← Alle Schadenbeispiele

Brenntag zahlt 4,4 Millionen Dollar an DarkSide-Ransomware

von freeze4me.com · 2026-03-23
Brenntag DarkSide Ransomware Lösegeld Chemie Datendiebstahl Double Extortion

Im Mai 2021 trifft DarkSide-Ransomware den deutschen Chemie-Distributor Brenntag. 150 GB Daten gestohlen. Das Unternehmen zahlt 4,4 Millionen Dollar Lösegeld in Bitcoin.

Der Vorfall

Anfang Mai 2021 wurde Brenntag – der weltweit größte Distributor für Chemikalien mit Hauptsitz in Essen – Opfer eines verheerenden Ransomware-Angriffs. Die DarkSide-Gruppe, dieselbe Organisation, die nur wenige Tage später die Colonial Pipeline in den USA lahmlegen sollte, hatte sich Zugang zu den Systemen der Nordamerika-Division von Brenntag verschafft.

Die Angreifer verschlüsselten nicht nur Systeme, sondern stahlen auch rund 150 Gigabyte an Daten. Darunter befanden sich vertrauliche Geschäftsinformationen, Kundendaten und sensible Unternehmensdokumente. DarkSide drohte damit, die Daten im Darknet zu veröffentlichen, falls kein Lösegeld gezahlt würde.

Die ursprüngliche Forderung betrug 7,5 Millionen US-Dollar in Bitcoin. Brenntag verhandelte – und zahlte schließlich 4,4 Millionen Dollar (etwa 75 Bitcoin zum damaligen Kurs). Es war eine der höchsten bekannten Lösegeldzahlungen eines deutschen Unternehmens.

Brenntag beschäftigt weltweit über 17.000 Mitarbeiter und erwirtschaftet einen Jahresumsatz von rund 14 Milliarden Euro. Der finanzielle Schaden durch den Angriff ging weit über die Lösegeldzahlung hinaus: Betriebsunterbrechungen, forensische Untersuchungen, Rechtsberatung, Benachrichtigung betroffener Kunden und Partner sowie Maßnahmen zur Wiederherstellung und Verstärkung der IT-Sicherheit summierten sich zu einem Vielfachen der gezahlten Summe.

Besonders brisant: DarkSide operierte als Ransomware-as-a-Service (RaaS). Die Gruppe stellte ihre Infrastruktur sogenannten „Affiliates" zur Verfügung, die die eigentlichen Angriffe durchführten und einen Anteil des Lösegeldes abgaben. Ein kriminelles Franchise-Modell.

Wie der Angriff funktionierte

Der Angriff auf Brenntag folgte dem typischen DarkSide-Playbook – einem mehrstufigen Vorgehen, das auf maximalen Druck durch Datenverschlüsselung und Datendiebstahl gleichzeitig abzielt.

Stufe 1 – Initialer Zugang über gestohlene Zugangsdaten: Nach Berichten von Sicherheitsforschern verschafften sich die Angreifer den ersten Zugang über kompromittierte Zugangsdaten eines VPN-Accounts. Diese Zugangsdaten wurden vermutlich auf einem Rechner eines Brenntag-Mitarbeiters durch einen Infostealer erbeutet – eine kleine Schadsoftware, die Passwörter aus Browsern und Anwendungen ausliest und an die Angreifer übermittelt. Solche Infostealer werden oft über Phishing-E-Mails oder manipulierte Downloads verbreitet.

Stufe 2 – Nachladen von Werkzeugen: Nach dem VPN-Zugang luden die Angreifer ihre Werkzeuge auf kompromittierte Rechner. Cobalt Strike Beacons für die Fernsteuerung, Mimikatz für das Auslesen weiterer Zugangsdaten, Netzwerkscanner für die Kartierung der Infrastruktur. All diese Tools wurden als Dateien auf den Festplatten der betroffenen Systeme abgelegt.

Stufe 3 – Laterale Bewegung und Datenexfiltration: Mit Administratorrechten bewegten sich die Angreifer durch das Netzwerk. Sie identifizierten Server mit wertvollen Daten und kopierten 150 Gigabyte an Dateien. Diese Datenexfiltration lief über Tage – genug Zeit, um bei regelmäßigen Neustarts aufzufallen.

Stufe 4 – Verschlüsselung und Erpressung: Schließlich wurde die DarkSide-Ransomware ausgerollt. Server und Arbeitsplätze wurden verschlüsselt. Gleichzeitig ging auf DarkSides Leak-Seite im Darknet eine Eintrag für Brenntag online – inklusive Samples der gestohlenen Daten als Beweis. Die Doppelerpressung war komplett.

Entscheidend: Der Infostealer auf dem Arbeitsplatzrechner (Stufe 1) war der Ausgangspunkt der gesamten Katastrophe. Hätte Deep Freeze diesen Infostealer beim nächsten Neustart gelöscht, wäre die Kette nie in Gang gekommen.

Warum Virenscanner versagten

Brenntag als milliardenschwerer Konzern hatte selbstverständlich umfangreiche Sicherheitsinfrastruktur im Einsatz. Doch mehrere Faktoren führten zum Versagen.

Der Infostealer, der die initialen VPN-Zugangsdaten erbeutete, war mit hoher Wahrscheinlichkeit eine frische Variante, die zum Zeitpunkt der Infektion nicht in den Signaturdatenbanken der Virenscanner gelistet war. Infostealer werden in Untergrundforen als Service angeboten und täglich in neuen Varianten generiert – speziell darauf optimiert, Virenscanner zu umgehen.

DarkSide als RaaS-Anbieter stellte seinen Affiliates regelmäßig aktualisierte Versionen der Ransomware zur Verfügung. Jede neue Version wurde gegen aktuelle Virenscanner getestet. Der Service beinhaltete sogar eine Garantie: Falls die Ransomware erkannt wurde, lieferte DarkSide innerhalb von Stunden eine neue, nicht erkannte Version.

Die Tools der Angreifer nach dem initialen Zugang – Cobalt Strike, Mimikatz, verschiedene Netzwerktools – sind für Virenscanner besonders problematisch. Cobalt Strike ist ein kommerzielles Penetrationstest-Tool, das von Sicherheitsfirmen weltweit legitimerweise eingesetzt wird. Ein Virenscanner, der Cobalt Strike pauschal blockiert, würde auch legitime Sicherheitstests verhindern.

So hätte Deep Freeze geschützt

Der Angriff auf Brenntag begann mit einem Infostealer auf einem Arbeitsplatzrechner. Genau dort hätte Deep Freeze angesetzt.

Der Infostealer verschwindet beim Neustart. Die kleine Schadsoftware, die Zugangsdaten aus dem Browser stahl, wurde auf der Systempartition eines Mitarbeiterrechners installiert. Bei eingefrorener Systempartition hätte Deep Freeze den Infostealer beim nächsten Neustart gelöscht – zusammen mit allen gesammelten Daten. Die VPN-Zugangsdaten wären nie bei den Angreifern angekommen.

Keine kompromittierten Zugangsdaten, kein Zugang. Ohne die gestohlenen VPN-Daten hätten die Angreifer sich nicht in das Netzwerk einloggen können. Die gesamte Angriffskette wäre an Stufe 1 gescheitert.

Cobalt Strike und Mimikatz überleben keinen Neustart. Selbst wenn die Angreifer es geschafft hätten, ins Netzwerk einzudringen, hätten die auf Arbeitsplatzrechnern installierten Werkzeuge den nächsten Neustart nicht überlebt. Die eingefrorene Systempartition lässt keine dauerhaften Installationen zu.

Keine wochenlange Exfiltration. 150 Gigabyte lassen sich nicht in einer Sitzung exfiltrieren. Der Prozess dauerte Tage. In einer Deep-Freeze-Umgebung hätte jeder Neustart die Exfiltrations-Tools gelöscht. Die Angreifer hätten den Prozess jedes Mal von vorn beginnen müssen.

4,4 Millionen Dollar gespart. Die Lösegeldzahlung, die Betriebsunterbrechung, die forensische Untersuchung, die Rechtsberatung – all das wäre nicht nötig gewesen. Ein Neustart hätte gereicht.

Die Lehre

  • Infostealer sind der Startschuss. Die meisten großen Ransomware-Angriffe beginnen mit gestohlenen Zugangsdaten. Deep Freeze eliminiert den Infostealer, bevor er Schaden anrichtet.
  • Ransomware-as-a-Service senkt die Einstiegshürde. DarkSide machte Ransomware-Angriffe für jeden zugänglich. Die Verteidigung muss ebenso zugänglich sein – und Deep Freeze ist so einfach wie ein Neustart.
  • 150 GB Datendiebstahl braucht Zeit. Die Exfiltration großer Datenmengen dauert Tage. Deep Freeze unterbricht diesen Prozess bei jedem Neustart.
  • Auch Großkonzerne sind verwundbar. Brenntag mit 17.000 Mitarbeitern und Milliardenumsatz konnte den Angriff nicht verhindern. Die Komplexität der Sicherheitsinfrastruktur schützt nicht vor einem einfachen Infostealer auf einem einzelnen Arbeitsplatz.
  • Ein Neustart ist billiger als 4,4 Millionen Dollar. Die Rechnung ist einfach: Deep Freeze-Lizenzen kosten einen Bruchteil des Lösegeldes – und schützen zuverlässiger als jeder Virenscanner.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →