Erstmals setzt eine Ransomware-Operation nachweislich Post-Quanten-Kryptografie (PQC) in aktiven Angriffen ein – ein Wendepunkt für die digitale Erpressung.
Die als Kyber bekannte Gruppe hat kürzlich hochwertige Infrastruktur angegriffen, darunter einen milliardenschweren US-Verteidigungsauftragnehmer und IT-Dienstleister. Das Sicherheitsunternehmen Rapid7 veröffentlichte diese Woche eine Analyse zweier unterschiedlicher Kyber-Varianten, die zeitgleich in einem einzigen Netzwerk eingesetzt wurden.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Trends jetzt kostenlos herunterladen
Hybrid-Verschlüsselung: Quantensicher und praxistauglich
Die Windows-Variante der Ransomware ist in Rust programmiert und setzt auf ein hybrides Verschlüsselungsverfahren. Anders als erwartet verschlüsselt die Malware die eigentlichen Daten nicht mit Post-Quanten-Mathematik – das wäre zu rechenintensiv. Stattdessen nutzt sie AES-256 oder AES-CTR für die schnelle Dateiverschlüsselung.
Der Clou liegt im Schutz der Verschlüsselungsschlüssel: Die Angreifer kombinieren ML-KEM1024 – einen kürzlich vom US-amerikanischen NIST standardisierten Post-Quanten-Algorithmus – mit X25519, einem klassischen Elliptische-Kurven-Verfahren. Dieser Dual-Layer-Ansatz soll die Schlüssel selbst dann schützen, wenn klassische Kryptografie durch zukünftige Quantencomputer geknackt wird.
Die Linux-Variante für ESXi-Systeme entpuppte sich dagegen als weniger ausgereift. Obwohl die Betreiber auch dort Post-Quanten-Fähigkeiten bewarben, stellten die Forscher fest: Die Behauptungen waren falsch. Der ESXi-Verschlüsseler vertraute auf traditionelles RSA-4096 und ChaCha8. Beide Varianten nutzten jedoch dieselbe Tor-basierte Infrastruktur und identische Kampagnen-IDs.
Psychologische Kriegsführung statt technischer Notwendigkeit
Branchenanalysten sehen die Integration von Post-Quanten-Standards derzeit eher als psychologisches Druckmittel. Brett Callow, Bedrohungsanalyst bei Emsisoft, betont: Aktuelle Quantencomputer sind weder stabil noch leistungsfähig genug, um traditionelle Public-Key-Kryptografie zu knacken. Der Schritt der Kyber-Gruppe ziele darauf ab, Dringlichkeit und Überlegenheit zu suggerieren.
Rapid7-Forscherin Anna Shirokova ergänzt: Der Begriff Post-Quanten-Kryptografie wirke besonders auf Führungskräfte, die mit der Technologie nicht vertraut sind. Indem die Gruppe behauptet, die stärksten NIST-Standards zu nutzen, erziele sie einen Marketingeffekt – und positioniere ihre Verschlüsselung als unüberwindbare Hürde, die sofortige Zahlung rechtfertige.
Der taktische Wandel kommt zu einer Zeit, in der die Erwartungen an die Ransomware-Welle neu justiert werden. Laut GuidePoint Research bleiben die Angriffszahlen im ersten Quartal auf erhöhtem Niveau, mit Schwerpunkten in Fertigung und Baugewerbe. Die durchschnittlichen Kosten eines Datenlecks sind auf rund 5,08 Millionen US-Dollar pro Vorfall gestiegen.
Rekord-Schäden durch Phishing und Ransomware zeigen, wie wichtig proaktive Schutzmaßnahmen für Unternehmen aus Industrie und Handel geworden sind. In diesem kostenlosen Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen Cyberkriminalität absichern. Anti-Phishing-Paket für Unternehmen gratis anfordern
Der Wettlauf gegen die Zeit: Migration zu PQC
Das Auftauchen von PQC-fähiger Ransomware folgt auf die Finalisierung der NIST-Verschlüsselungsstandards im August 2024 – darunter ML-KEM, ML-DSA und SLH-DSA. Seitdem stehen Behörden und Unternehmen unter Druck, ihre Systeme umzustellen. NIST empfiehlt, sofort mit der kryptografischen Erneuerung zu beginnen, um „Harvest now, decrypt later“-Strategien zu vereiteln – bei denen Angreifer heute Daten stehlen, um sie später mit Quantencomputern zu knacken.
Die Umstellung auf PQC wird für viele Unternehmen ein Jahrzehnt dauern. Kleine Firmen benötigen fünf bis sieben Jahre, große Konzerne mit umfangreicher Legacy-Infrastruktur zwölf Jahre oder mehr. Ein mittelständisches Unternehmen, das dieses Jahr mit der Migration beginnt, könnte erst Mitte der 2030er Jahre fertig sein – und damit kritische Fristen für klassische Algorithmen verpassen, die von Google und Cloudflare gesetzt werden.
Die Dringlichkeit spiegelt sich in den Ausgaben wider: Gartner prognostiziert für dieses Jahr globale Cybersecurity-Ausgaben von rund 240 Milliarden Euro – ein Anstieg von über zwölf Prozent. Unternehmen setzen zunehmend auf kryptografische Agilität, also die Fähigkeit, Schlüssel und Algorithmen mit minimalen Serviceunterbrechungen auszutauschen.
Neue Herausforderungen für die Abwehr
Der Einsatz von ML-KEM durch die Kyber-Gruppe zeigt: Die Hürde für fortschrittliche Kryptografie sinkt. Gut dokumentierte Bibliotheken für NIST-Algorithmen machen es Malware-Autoren leicht, diese Funktionen zu integrieren.
Zwar ändert der aktuelle PQC-Einsatz nichts am Wiederherstellungsprozess für Opfer – sie benötigen weiterhin die privaten Schlüssel der Angreifer. Doch die langfristige Verteidigungslandschaft wird komplexer. Sicherheitsteams müssen nun prüfen, wie sie quantenresistente verschlüsselte Datenströme inspizieren können. Herkömmliche Deep-Packet-Inspection-Methoden stoßen an ihre Grenzen, was den Trend zu verhaltensbasierter und KI-gestützter Verkehrsanalyse verstärkt.
Experten erwarten, dass die Grenzen zwischen finanziell motivierter Cyberkriminalität und staatlich gesteuerten Operationen weiter verschwimmen. Der Einsatz von PQC durch kriminelle Gruppen deutet darauf hin, dass die nächste Generation digitaler Erpressung ebenso auf die dauerhafte Vertraulichkeit gestohlener Daten abzielt wie auf unmittelbare Betriebsunterbrechungen.
