Ein internationales Fertigungsunternehmen verlor innerhalb von sieben Tagen den Kampf gegen die Ransomware DragonForce. Die KI-basierte Erkennung von DarkTrace identifizierte alle Angriffsphasen korrekt, durfte jedoch nicht autonom reagieren.Die Verteidigung blieb somit wirkungslos und der Angriff konnte sich voll entfalten.
Ein gezielter Angriff auf ein Fertigungsunternehmen zeigt: Selbst mit KI-Erkennung im Einsatz kann ein Ransomware-Angriff durchschlagen, wenn die Verteidigung nicht automatisiert eingreift.
Die Ransomware-as-a-Service-Plattform DragonForce ist erst seit Ende 2023 aktiv, sorgt aber schon jetzt für Unruhe in der Cybersecurity-Welt. Mit besonders niedriger Einstiegshürde und einem Affiliate-Modell, das nur 20 Prozent Beteiligung verlangt, zieht sie gezielt technisch weniger versierte Täter an.
Die Angriffe wirken dadurch allerdings nicht weniger professionell, im Gegenteil: Die Täter greifen auf professionelle Tools, Infrastruktur und Support zurück. Das Resultat ist ein hohes Maß an Effizienz und Geschwindigkeit. In einem dokumentierten Fall aus dem Spätsommer 2025 traf es ein international tätiges Unternehmen aus dem Fertigungssektor. Darktrace konnte den Angriff in allen Phasen beobachten. Das Fehlen autonomer Abwehrmaßnahmen führte dazu, dass sich der Angriff ungehindert entfalten konnte.
Der Angriffsverlauf begann mit verdächtigem Verhalten während regulärer Geschäftszeiten: Ein interner Rechner initiierte systematische Netzwerkscans und nutzte dabei den User-Agent „OpenVAS-VT“. Die Nutzung dieses weit verbreiteten Schwachstellenscanners durch Angreifer ist ein Indiz für eine gezielte Vorbereitung. Darauf folgten Brute-Force-Versuche auf Admin-Konten – darunter bekannte Variationen wie „administrator“, „rdpadmin“ oder „ftpadmin“.
Noch brisanter: Kurz darauf registrierten die Forscher verdächtige Zugriffe auf die Windows-Registry. Die angegriffenen Schlüsselbereiche – etwa „Schedule\Taskcache\Tasks“ und „Control\WMI\Security“ – ermöglichen die Manipulation von geplanten Aufgaben und WMI-Berechtigungen. Diese Technik wird häufig genutzt, um sich unauffällig im System zu verankern und Zugriff über längere Zeiträume hinweg aufrechtzuerhalten.
Das Angriffsmuster zeigt: Die Täter gingen koordiniert und in Etappen vor. Die eigentliche Verschlüsselung war nicht der Einstiegspunkt, sondern das Endstadium eines strategischen Infiltrationsprozesses.
Datenabfluss vor der Verschlüsselung
Am 2. September verzeichnete Darktrace erstmals auffällige SSH-Verbindungen von mehreren infizierten Geräten zu einer externen IP-Adresse: 45.135.232[.]229. Die IP war dem russischen Hosting-Provider Proton66 zugeordnet, der laut OSINT-Quellen wiederholt in Zusammenhang mit Malware-Kampagnen und Exploits steht.
Der Angriff nahm zu diesem Zeitpunkt Fahrt auf: Betroffene Geräte begannen, Daten von internen Quellen zu sammeln und in großen Mengen an das externe Zielsystem zu übertragen. Die Exfiltration vor der Verschlüsselung ist ein typisches Merkmal hybrider Ransomware-Kampagnen. Ziel ist nicht nur die Datenblockade, sondern auch die Androhung von Veröffentlichung – eine doppelte Erpressung.
Wenige Tage später, am 9. September, startete die finale Phase des Angriffs. Mehrere Geräte führten Dateioperationen über das SMB-Protokoll aus, bei denen Dateien mit der Endung „.df_win“ erstellt oder überschrieben wurden – ein klarer Hinweis auf DragonForce-Aktivität. Gleichzeitig erschienen im gesamten Netzwerk Dateien mit dem Namen „readme.txt“ – die typische Bezeichnung für Erpressungsnachrichten.
Besonders perfide: Die Angreifer suchten gezielt nach netzwerkfreigegebenen Speicherorten wie „inetpub\“ oder „wwwroot\“, um möglichst viele Systeme gleichzeitig zu treffen. Obwohl die Darktrace-KI sämtliche Phasen des Angriffs korrekt identifizierte, wurde keine autonome Reaktion ausgelöst. Das Fehlen aktiver Gegenmaßnahmen bedeutete: Der Angriff konnte sich voll entfalten.
Fazit: Wenn Erkennung nicht reagiert, gewinnt der Angreifer
Dieser Fall ist mehr als ein technisches Beispiel, er ist ein strategischer Warnschuss für die Industrie. Selbst wenn KI-basierte Systeme wie Darktrace kompromittierende Aktivitäten frühzeitig erkennen, verpufft ihr Potenzial ohne automatisierte Reaktion. Die Angreifer nutzten bekannte Tools, arbeiteten in verschiedenen Phasen und mit hoher Präzision. Ihr Ziel war nicht Chaos, sondern Erpressung mit maximaler Wirkung.
Wer heute noch glaubt, dass Warnungen ausreichen, unterschätzt das Tempo moderner Angriffe. In Zeiten von Ransomware-as-a-Service zählt jede Minute und jede Lücke. Unternehmen müssen ihre Verteidigung nicht nur beobachten lassen, sondern aktiv reagieren lassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/c2/93c217f8c3dfcc30929e572b9256ebd0/0129912533v2.jpeg "Ein gezielter Angriff auf ein Fertigungsunternehmen zeigt: Selbst mit KI-Erkennung im Einsatz kann ein Ransomware-Angriff durchschlagen, wenn die Verteidigung nicht automatisiert eingreift. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/96/bf9640a9d61d881a728190dca834aa68/0129773904v2.jpeg "Gartner warnt, dass bis 2028 eine fehlkonfigurierte KI in cyber-physischen Systemen wie Stromnetzen, Industrieanlagen/ICS oder IIoT-Sensorik durch falsche Entscheidungen Blackouts, Produktionsstopps und physische Schäden verursachen und damit Sicherheit und Wirtschaft stark gefährden kann. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c1/5ec1a50d8d17b2038b5e8330a5e193d6/0129923595v2.jpeg "Die Sicherheitsbehörden aus den USA, UK, Neuseeland, Australien und Kanada warnen vor Angriffen auf Cisco Catalyst SD-WAN. Wenige Angriffe laufen bereits. (©Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/09/bb/09bb394c678741a7991266263d76cb47/0129901892v2.jpeg "Crowdstrike und Schwarz Digits gehen eine strategische Partnerschaft ein:
(v. l.) Christian Müller, Co-CEO von Schwarz Digits; Daniel Bernard, Chief Business Officer bei CrowdStrike; Rolf Schumann, Co-CEO von Schwarz Digits (Bild: Crowdstrike)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c3/61/c36127843f6ceabfe5c7e2b6a7e086d6/0124448088v1.jpeg "Die zunehmend digitalisierte Industrie steht gerade in Deutschland vor erheblichen Risiken durch IoT-Ransomware. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/a8/07a8e7836c77063dfda9c74aa97874db/0123280239v2.jpeg "Trotz verstärkter Strafverfolgung dominieren Ransomware-Angriffe mit 44 Prozent aller erfassten Incidents weiterhin das Cybercrime-Ökosystem. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/6c/366cd695200c41535c06b4179ee97852/0125498142v2.jpeg "Ransomware ist eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Sie wollen sich damit meist finanziell bereichern. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/90/12/901236e33feec719cf7db81c6ee57258/0125931804v1.jpeg "Die Analysten von Check Point werfen einen Blick auf die aktuellen Techniken, Taktiken und Verkaufsmodelle von Ransomware-Akteuren. (Bild: mikkelwilliam via Getty Images)")