Es klingt wie aus einem Thriller, ist aber real: Sicherheitsforscher von Sophos haben ein Ransomware-Toolkit entdeckt, das mit Hilfe von KI-Werkzeugen gebaut wurde — und gezielt darauf trainiert ist, Virenscanner auszutricksen.
So nutzen die Angreifer die KI
Die Kriminellen setzten unter anderem die Code-Werkzeuge Cursor und Claude Opus ein, um ihren Schadcode schneller zu entwickeln, zu testen und zu verfeinern. Wichtig: Die KI steckt nicht in der fertigen Schadsoftware selbst. Sie wurde benutzt, um den Bau-Prozess zu beschleunigen — quasi als überfleißiger Assistent in der Werkstatt der Angreifer.
Was steckt im Baukasten?
Das Toolkit ist erschreckend komplett:
- Cobalt-Strike-Profile, um den verräterischen Beacon-Verkehr zu tarnen.
- Eine Telegram-Bot-Schnittstelle zur Fernsteuerung.
- Python-Skripte, die Schadcode in legitime Windows-Programme einschleusen.
- Ein Cloudflare Worker, der den Steuerungs-Server verschleiert.
Besonders perfide: Teile der Malware wurden in virtuellen Testumgebungen gegen die Schutzlösungen von Sophos, CrowdStrike und Microsoft erprobt — also genau die EDR-Systeme, die viele Firmen einsetzen.
GEFAHR fürs Active Directory
Das Toolkit automatisiert die Erkundung von Active Directory — dem Herzstück jeder Windows-Domäne. Wer hier eindringt, kann sich quer durchs Netz bewegen. Forensische Spuren wie Erpresserbriefe und Opfer-Listen belegen: Das Werkzeug wurde bereits in echten Angriffen verwendet.
So schützt du dich
KI macht Angreifer schneller, nicht magisch. Die Abwehr bleibt solide Handwerksarbeit:
- Active Directory härten: Admin-Rechte minimieren, Tiering einführen.
- EDR aktiv überwachen statt nur installieren — auf getarnte Beacon-Muster achten.
- Backups offline halten, damit Ransomware sie nicht mitverschlüsselt.
- Ausgehenden Verkehr zu Telegram und unbekannten Cloudflare-Workern beobachten.
FAZIT
Die Nachricht ist ein Weckruf, keine Panik-Meldung. KI senkt die Einstiegshürde für Angreifer spürbar — aber wer seine Hausaufgaben bei AD-Härtung und Backups macht, ist gut aufgestellt.