Anubis-Ransomware: Malware blockiert passwortgeschütztenZIP-Dateien

Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Malware, Ransomware
  • Einsteiger
Darstellung der Angriffskette der Anubis-Ransomware (Grafik: @Check Point 2026)

Anubis-Ransomware: Malware in passwortgeschützten ZIP-Dateien blockieren.

Neue Funktionen zur Bedrohungsemulation ermöglichen die Überprüfung und Blockierung bösartiger ZIP-Dateien, ohne dass deren Passwort erforderlich ist, da die Anubis-Ransomware sich oft durch Verstecken in passwortgeschützten ZIP-Dateien der Erkennung entzieht.

Zusammenfassung (TL; DR):

  • Sicherheitsforscher von Check Point haben eine neue Art von Malware gefunden, die bei einer Kampagne der Anubis-Ransomware im August 2025 eingesetzt wurde.
  • Ein Multi-Channel-Ansatz zielt darauf ab, herkömmliche Sicherheitskontrollen zu umgehen, sodass es für Systeme schwieriger wird, die Datei und ihr Passwort miteinander in Verbindung zu bringen, und die Bedrohung somit schwerer zu erkennen ist.
  • Der Fall der Anubis-Ransomware zeigt, wie wichtig die passwortunabhängige Erkennung für die moderne Bedrohungsabwehr ist.

Mit der Weiterentwicklung der Cyberabwehr entwickeln sich auch die Taktiken der Angreifer weiter. Eine der hartnäckigsten Umgehungstechniken besteht darin, Malware in passwortgeschützte ZIP-Dateien einzubetten, wodurch es für herkömmliche Sicherheitstools schwierig wird, deren Inhalt zu überprüfen.

Sicherheitsforscher von Check Point haben eine neue Art von Malware gefunden, die bei einer Kampagne der Anubis-Ransomware im August 2025 eingesetzt wurde. Die Kampagne begann mit einer gezielten Phishing-E-Mail, die einen passwortgeschützten ZIP-Ordner enthielt. Das Passwort wurde über einen Out-of-Band-Kanal bereitgestellt. Anschließend versuchten die Täter mithilfe von Social Engineering, das Opfer davon zu überzeugen, die schädliche Payload zu extrahieren und auszuführen. Die schädliche ausführbare Datei aus der Anubis-Ransomware-Familie ist durch starke kryptografische Algorithmen geschützt und zielt in der Regel auf Backup-Systeme (z. B. VEEAM, Acronis), Datenbankserver (z. B. SQL) und Cloud-Speicher-Synchronisierungsordner ab.

Darstellung der Angriffskette der Anubis-Ransomware (Grafik: @Check Point 2026)Herausforderung: Unterbrechung der Passwort-Übertragungskette

Angreifer haben sich angepasst. Ihre neue Strategie? Aufteilung des Übertragungswegs:

  • Die schädliche ZIP-Datei wird per E-Mail versendet.
  • Das Passwort wird über einen Out-of-Band-Kanal übermittelt, häufig per SMS oder über Messaging-Apps.
  • Dieser Multi-Channel-Ansatz zielt darauf ab, herkömmliche Sicherheitskontrollen zu umgehen, sodass es für Systeme schwieriger wird, die Datei und ihr Passwort miteinander in Verbindung zu bringen, und die Bedrohung somit schwerer zu erkennen ist.

Um bösartige, passwortgeschützte Archive zu blockieren, ohne deren Passwort zu benötigen, sind Unternehmen nun mit der neuen Encrypted Archive Engine geschützt. Diese Innovation nutzt die umfangreichen Malware-Intelligence-Datenbanken von ThreatCloud AI und analysiert historische Muster und Merkmale, um neu auftretende Bedrohungen sofort nach ihrer Bereitstellung zu erkennen, unabhängig von der Komplexität des Passworts.

Dieser Ansatz untersucht:

  • Strukturelle Muster innerhalb verschlüsselter Archive
  • Metadatenmerkmale, die mit böswilligen Absichten korrelieren
  • Lieferkontext und zugehörige Verhaltensindikatoren
  • Historische Malware-Signaturen, die für die Analyse verschlüsselter Inhalte angepasst wurden

Diese Methode hat sich bereits als wirksam erwiesen, indem sie die Lieferung und den Download Tausender bösartiger Dateien verhindert und Unternehmen vor zuvor nicht erkennbaren Bedrohungen schützt.

Im eingangs geschilderten Beispiel blockierte die Sicherheitslösung die schädliche ZIP-Datei erfolgreich während der ersten Download-Phase, bevor das Opfer die Möglichkeit hatte, den Schlüssel zu öffnen. Das Tool führte eine passwortunabhängige Analyse durch. Die Erkennung erfolgte, ohne dass das ZIP-Archiv entschlüsselt werden musste. Die Bedrohung wurde am Perimeter neutralisiert, bevor sie den Endpunkt erreichte. In der Folge entstanden keine Datenverluste, es kam zu keiner Dateiverschlüsselung oder Datenexfiltration.

Der Fall der Anubis-Ransomware zeigt, wie wichtig die passwortunabhängige Erkennung für die moderne Bedrohungsabwehr ist. Während Angreifer ihre Ausweichtechniken ständig weiterentwickeln, müssen Sicherheitslösungen darauf ausgelegt werden, um noch nie dagewesene Zero Day-Bedrohungen zu erkennen. Sicherheits-Engines, die dies können, stellen einen Paradigmenwechsel beim Schutz vor fortschrittlichen Übertragungsmechanismen dar.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung