Benzona: Neue Ransomware bedroht Windows weltweit

Eine hochentwickelte Ransomware-Kampagne versetzt Sicherheitsexperten in Alarmbereitschaft. Die neue Schadsoftware namens Benzona attackiert Windows-Systeme mit einer aggressiven “Doppel-Erpressungs”-Strategie – und gibt Opfern nur 72 Stunden Zeit.

Erstmals Ende November identifiziert, hat die Bedrohung in den vergangenen drei Tagen massiv zugenommen. Führende Cybersecurity-Unternehmen wie Broadcom (Symantec) und CYFIRMA schlugen diese Woche Alarm. Die Opferbilanz: Unternehmen aus Automobil-, Digital- und Sozialdienstleistungssektoren in Europa, Asien und Westafrika.

Was macht Benzona so gefährlich? Die Angreifer verschlüsseln nicht nur kritische Dateien, sondern stehlen zugleich sensible Daten. Wer nicht zahlt, dem droht die öffentliche Veröffentlichung. Ein perfider Mechanismus, der selbst Firmen mit funktionierenden Backups unter Druck setzt.

Viele Unternehmen sind auf gezielte Ransomware-Angriffe wie Benzona nicht vorbereitet – die Täter arbeiten schnell, nutzen Double‑Extortion und setzen Opfer mit strikten 72‑Stunden‑Fristen unter Druck. Ein kostenloses E‑Book für IT‑Verantwortliche erklärt praxisnahe Schutzmaßnahmen: EDR‑Checks, offline‑Backups, gehärtete Remote‑Zugänge und gezielte Anti‑Phishing‑Schulungen – inklusive Checklisten und sofort umsetzbaren Schritten, oft ohne große Zusatzkosten. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Rasante Entwicklung alarmiert Experten

Am 4. Dezember 2025 bestätigte das Threat-Intelligence-Team von Broadcom die besorgniserregende Geschwindigkeit, mit der sich Benzona ausbreitet. Anders als wahllose Spam-Kampagnen folgt diese Attacke einem präzisen Muster.

“Eine neue Ransomware-Operation namens Benzona ist aufgetaucht und zeigt Anzeichen rasanter Entwicklung und wachsenden Selbstbewusstseins”, analysierten die Broadcom-Forscher. Die Schadsoftware zielt gezielt auf Unternehmensumgebungen ab und deaktiviert systematisch alle Wiederherstellungsmechanismen, bevor sie zuschlägt.

Der Zeitpunkt bereitet Sorgen. Während erste Samples Ende November entdeckt wurden, rollte in der ersten Dezemberwoche eine koordinierte Infektionswelle über betroffene Systeme. Gleich mehrere Threat-Intelligence-Plattformen schlugen parallel Alarm – ein deutliches Zeichen für die Professionalität der Operation.

Die Anatomie eines Angriffs

Benzona folgt einer brutalen, aber hocheffizienten Angriffskette. Berichte von CYFIRMA und WatchGuard dokumentieren die präzise Vorgehensweise:

Schritt 1: Systemlähmung

Bevor auch nur eine einzige Datei verschlüsselt wird, sorgt Benzona dafür, dass Opfer sich nicht wehren können. PowerShell-Befehle beenden Sicherheitssoftware, Virtualisierungsprozesse und Backup-Dienste. Das kritische Detail: Die Malware löscht Volume Shadow Copies – Windows’ eingebauten Backup-Mechanismus – mittels vssadmin-Befehlen. Für IT-Administratoren verschwindet damit die naheliegendste Rettungsoption.

Schritt 2: Verschlüsselung mit Branding

Mit lahmgelegten Abwehrmechanismen beginnt die eigentliche Verschlüsselung. Starke Kryptografie-Algorithmen sperren Dateien weg. Das unverwechselbare Erkennungszeichen: die Endung .benzona an jedem betroffenen File. Aus dokument.docx wird dokument.docx.benzona.

Schritt 3: Die Lösegeldforderung

In jedem Ordner mit verschlüsselten Daten hinterlassen die Angreifer eine Textdatei: RECOVERY_INFO.txt. Dieses Ultimatum verweist Opfer auf ein Tor-basiertes Verhandlungsportal und warnt explizit: “Sensible Daten wurden exfiltriert.”

Schritt 4: Das 72-Stunden-Fenster

Benzona-Betreiber setzen auf psychologischen Druck. Die Lösegeldforderung verhängt eine strikte 72-Stunden-Frist für die Kontaktaufnahme. Wer nicht reagiert, riskiert die öffentliche Veröffentlichung gestohlener Daten auf einer dedizierten Erpressungs-Website.

Opfer auf drei Kontinenten

Die geografische und branchenmäßige Streuung der ersten Benzona-Opfer deutet auf eine finanziell motivierte Gruppe hin, die bewusst diverse Ziele attackiert.

Laut Daten von WatchGuard und Broadcom vom 4. und 5. Dezember umfassen bestätigte und mutmaßliche Opfer:

• Rumänien: Mehrere Organisationen im Automobil-Einzelhandel und Werkstattsektor
• Taiwan: Unternehmen aus Digital- und IT-Branchen
• Elfenbeinküste: Organisationen im Sozialdienstleistungs- und Gesundheitssektor

Dieses Muster legt nahe, dass Benzona automatisierte Scans oder gekaufte Zugangsdaten (Initial Access Broker) nutzt, um verwundbare Netzwerke unabhängig von ihrer geografischen Lage zu kompromittieren.

Doppel-Erpressung als Industriestandard

Sicherheitsanalysten betonen, dass Benzona das “Double-Extortion”-Modell übernimmt, das mittlerweile zum Standard erstklassiger Ransomware-Banden gehört.

In einem Wochenbericht vom 5. Dezember 2025 notierten CYFIRMA-Forscher: “Benzona operiert eindeutig im Doppel-Erpressungs-Modell und nutzt sowohl Datenverschlüsselung als auch Datendiebstahl, um Opfer zur Compliance zu zwingen.”

Diese Methode adressiert eine unbequeme Realität: Viele Unternehmen verfügen mittlerweile über robuste Backups. Durch den Diebstahl sensibler Daten – Mitarbeiterdaten, Finanzdokumente, Kundendatenbanken – können Angreifer selbst dann Lösegeld erpressen, wenn das Opfer seine Systeme technisch wiederherstellen kann. Die Drohung mit DSGVO-Strafen oder Reputationsschäden zwingt Betroffene oft zur Zahlung.

Broadcoms Analyse ordnet den Angriff zudem in etablierte Enterprise-Ransomware-Playbooks ein und mappt Benzonas Taktiken auf das MITRE ATT&CK Framework, einschließlich “Process Injection” (T1055) und “Impair Defenses” (T1562).

Verteidigung gegen die neue Bedrohung

Sicherheitsexperten warnen: Die rasante Entwicklung von Benzona deutet darauf hin, dass wir erst die Anfangsphase dieser Operation erleben. Die Professionalität der Lösegeldforderungen und die Stabilität der Verschlüsselung weisen auf erfahrene Akteure hin – möglicherweise ein Rebrand ehemaliger Ransomware-Gruppen.

Sofortmaßnahmen für IT-Verantwortliche

• Bekannte Indikatoren blockieren: Endpoint Detection and Response (EDR)-Tools müssen aktualisiert werden, um die .benzona-Endung und die Erstellung von RECOVERY_INFO.txt zu flaggen
• Remote-Zugriff absichern: Wie bei vielen modernen Ransomware-Varianten erfolgt der initiale Zugriff oft via kompromittiertes Remote Desktop Protocol (RDP) oder Phishing. Multi-Faktor-Authentifizierung (MFA) auf allen Remote-Zugangspunkten ist Pflicht
• Offline-Backups: Da Benzona aktiv lokale Backups und Shadow Copies attackiert, sind offline gespeicherte, unveränderliche Backups (air-gapped) die einzige garantierte Wiederherstellungsmethode
• Verhaltensüberwachung: Sicherheitssoftware sollte so konfiguriert sein, dass sie die Ausführung von vssadmin.exe und PowerShell-Skripte blockiert, die versuchen, Systemdienste zu stoppen

Während die 72-Stunden-Fristen für die ersten Dezember-Opfer ablaufen, bereitet sich die Cybersecurity-Community auf potenzielle Datenlecks vor, die das volle Ausmaß der Fähigkeiten dieser neuen Gruppe offenlegen könnten. Organisationen sind dringend aufgerufen, wachsam zu bleiben und diese Bedrohung als aktiv und hochgradig gefährlich einzustufen.

PS: Sie wollen Ihr Unternehmen gegen Erpressung und Datenverlust wappnen? Der Gratis-Report fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt DSGVO‑relevante Risiken und zeigt konkrete Schutzmaßnahmen gegen Ransomware, Phishing und ungesicherte Fernzugänge – inkl. Praxisbeispielen und Prioritäten für begrenzte Budgets. Ideal für Geschäftsführer und IT‑Leads, die schnell wirksame Maßnahmen umsetzen möchten. Kostenlosen Cyber‑Security‑Report anfordern