< Zurück
Blog

Die siebenminütige Eindämmung der Ransomware: Wie Agentic AI einen Angriff stoppte, bevor er sich ausbreiten konnte

Wenn Ransomware zuschlägt, zählt jede Sekunde. Die Verschlüsselung kann innerhalb weniger Minuten beginnen, die laterale Bewegung kann sich ebenso schnell entfalten, und bis ein menschlicher Analyst eine Warnung erhält, kann der Schaden bereits entstanden sein.

Bei einem kürzlich in einer unserer Kundenumgebungen aufgetretenen realen Vorfall gelang es den Cyber Defenders von Ontinue dank ihrer agentenbasierten KI jedoch, einen potenziell weitreichenden Ransomware-Angriff innerhalb von nur sieben Minuten erfolgreich einzudämmen. Hier erfahren Sie, wie es dazu kam und warum die Zukunft der Ransomware-Abwehr von der Geschwindigkeit agentenbasierter KI abhängt.

Eine plötzliche Warnmeldung auf einem mit dem Internet verbundenen Server

Es begann mit einer Microsoft Defender-Warnmeldung für Endpoint (MDE): Auf einem Tier-2-Server mit Internetanbindung war eine verdächtige Datei aufgetaucht – genau die Art von System, die Angreifer aufgrund ihrer Exposition und ihrer Zugriffspfade besonders gerne ins Visier nehmen. In der Vergangenheit hätte eine solche Warnmeldung einen mehrstufigen, zeitaufwändigen Arbeitsablauf ausgelöst:

  • Identifizieren Sie den Host
  • Datei validieren
  • Ausführungshistorie überprüfen
  • Benutzeraktivitäten überprüfen
  • Wechseln Sie zu Identitätsprotokollen
  • Andere Endpunktwarnungen korrelieren
  • Risiko seitlicher Bewegungen bewerten

Unter Druck können selbst hochqualifizierte Verteidiger wertvolle Minuten verlieren, wenn sie diese Puzzleteile zusammensetzen.

Aber diesmal nicht.

Agentische KI-Agent wurde ausgelöst, noch bevor der Analyst das Ticket geöffnet hatte.

In dem Moment, als die Warnung erschien, Ontinue's KI-Agent Der Agent, der mit agentenbasierter KI ausgestattet ist, begann im Hintergrund mit der Analyse des Vorfalls. Noch bevor ein Mensch das Ticket überhaupt berührt hatte, führte der KI-Agent selbstständig die ersten Ermittlungsarbeiten durch, für die Verteidiger normalerweise 15 bis 20 Minuten benötigen würden:

Es fasste zusammen:

  • Der Servertyp und das Betriebssystem
  • Der Dateiname und der Hashwert
  • Verwandte Prozessaktivität
  • Ob diese Datei oder dieses Verhalten zuvor irgendwo in der Umgebung aufgetreten war
  • Ob kürzlich andere Warnmeldungen für dasselbe Asset ausgelöst wurden
  • Identitätskontext – einschließlich des Kontos, das während der verdächtigen Aktivität verwendet wurde

Dann kam das entscheidende Detail ans Licht:

Die Datei wurde über RDP unter Verwendung eines kompromittierten lokalen Administratorkontos abgelegt.

Diese Erkenntnis verschärfte die Lage sofort. Ein lokaler Administrator, der eine Datei mit Ransomware-Muster auf ein mit dem Internet verbundenes System überträgt, ist ein klassischer Vorläufer mit schwerwiegenden Folgen für eine vollständige Verschlüsselung.

Da der KI-Agent diesen Kontext direkt an den Verteidiger weitergab – als fertige Zusammenfassung –, verlor dieser keine wertvolle Zeit damit, zwischen verschiedenen Tools zu wechseln oder Hypothesen aufzustellen.

Minute 1–3: Analysten bestätigen die Bedrohung

Mit der hochpräzisen Zusammenfassung des KI-Agenten konnte der Cyber Defender sofort bestätigen:

  • Die Ransomware-Datei stimmte mit einer bekannten Familie überein.
  • Jüngste RDP-Anmeldeaktivitäten stimmen mit dem Verhalten von Angreifern überein
  • Die Aktivität des lokalen Administratorkontos war anomal.
  • Es wurden noch keine weiteren seitlichen Bewegungen beobachtet.

Sie mussten keine Sentinel-Abfragen durchführen oder manuell eine Zeitleiste erstellen. Die KI hatte dies bereits übernommen.

Minute 4–7: Eindämmung und Benachrichtigung der Kunden

Ausgestattet mit einem genauen Verständnis der Bedrohung, der SOC:

  • Den betroffenen Server isoliert, und trennt es vom Rest des Netzwerks.
  • Den bösartigen Prozess gestoppt bevor die Verschlüsselung begann.
  • Es wurde bestätigt, dass keine weiteren Vermögenswerte betroffen waren.
  • Den Vorfall an den Kunden eskaliert mit vollständigem Kontext und empfohlenen nächsten Schritten.

Von der ersten Warnung bis zur vollständigen Eindämmung: sieben Minuten.

Um das in die richtige Perspektive zu rücken:

Typische Ransomware-Familien können bereits nach 15 Minuten mit der Verschlüsselung von Dateien beginnen. In vielen Unternehmen dauert es länger, allein die für eine effektive Untersuchung erforderlichen Informationen zusammenzutragen.

Hier hat der Einsatz eines agentenbasierten KI-Agenten 701 TP13T der frühen Ermittlungsarbeit eingespart und eine potenzielle 30-minütige Triage auf einen schlanken, KI-gesteuerten Prozess reduziert, der den Verteidigern sofort die Kontrolle übergab.

Warum die Geschwindigkeit der KI wichtig ist: Ransomware wartet nicht

Allzu oft unterschätzen Unternehmen die Geschwindigkeit, mit der sich Ransomware ausbreitet. Das Vorgehen der Angreifer ist vorhersehbar:

  1. Erster Zugang erhalten
  2. Schnell handeln
  3. Nutzlast bereitstellen
  4. Verschlüsseln
  5. Exfiltrieren
  6. Zahlung verlangen

Jede Phase wird in Minuten gemessen, nicht in Stunden.

Dieser Vorfall zeigt, was möglich ist, wenn ein agenter KI-Agent die kognitive und operative Belastung der Verteidiger reduziert. Anstatt Protokolle zu durchforsten, zwischen Tools zu wechseln oder Abfragen zu schreiben, können sich Analysten sofort auf die Entscheidungsfindung konzentrieren und müssen sich nicht um die Datenerfassung kümmern.

Agentische KI verändert den Zeitablauf und das Ergebnis

Bei diesem Vorfall hat der Agentic-KI-Agent:

  • Interpretierte Signale von mehreren Microsoft-Sicherheitstools
  • Eine einheitliche Zusammenfassung erstellt
  • Hervorgehobene Anomalien und wahrscheinliche Ursache
  • Aufgedeckte Erkenntnisse, die Verteidiger benötigten, um sofortige Entscheidungen zu treffen
  • Die Ermittlungsverzögerung, die die meisten SOC-Teams ausbremst, wurde beseitigt.

Das Ergebnis war nicht nur Geschwindigkeit, sondern auch Prävention.

Die Ransomware hatte nie die Möglichkeit, ihre gesamte Kill Chain auszuführen.

So sieht “Nonstop SecOps” aus

Diese siebenminütige Abschaltung ist kein Einzelfall, sondern der neue Standard für Unternehmen, die KI-gesteuerte MXDR einsetzen. Angesichts der Automatisierung, Beschleunigung und Innovation der Angreifer benötigen Verteidiger mehr als nur inkrementelle Verbesserungen. Sie benötigen:

  • Sofortiger Kontext
  • Autonome Untersuchung
  • Schnelle Entscheidungsunterstützung
  • Integrierte Identitäts- und Endpunkt-Einblicke
  • Verwertbare Zusammenfassungen – keine Rohdaten

Ransomware verliert nicht an Fahrt. Aber dank agenter KI tun wir das auch nicht.

Wenn Sie Hilfe benötigen, um zu verstehen, wie ein agenter KI-Agent Ihre Sicherheitsmaßnahmen beschleunigen oder Ihre Reaktionszeiten bei Vorfällen verkürzen kann, wenden Sie sich an Ihren Cyber-Berater. Ontinue hilft Ihnen dabei, Bedrohungen immer einen Schritt voraus zu sein, egal wie schnell sie sich entwickeln.

Teilen

Artikel von

Biren Patel

Senior Manager, Amerika SOC

Biren Patel ist Senior Manager bei Ontinue und leitet das SOC-Team in Amerika.

Schlüsselwörter

Verwandte Artikel

Eine Nahaufnahme mit dem Wort 'PASSWORD' in weißer Schrift, umgeben von Binärcode (Nullen und Einsen) auf blauem Hintergrund, die auf Themen wie Cybersicherheit und Datenschutz hinweist.
Blog
10 Milliarden Passwörter sind durchgesickert. Warum es keine Rolle spielt, wenn Sie die Sicherheit richtig handhaben

Weiterlesen >
Ein Mann mit Brille und kurzen Haaren sitzt an einem Schreibtisch in einer schwach beleuchteten Umgebung und wirkt gestresst, während er sich die Stirn hält und an einem Laptop arbeitet. Er scheint sich auf den Bildschirm zu konzentrieren, was auf die Komplexität der Aufgabe hindeutet, die mit der Suche nach einem Managed Security Partner zusammenhängt.
Webinar
3 häufige Fallstricke, die Sie bei der Auswahl eines Managed Security Partners vermeiden sollten

Webinar ansehen >
Ein Muster aus schwarzen und weißen Disketten auf rosa Hintergrund, das Retro-Technologie und Datenspeicherung illustriert und für die Geschichte der Ransomware relevant ist.
Blog
Wie Ransomware sich von einem Betrug mit Disketten zu einer Milliardenindustrie entwickelte

Weiterlesen >
Eine Person in einem dunklen Kapuzenpulli tippt auf einem Laptop, auf dem Codezeilen angezeigt werden, mit einem weichgezeichneten Hintergrund, der auf eine technische Umgebung hindeutet. Dieses Bild bezieht sich auf den Aufstieg von Infostealer-Malware.
Blog
Einblick in BlackBasta: Was durchgesickerte Gespräche über ihre Ransomware-Aktivitäten verraten

Weiterlesen >