Sicarii-Ransomware: Wenn du zahlst – und trotzdem alles verlierst

Stell dir vor: Du feierst Karneval – aber plötzlich wird dein Unternehmen von Ransomware getroffen. Die Täter fordern Lösegeld. Du denkst dir (aus purer Verzweiflung): „Vielleicht zahlen wir, dann bekommen wir wenigstens die Daten zurück.“

Und jetzt die bittere Pointe bei Sicarii: Selbst wenn du zahlst, sind deine Daten trotzdem weg – weil die Entschlüsselung technisch gar nicht funktioniert.

Genau davor warnen mehrere Analysen: Sicarii ist offenbar so fehlerhaft gebaut, dass der Schlüssel-Mechanismus kaputt ist. 

Was das für dich als IT-Entscheider im KMU bedeutet: Sicarii ist eine „Worst-Case“-Ransomware, weil der klassische Ausweg (Decrypter nach Zahlung) nicht nur riskant ist – sondern unmöglich.

Was ist Sicarii – und warum ist das Ding so gefährlich?

Sicarii tauchte als Ransomware-as-a-Service (RaaS) auf – also als „Baukasten“-Modell. Dabei stellen Betreiber ihre Ransomware und Infrastruktur ihren Affiliates zur Verfügung.

Der Knackpunkt: Bei beobachteten Varianten erzeugt Sicarii bei jeder Ausführung lokal ein neues RSA-Schlüsselpaar, nutzt es zum Verschlüsseln – und wirft den privaten Schlüssel anschließend weg.

Ergebnis: Ohne Schlüssel, keine Entschlüsselung – kein sinnvoller Decrypter, keine Rettung per Zahlung.

Dazu kommt ein zweites, verwirrendes Detail: Sicarii inszeniert sich teils mit israelisch bzw. jüdischer Symbolik (Hebräisch, Haganah-Bezug etc.), was laut Check Point Research wie eine performative Identität oder mögliche False-Flag-Show wirkt, da die Texte maschinell übersetzt oder nicht muttersprachlich wirken. Ob die Gruppe tatsächlich aus Israel operiert, darf angezweifelt werden.

Für dich heißt das: Herkunft ist Nebensache – die Wirkung ist real.

„Vibe-coded“: Warum das plötzlich relevant ist (auch ohne KI-Hype)

In der Berichterstattung rund um Sicarii fällt der Begriff „vibe coding“: sinngemäß „Code entsteht durch Anweisungen an KI-Tools, ohne dass der Ersteller wirklich versteht, was er tut“.

Ob das bei Sicarii wirklich der Ursprung ist, lässt sich von außen nicht endgültig beweisen – aber selbst seriöse Einschätzungen halten AI-assisted tooling als Faktor für möglich.

Paradox, aber wichtig: Unprofessioneller Code macht Ransomware nicht harmlos – sondern kann sie schlimmer machen. Wenn die Verschlüsselung Mist ist, ist dein Datenverlust am Ende dauerhaft.

Warum du Sicarii nicht zuverlässig erkennst

Die schlechte Nachricht: Als Betroffener siehst du oft nur „Dateien sind verschlüsselt“. Welcher Familie die Ransomware angehört, erkennst du nicht immer sofort.

Die gute Nachricht: Deine Handlungsempfehlungen sind sowieso dieselben – und bei Sicarii sogar noch konsequenter: Nicht auf „Entschlüsselung“ hoffen, sondern auf Wiederherstellung und Resilienz setzen.

Konkrete Handlungsempfehlungen: Was du jetzt tun solltest

1. Backup so bauen, dass Ransomware es nicht mitnimmt

Wenn Sicarii (oder ähnliches) zuschlägt, ist „wir zahlen halt“ keine Strategie. Du brauchst Backups, die:

• vom Produktivnetz getrennt sind (offline, immutable, getrennte Accounts)
• regelmäßig getestet werden (richtiger Restore-Test, nicht nur „Job läuft grün“)
• kritische Systeme priorisieren (ERP, Fileserver, M365, Identitäten, Produktionssysteme)

Eine tragfähige Backup ist der wichtigste Punkt, weil bei Sicarii die Erwartung „Zahlung → Entschlüsselung“ nicht funktioniert.

2. Incident-Plan: Bei Sicarii sofort auf „Contain & Restore“ umschalten

Wenn verschlüsselt wurde:

• isolieren (betroffene Systeme vom Netz, lateral movement stoppen)
• Beweise sichern (Logs, Images) statt hektisch „alles platt machen“
• Scope klären: Was ist betroffen? Gab’s Datenabfluss?
• Wiederanlauf nach Prioritäten (erst Identität, dann Kernsysteme)

Halcyon empfiehlt explizit, nach Verschlüsselung und bei Verdacht auf diesen Entschlüsselungsdefekt nicht auf Täter-Decrypter zu bauen, sondern von vornherein alternative Recovery-Wege vorzubereiten.

3. Zugänge härten, die Angreifer lieben

Ohne tiefes Technik-Gerede – die Klassiker, die in KMU den Unterschied machen:

• MFA: überall, vor allem Admins, VPN, E-Mail
• Admin-Konten trennen: separate Admin-Accounts, kein „Alltags-Admin“
• Patch-Routine: Betriebssysteme, VPN-Gateways, Remote-Tools
• Fernzugriffe minimieren: zeitlich begrenzt freischalten und protokollieren

4. Dienstleister & Lieferkette: Zugriff ist Macht

Wenn externe IT-Dienstleister Zugriff haben:

• Least Privilege: Zugriff nur auf das erlauben, was unbedingt nötig ist.
• Logging: Jederzeit muss nachvollziehbar sein, wer wann was gemacht hat. Idealerweise mit Alterts, wenn es ungewöhnliche Aktivitäten gibt.
• Notfallkontakt: Ein klarer Notfallplan mit klaren Schritte im Incident

5. Awareness: Nicht „Schulung“, sondern Gewohnheit

Ein realistisches Ziel für Unternehmen: Jeder Mitarbeitende soll 3 Dinge instinktiv tun:

1. keine Credentials auf Login-Seiten nach Klick aus Mails eingeben
2. Zahlungs- bzw. IBAN-Änderungen immer über zweiten Kanal bestätigen
3. ungewöhnliche MFA-Pushs sofort melden

Ein Angriff trifft nicht nur IT – sondern Umsatz, Lieferfähigkeit und Vertrauen.

Wir erstellen mit dir einen IT-Notfallplan, der klar regelt: Wer macht was, wann – und wie kommst du schnell wieder in den Betrieb?

Sicarii ist ein unangenehmer Weckruf

Ransomware wird nicht nur häufiger – sie wird auch unberechenbarer. Wenn die Täter ihre eigene Verschlüsselung „verbocken“, hilft dir im Ernstfall weder Technikglück noch ein Lösegeld-Deal.

Dann bleibt nur, was du vorher sauber aufgebaut hast: Backups, die alles wiederherstellen, klare Zuständigkeiten und ein Notfallplan, der nicht in der Schublade verstaubt.

Genau das ist in KMU machbar – ohne Sicherheitsabteilung und ohne Overkill.

Wenn du deine wichtigsten Systeme kennst, Zugänge absicherst, Updates konsequent fährst und Recovery regelmäßig testest, nimmst du Ransomware den größten Hebel: deinen Stillstand.

Und am Ende geht’s genau darum – nicht „nie getroffen werden“, sondern handlungsfähig bleiben, wenn es passiert.

In diesem Sinne: Helau und Alaaf!