Phorpiex-Botnet schleust GLOBAL GROUP-Ransomware per E-Mail ein

Ein altbekanntes Botnetz hat eine neue, massive Phishing-Welle gestartet. Der berüchtigte Phorpiex-Botnetz nutzt getarnte Windows-Verknüpfungen, um die besonders tückische GLOBAL GROUP-Ransomware zu verbreiten. Diese Malware kann sogar offline Dateien verschlüsseln und stellt damit eine neue Herausforderung für die Cybersicherheit dar.

Tarnung als harmloses Word-Dokument

Der Angriff beginnt mit einer simplen, aber wirkungsvollen E-Mail. Der Betreff lautet oft nur „Ihr Dokument“. Der Anhang scheint ein normales Word-Dokument in einer ZIP-Datei zu sein. In Wirklichkeit verbirgt sich dahinter eine schädliche Windows-Verknüpfungsdatei (.lnk).

Der Trick: Die Datei trägt eine doppelte Endung wie „Dokument.doc.lnk“. Da Windows bekannte Dateiendungen standardmäßig ausblendet, sehen Nutzer nur „Dokument.doc“. Ein geklautes Word-Symbol täuscht zusätzliche Harmlosigkeit vor. Ein Klick genügt, und die Attacke beginnt.

PowerShell wird zum Werkzeug der Hacker

Klickt ein Nutzer auf die Datei, startet im Hintergrund eine Befehlskette. Die Verknüpfung ruft die Windows-Eingabeaufforderung (cmd.exe) auf, die wiederum PowerShell startet. Diese „Living off the Land“-Technik nutzt vertrauenswürdige Systemwerkzeuge für bösartige Aktionen – eine Taktik, die viele Virenscanner umgeht.

Phishing-Angriffe, die mit .lnk‑Anhängen und PowerShell‑Ketten arbeiten, umgehen klassische Signaturen und treffen Unternehmen oft unerwartet. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte-Anleitung: E‑Mail‑Gateway-Regeln, Checklisten zur Blockade ausführbarer Anhänge, Vorlagen für Mitarbeiterschulungen und Maßnahmen zur Erkennung von CEO‑Fraud. Ideal für IT‑Verantwortliche, die Lücken in der E‑Mail‑Abwehr schließen wollen. Anti-Phishing-Paket jetzt herunterladen

Über PowerShell lädt ein Skript dann die eigentliche Schadsoftware von einem Server der Angreifer herunter: die GLOBAL GROUP-Ransomware.

Ransomware arbeitet auch ohne Internet

GLOBAL GROUP gilt als Nachfolger der Mamona-Ransomware und hat eine gefährliche Besonderheit: Sie arbeitet im „stummen“ Offline-Modus. Während viele Erpressungstrojaner eine Internetverbindung brauchen, um Verschlüsselungsschlüssel abzurufen, erzeugt GLOBAL GROUP diese lokal auf dem infizierten Rechner.

Das macht sie besonders gefährlich für abgeschottete Netzwerke, etwa in kritischer Infrastruktur. Sie verschlüsselt Dateien mit dem Algorithmus ChaCha20-Poly1305 und hängt die Endung .Reco an. Zudem sucht die Malware aktiv nach Analyse-Tools und virtuellen Umgebungen, um ihrer Entdeckung zu entgehen.

Ein Botnetz mit langer, dunkler Geschichte

Das Phorpiex-Botnetz, auch als Trik bekannt, ist seit über einem Jahrzehnt aktiv. Früher verbreitete es vor allem Spam und Erpressungsmails. Seine Stärke liegt im massenhaften Versand von E-Mails, was es zu einem perfekten Vehikel für Ransomware-Betreiber macht.

Die aktuelle Kampagne zeigt einen klaren Trend: Cyberkriminelle kombinieren etablierte, große Botnetze mit moderner, schwer aufzuspürender Malware, um maximale Wirkung zu erzielen. Bereits im Januar 2026 nutzte Phorpiex die gleiche LNK-Methode, um die „Aware Ransomware“ zu verbreiten.

So können sich Unternehmen schützen

• E-Mail-Gateways sollten ausführbare Anhänge, inklusive LNK-Dateien, blockieren.
• Windows-Einstellungen müssen so angepasst werden, dass Dateiendungen immer sichtbar sind. Das enttarnt die doppelten Endungen.
• Endpunktüberwachung muss verdächtige Aktivitäten von cmd.exe und PowerShell erkennen und blockieren können.
• Da die Ransomware offline arbeitet, sind verhaltensbasierte Erkennungssysteme essenziell, die den Verschlüsselungsvorgang früh stoppen.

Die wichtigste Verteidigungslinie bleibt jedoch die Sensibilisierung der Nutzer. Der Verdacht sollte schon bei simplen Betreffzeilen wie „Ihr Dokument“ geweckt werden – besonders, wenn die E-Mail unerwartet kommt.

PS: Wussten Sie, dass viele Angriffe lokale Schlüsselgenerierung nutzen und Signatur-basierte Scanner so kaum greifen? Das Anti‑Phishing‑Paket enthält konkrete Vorlagen für verhaltensbasierte Erkennung, Praxistipps zur Absicherung von Endpunkten und fertige Schulungsmaterialien, mit denen Sie Mitarbeiter schnell sensibilisieren. Ideal für KMU und Betreiber kritischer Systeme. Jetzt Anti-Phishing-Paket anfordern