Payload-Ransomware: Neue Malware nutzt unmöglich zu knackende Verschlüsselung

Eine hochentwickelte neue Ransomware namens Payload bedroht Unternehmen weltweit – und setzt dabei auf Verschlüsselung, die selbst Experten rätseln lässt.

Seit ihrem ersten Auf-tauchen im Februar 2026 hat die Payload-Gruppe rasant an Tempo zugelegt. Die Täter kombinieren modernste Kryptografie mit einer perfiden Doppelerpressungsstrategie: Sie verschlüsseln nicht nur Daten, sondern stehlen sie auch – und drohen mit der Veröffentlichung.

Angesichts der rasant steigenden Zahl von Cyberangriffen und Ransomware-Vorfällen in der DACH-Region ist ein proaktiver Schutz für Unternehmen wichtiger denn je. Dieser kostenlose Ratgeber hilft Ihnen, Sicherheitslücken gezielt zu schließen und neue Bedrohungen rechtzeitig zu erkennen. Experten-Checkliste für proaktive IT-Sicherheit jetzt kostenlos herunterladen

Hochsichere Verschlüsselung macht Wiederherstellung unmöglich

Der technische Kern der Payload-Ransomware unterscheidet sich grundlegend von früheren Varianten. Statt auf Standardverfahren setzen die Angreifer auf eine Kombination aus ChaCha20 und Curve25519-ECDH für den Schlüsselaustausch. Das Ergebnis: Jede einzelne Datei wird mit einem eigenen, flüchtigen Schlüssel geschützt. Ohne den privaten Schlüssel der Erpresser ist eine Wiederherstellung derzeit ausgeschlossen.

Die Malware ist speziell auf Windows-Systeme optimiert und verschlüsselt Daten in hohem Tempo. Hinzu kommen ausgeklügelte Gegenmaßnahmen für Forensiker: Payload patcht die Event Tracing for Windows (ETW) – ein zentrales Sicherheitswerkzeug – und löscht systematisch Volume Shadow Copies (VSS) sowie Systemereignisprotokolle. Damit werden nicht nur Spuren verwischt, sondern auch die wichtigste Backup-Funktion von Windows lahmgelegt.

Bereits Ende März 2025 listete die Gruppe auf ihrer Leak-Seite 50 Opfer. Zu den bestätigten Fällen zählen der ägyptische Immobilienentwickler SODIC und die Logistikfirma A-Sonic Logistics. Betroffen sind Unternehmen in Ägypten, Mexiko und Polen. Sicherheitsforscher identifizierten einen spezifischen Mutex – benannt nach einem politischen Slogan – sowie die Dateiendung .payload als Erkennungsmerkmale.

Staatliche Hacker rüsten auf – Lazarus und Co. im Visier

Nicht nur kriminelle Banden, sondern auch staatlich gesteuerte Gruppen verschärfen ihre Angriffe. Die nordkoreanische Lazarus-Gruppe setzt nun auf eine neue Schadsoftware namens RemotePE – einen Remote-Access-Trojaner, der ausschließlich im Arbeitsspeicher lebt. Herkömmliche Antivirenlösungen, die auf Festplatten scannen, erkennen ihn nicht.

Die Angriffskette ist mehrstufig: Über einen DPAPILoader gelangt ein RemotePELoader ins System, der schließlich den eigentlichen Trojaner aktiviert. Als Einstiegspunkt dient häufig Social Engineering über Telegram. Einmal installiert, erlaubt RemotePE umfassende Kontrolle – von der Prozessverwaltung bis zur Dateimanipulation. Um Spuren zu verwischen, überschreibt die Malware gelöschte Dateien gleich siebenmal.

Da Angreifer zunehmend auf Social Engineering und die Manipulation von Mitarbeitern setzen, müssen Firmen ihre Teams gezielt für diese Gefahren sensibilisieren. Das kostenlose Anti-Phishing-Paket bietet eine detaillierte Analyse aktueller Hacker-Methoden und zeigt effektive Abwehrmodelle auf. In 4 Schritten zur erfolgreichen Hacker-Abwehr – Gratis-Paket sichern

Parallel dazu nutzt die iranisch gesteuerte Gruppe Screening Serpens (auch UNC1549) die Azure-Cloud für ihre Kommandozentralen. Ihre Werkzeuge: die Trojaner MiniUpdate und MiniJunk V2. Zielbranchen sind Luft- und Raumfahrt, Verteidigung sowie Technologie – vor allem in den USA, Israel und den Vereinigten Arabischen Emiraten.

Kritische Lücken in Web-Infrastruktur und Lieferketten

Die Bedrohungslage wird durch Sicherheitslücken in alltäglicher Software weiter verschärft. Mandiant-Forscher entdeckten eine schwerwiegende Schwachstelle im Lernmanagementsystem KnowledgeDeliver (CVE-2026-5426). Ursache: identische, fest codierte ASP.NET-Maschinenschlüssel in zahlreichen Installationen.

Unbekannte Angreifer nutzen diesen Fehler seit Ende 2025 aus, um Webshells zu installieren und JavaScript-Dateien zu manipulieren. Auf diesem Weg gelangte letztlich Cobalt Strike BEACON auf die Rechner ahnungsloser Besucher. Die Lösung: Jede Installation benötigt eigene, eindeutige Maschinenschlüssel.

Ein weiteres Alarmzeichen ist die TrapDoor-Kampagne. Hier verteilten Angreifer über 30 schädliche Pakete in den Entwickler-Plattformen npm, PyPI und Crates.io. Die Opfer: Entwickler, die an Blockchain-Projekten wie Aptos, Sui und Solana arbeiten. Die Malware stiehlt SSH-Schlüssel, AWS-Tokens und GitHub-Zugangsdaten. Besonders perfide: Die Täter manipulieren auch Dateien, die KI-Entwicklungsassistenten verwenden.

Cyberkriminalität wird zum Geschäftsmodell

Die jüngsten Aktivitäten der DragonForce-Ransomware zeigen, wie professionell die Branche inzwischen agiert. Erst Anfang der Woche tauchten neue Opfer auf der Leak-Seite auf – darunter die kanadische Wirtschaftsprüfungsgesellschaft Enns & Company und Arsenal Scaffold. Die Veröffentlichung dient als Druckmittel, selbst wenn die gestohlenen Daten noch nicht vollständig freigegeben sind.

Die Marktanalyse von Check Point Research belegt einen dramatischen Anstieg der Bedrohungen. Allein in der DACH-Region (Deutschland, Österreich, Schweiz) stiegen Ransomware- und Hacktivismus-Vorfälle im Jahr 2025 um 124 Prozent. Parallel dazu kam es zu massiven Datenlecks – etwa bei 7-Eleven, wo die Gruppe ShinyHunters über 600.000 Salesforce-Datensätze erbeutete.

Auch GitHub und Grafana Labs meldeten Sicherheitsvorfälle mit Tausenden internen Repositorien. Die Ursache: ein einziger kompromittierter GitHub-Token.

Was Unternehmen jetzt tun müssen

Die Angreifer werden immer raffinierter. Memory-only-Malware und die Nutzung legitimer Cloud-Dienste für Kommandozentralen machen klassische Grenzsicherung zunehmend wirkungslos.

Sicherheitsexperten raten zu zeitnahem Patchen kritischer Schwachstellen – darunter kürzlich aufgedeckte Lücken in Windows Defender (CVE-2026-41091, CVE-2026-45498) und Trend Micro Apex One (CVE-2026-34926). Zudem zeigt der Aufstieg von Phishing-as-a-Service-Plattformen wie Kali365, dass einfache Zwei-Faktor-Authentifizierung nicht mehr ausreicht. Unternehmen müssen auf robustere Identitäts- und Zugangsmanagement-Lösungen setzen.

Die Botschaft ist klar: Wer heute nicht investiert, wird morgen erpresst.

de | wissenschaft | 69419408 |