Wo sind Deine Daten hin?

Wie die Lynx-Ransomware innerhalb von neun Tagen ein komplettes Netzwerk übernahm

Ein unscheinbarer, erfolgreicher Login über RDP – ohne Fehler, ohne auffällige Muster. Genau dieser Moment setzte einen hochprofessionellen Angriff in Gang, der zeigt, wie strukturiert moderne Ransomware-Operationen ablaufen. Der rekonstruierte Vorfall offenbart eine präzise abgestimmte Abfolge aus missbräuchlich verwendeten Zugangsdaten, schneller lateraler Bewegung, gezieltem Datendiebstahl und einem abschließenden Ransomware-Rollout.

Unbemerkter Einstieg: Gültige RDP-Zugangsdaten als Türöffner

Der Angriff startete Anfang März 2025, als sich der Täter über RDP auf ein extern erreichbares System einloggte. Es gab keinerlei Spuren von Brute-Force-Aktivitäten oder Credential-Angriffen. Das weist darauf hin, dass die Zugangsdaten bereits vorher kompromittiert worden waren – etwa durch Infostealer, Datenlecks oder über Initial Access Broker.

Kurz nach der Anmeldung begann der Täter sofort mit einer ersten Aufklärung via Kommandozeile und nutzte im Anschluss SoftPerfect Network Scanner („netscan“), um das interne Netzwerk systematisch zu erfassen.

Rasches Lateral Movement: Auf dem Domänencontroller nach nur zehn Minuten

Nur wenige Minuten nach dem Erstzugriff identifizierte der Angreifer einen Domänencontroller und wechselte per RDP dorthin – diesmal mit einem bereits kompromittierten Domänenadministratorkonto. Da keinerlei Hinweise auf lokale Rechteausweitung vorlagen, gilt als wahrscheinlich, dass mehrere legitime Accounts schon im Vorfeld abgegriffen wurden.

Auf dem Domänencontroller führte der Angreifer folgende Schritte aus:

• Anlegen zweier neuer Accounts („administratr“ sowie ein kaum von einem echten Konto unterscheidbarer Nachbau)

• Zuweisung dieser Konten zu hochprivilegierten Gruppen, u. a. den Domain Admins

• Installation von AnyDesk als potenzielle Persistenzlösung (später nicht verwendet)

Anschließend suchte der Angreifer gezielt nach Virtualisierungsressourcen und Netzwerkfreigaben, bevor die erste Angriffswelle endete.

Tag 6: Rückkehr, erneute Scans und vorbereitete Exfiltration

Sechs Tage später loggte sich der Angreifer erneut über RDP ein – mit derselben IP und demselben Hostnamen. Er setzte seine Erkundung fort, führte weitere Netzwerkscans durch, lud „NetExec“ herunter und startete einen Passwort-Spray-Angriff auf Port 445.

Dann sammelte er ausgewählte sensible Dateien aus mehreren Shares, bündelte sie mit 7-Zip und leitete die Archive über den temporären Filetransferdienst temp.sh aus der Umgebung heraus.

Kriminelle Infrastruktur: Railnet LLC als Sprungbrett

Etwa neun Stunden später erschien der Täter erneut – diesmal mit einer neuen, aber ebenfalls zu Railnet LLC gehörenden IP-Adresse. Diese Firma gilt laut Sicherheitsanalysen als Deckmantel für Virtualine und wird regelmäßig mit Infrastruktur in Verbindung gebracht, die kriminelle Gruppen nutzen.

Während dieser Phase:

• RDP-Zugriff auf weitere Domänencontroller und Hypervisoren

• Einsatz der Microsoft Management Console (MMC) zur Prüfung von lokalen Benutzern und Gruppen

• Zugriff auf zusätzliche Systeme basierend auf früheren Scanergebnissen

Tag 9: Ausschalten der Backups und Aktivierung der Lynx-Ransomware

Ein Tag später leitete der Angreifer die finale Phase ein:

1. erneuter Netzwerkscan

2. RDP-Verbindung zu einem Backup-Server

3. Löschen aller vorhandenen Sicherungsjobs

4. Installation und Ausführung der Lynx-Ransomware

5. Ausrollen der Malware auf weitere Backup- und Fileserver

Die gesamte Time to Ransomware (TTR): etwa 178 Stunden – also rund neun Tage.

Fazit: Professionelle Angriffsökonomie trifft auf unzureichende Sicherheitsmechanismen

Der Vorfall verdeutlicht eindrücklich:

• wie stark sich Initial Access Broker als Dienstleister im Cybercrime etabliert haben

• wie effektiv legitime Administrator-Credentials genutzt werden, um klassische Sicherheitskontrollen zu umgehen

• wie eng verzahnt Datendiebstahl, Backup-Manipulation und Ransomware mittlerweile sind

• warum verhaltensbasierte Analysen unverzichtbar sind

• weshalb Backup-Server zu den am stärksten gefährdeten Systemen zählen

Moderne Ransomware-Kampagnen sind geplante Operationen, die Organisationen nur durch robuste Härtung, konsequente Überwachung und Schutz kritischer Infrastrukturen verhindern können.

Quelle

Ursprünglich veröffentlicht von Der DFIR-Bericht

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Weiterlesen

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon