Aktuell treibt die chinesische Ransomware-Bande Ghost ihr Unwesen. Sie ist bereits in mehr als 70 Ländern aktiv und nutzt bekannte Sicherheitslücken aus, Wie genau Ghost arbeitet zeigt dieser detaillierten Bericht über die Taktiken, Techniken und Prozeduren (TTP) der Cyberkriminellen.
Die chinesische Ransomware-Bande Ghost greifen mit ausgefeilten Taktiken, Techniken und Prozeduren (TTP) staatliche Einrichtungen an und Organisationen, die kritische nationale Infrastrukturen bereitstellen.
(Bild: zephyr_p - stock.adobe.com)
Zu den Opfern von Ghost gehören viele staatliche Einrichtungen und Organisationen, die kritische nationale Infrastrukturen bereitstellen. Weitere Ziele sind Unternehmen im Bildungs-, Gesundheits-, Technologie- und Fertigungssektor. Vor kurzem haben die US-Agentur für Cyber- und Infrastruktursicherheit (CISA), das FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) ein gemeinsames Cybersecurity Advisory veröffentlicht. Es beschreibt die Techniken der Ransomware-Bande sowie geeignete Schutzmaßahmen für Unternehmen.
Beim Erstzugriff konzentriert sich die Ghost-Bande auf Schwachstellen (Technik T1190) in internetfähigen Geräten und verwendet öffentlich verfügbare Exploits. Für einige dieser Schwachstellen gibt es bereits seit weit über zehn Jahren Patches. Dies unterstreicht die Bedeutung des Patch-Managements, um die Angriffsfläche eines Unternehmens zu reduzieren.
Tatsächlich nutzen aktuell 34 Prozent der Ransomware-Angriffe Schwachstellen als ersten Zugangsvektor. Die Entdeckung und Ausnutzung dieser Schwachstellen lässt sich in hohem Maße automatisieren, so dass Ghost seit seinem Auftauchen im Jahr 2021 viele Unternehmen unterschiedlicher Branchen erfolgreich angreifen konnte.
Von Ghost verwendete Taktiken
Die Ransomware-Bande setzt folgende 11 Taktiken ein, die bislang entdeckt wurden.
1. Erster Zugriff (Taktik TA0001): Die von Ghost genutzten Schwachstellen ermöglichen den Zugriff auf viele verschiedene Arten von Systemen, darunter:
2. Ausführung (Taktik TA0002): Sobald Ghost in ein Opfernetzwerk eingedrungen ist, installiert es eine Web-Shell (Technik T1505.003). Anschließend werden Befehle ausgegeben (ATT&CK-Techniken T1059.003 und T1059.001), um einen Cobalt Strike Beacon herunterzuladen (Technik T1105).
3. Persistenz (Taktik TA0003): Bei einigen Angriffen erstellt Ghost neue lokale oder Domänenkonten (Techniken T1136.001 bzw. T1136.002) und ändert die Kennwörter für bereits bestehende Konten (Technik 1098). Es wurde auch beobachtet, dass sich die Angriffe seitlich (Taktik TA0008) zu Webservern in den Netzwerken der Opfer bewegen und Web-Shells einrichten (Technik T1505.003).
4. Erweiterung der Zugriffsrechte (Taktik TA0004): Ghost nutzt Open-Source-Tools für Penetrationstests, darunter BadPotato, GodPotato und SharpZeroLogon, um durch Eskalation erweiterte Rechte zu erlangen (Technik T1068). Andere Techniken setzen den Cobalt Strike Beacon ein, der beim ersten Zugriff installiert wird, um Prozess-Token zu erfassen, die unter dem SYSTEM Benutzerkontext laufen. Anschließend führen sie Beacon ein zweites Mal mit erhöhten SYSTEM-Rechten aus (Technik 1134.001).
5. Umgehung von Abwehrmaßnahmen (Taktik TA0005): Ghost verwendet den von ihm installierten Cobalt Strike Beacon, um Prozesse aufzulisten (Technik T1057) und alle auf dem Host laufenden Endpunkt-Sicherheitslösungen zu identifizieren (Technik T1518.01). Diese deaktiviert er dann mit Hilfe der erweiterten Rechte (Technik T1562.001).
6. Zugriff auf Anmeldeinformationen (Taktik TA0006): Entweder setzt Ghost die Hashdump-Funktion von Cobalt Strike Beacon ein oder installiert Mimikatz, um Passwörter und Passwort-Hashes zu erfassen. Diese werden anschließend verwendet, um sich Zugang zu weiteren Konten zu verschaffen, sich bei Systemen anzumelden, Privilegien zu erweitern oder weitere Geräte der Opfer anzugreifen (Technik T1003).
7. Erkundung (Taktik TA0007): Die angegriffenen Systeme durchsucht Ghost mit Cobalt Strike Beacon zum Aufdecken von Domänenkonten (Technik T1562.001), mit Open-Source-Tools für Penetrationstests wie SharpShares zur Entdeckung von Netzwerkfreigaben (Technik T1135) oder mit Ladon 911 und SharpNBTScan zur Erkennung anderer Systeme im Netzwerk (Technik T1018).
8. Seitliche Bewegung (Taktik TA0008): Die zuvor erweiterten Rechte und die Windows Management Instrumentation Command-Line (WMIC) (Technik 1047) dienen zur Ausführung von base64-kodierten PowerShell-Befehlen auf weiteren Systemen im Opfernetzwerk. Damit sollen in der Regel weitere Instanzen von Cobalt Strike Beacon installiert werden.
9. Exfiltration (Taktik TA0010): Im Gegensatz zu anderen Ransomware-Gangs stiehlt Ghost keine größeren Datenmengen, sondern meist weniger als Hunderte Gigabyte. Dennoch droht die Bande mit der Veröffentlichung von Daten zu Erpressungszwecken. Zu den Exfiltrationsmethoden gehören das Herunterladen auf Cobalt Strike Team Server (Technik T1041) oder den Filesharing-Dienst Mega.nz (Technik 1567.002).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
10. Command and Control (Taktik TA0011): Die Ghost-Bande setzt in hohem Maße auf die integrierten Kommunikationsmöglichkeiten zwischen Cobalt Strike Beacons, die im Netzwerk des Opfers installiert sind, und den eigenen Cobalt Strike Team Servern. Dabei kommuniziert Ghost über HTTP und HTTPS (Technik T1071.001) mit einer von der Bande kontrollierten IP-Adresse, anstatt registrierte Domänen zu verwenden. Für die E-Mail-Kommunikation mit Erpressungsopfern (Technik 1573) nutzt Ghost Anbieter, die Verschlüsselung unterstützen, darunter Mailfence, Onionmail, ProtonMail, Skiff und Tutanota.
11. Auswirkungen (Taktik TA0040): Ghost installiert eine von vier Ransomware-Nutzlasten (CRING.EXE, GHOST.EXE, ELYSIUM.EXE und LOCKER.EXE) und führt sie aus, um bestimmte Verzeichnisse oder ganze Datenträger zu verschlüsseln (Technik 1486). Sie löschen die Windows-Ereignisprotokolle (Technik 1070.001), deaktivieren den Volume Shadow Copy Service und entfernen dann alle Schattenkopien, damit die Wiederherstellung der Systeme verhindert wird (Technik 1490). Ghost erpresst seine Opfer mit der Drohung, die Entschlüsselungsschlüssel zu löschen und die exfiltrierten Daten zu veröffentlichen (Technik 1486).
Wichtige Schutzmaßnahmen
Zum Schutz vor diesen Angriffen sollten Unternehmen vor allem die folgenden Maßnahmen ergreifen:
1. Regelmäßig System-Backups durchführen: Hierfür stehen Software- und Service-Lösungen bereit, welche die Sicherung weitgehend automatisch ausführen und die Kopien auf sichere Weise speichern, etwa durch unveränderliche Backups.
2. Ungewöhnliche Aktivitäten aufdecken: Unternehmen, die Verhaltensanomalien erkennen und darauf reagieren, haben bereits erfolgreich Ghost-Angriffe verhindert. Denn diese hinterlassen auf den Rechnern der Opfer meist Indicators of Compromise (IOCs), die geeignete Lösungen entdecken, ohne sich von Ghost umgehen zu lassen.
3. Bekannte Schwachstellen schnell patchen: Bestehende Patches sollten zügig auf Betriebssysteme, Software und Firmware aufgespielt werden. Vulnerability Scanner können im ersten Schritt Sicherheitslücken aufdecken, um deren Management zu beschleunigen.
4. Zugriffsrechte begrenzen und MFA nutzen: Ghost-Akteure nutzen viele Befehle, Skripte und Programme, für deren Ausführung IT-Administratoren keinen legitimen Grund haben. So sind Zugriffsrechte auf das Mindestmaß zu reduzieren und Phishing-resistente Multifaktor-Authentifizierung (MFA) für alle Konten durchzusetzen.
5. Netzwerke segmentieren: Erfolgreiche Angriffe lassen nicht vollständig verhindern. Daher sollte Netzwerksegmentierung deren seitliche Bewegung einschränken.
Mit Hilfe dieser fünf grundlegenden Maßnahmen können sich Unternehmen gut vor Ransomware wie Ghost schützen.
Über den Autor: James Blake ist Global Head of Cyber Resiliency Strategy bei Cohesity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f9/66/f966dd73d90da51daabd0f3583b64937/0107147004.jpeg "Sehr oft stehen das Active Directory und dort privilegierte Accounts im Fokus von Kriminellen. Thomas Joos zeigt, welche Tools die Angreifer gerne einsetzen, damit Admins sich gezielt auf drohende Gefahren vorbereiten können. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/7f/107fdfffb68266f166578ad02722521e/0106132237.jpeg "Eine neue Untersuchung von Unit 42 zeigt, wie ein Red-Teaming-Tool von Angreifern für kriminelle Zwecke eingesetzt wird. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/06/3b06f1d5902a48e4ee3a04559f95291a/0128577587v2.jpeg "Die Schwachstelle CVE-2025-55182 in React Server Components erlaubt Remote Code Execution und nachgelagerte Linux-Backdoors. React und Next.js liefern Fixes, die sofort ausgerollt werden sollten. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/39/7239c941c88fff91344f7f42e2fa2b24/0126236923v1.jpeg "Zero Days, Supply Chain Hacks und geopolitische DDoS-Kampagnen zeigen 2025 eine neue Dimension der Bedrohung. Unternehmen und Behörden geraten unter massiven Druck. Wer jetzt nicht aufrüstet riskiert den Anschluss im härtesten Security-Match des Jahres zu verlieren. (Bild: © metamorworks - stock.adobe.com)")