefern wir Microsoft-Nutzer quasi frei Haus mit, wenn wir unsere Admin-Zugänge nicht wie Fort Knox sichern.

💡 Unsere Einschätzung zu Ransomware

Dieser Vorfall ändert die Spielregeln für Verteidiger drastisch und zeigt, dass wir uns von der Vorstellung lösen müssen, Ransomware sei immer eine bösartige Datei aus dem Internet. Für IT-Sicherheitsanbieter, die auf moderne Verhaltensanalyse (EDR/XDR) setzen, ist das ein perfektes Beispiel für die Notwendigkeit ihrer Tools. Nur wer Anomalien im Verhalten von Administratoren erkennt – etwa wenn nachts um 3 Uhr plötzlich auf allen Rechnern die Verschlüsselung aktiviert wird –, kann solche Angriffe stoppen. Klassische Virenscanner sind hier so nutzlos wie ein Regenschirm bei einem Tsunami.

Für Unternehmen und Behörden bedeutet das: Die Basis-Hygiene muss stimmen. Wer im Jahr 2025 noch Admin-Zugänge ohne Hardware-Token oder strikte MFA betreibt, handelt grob fahrlässig. Die Angreifer suchen sich immer den Weg des geringsten Widerstands, und in diesem Fall war es offenbar einfacher, die vorhandenen Schlüssel des Hausmeisters zu stehlen, als das Schloss zu knacken. Solange solche Lücken existieren, wird Ransomware auch ohne hochkomplexe Schadcode-Entwicklung ein lukratives Geschäftsmodell bleiben.

Quelle: Originalbericht lesen