Bactor-Ransomware: Neue Erpressersoftware greift Windows-Systeme an

Eine hochentwickelte Ransomware-Variante namens „Bactor” bedroht aktuell Windows-Umgebungen weltweit. Cybersicherheitsforscher schlagen Alarm: Die Schadsoftware kombiniert aggressive Datenexfiltration mit blitzschneller Verschlüsselung – und setzt Opfer unter massiven Zeitdruck.

Das CYFIRMA Research and Advisory Team identifizierte die neue Bedrohung während routinemäßiger Überwachung krimineller Untergrund-Foren. In ihrem Wochenbericht vom heutigen Freitag warnen die Analysten vor einem besorgniserregenden Aktivitätsanstieg. Bactor verfolgt eine „Double-Extortion”-Strategie: Die Erpresser verschlüsseln nicht nur kritische Dateien, sondern drohen gleichzeitig damit, gestohlene Daten zu veröffentlichen – ein doppeltes Druckmittel.

Erste Malware-Samples tauchten bereits Anfang November auf. Die aktuelle Analyse bestätigt nun: Bactor ist voll funktionsfähig und hochgefährlich. Die Software zielt darauf ab, Unternehmensabläufe lahmzulegen, indem sie essenzielle Daten sperrt und gängige Wiederherstellungswege blockiert.

Bactor infiltriert Systeme typischerweise über Phishing-Mails, manipulierte Anhänge oder kompromittierte Remote-Desktop-Zugänge. Nach der Infektion startet eine brutale Kommandokette.

Ransomware-Angriffe wie Bactor beginnen oft mit genau den Phishing-Methoden, die viele Organisationen bislang unterschätzt haben. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, wie Sie Phishing‑Angriffe erkennen, Shadow-Copy‑Schutz und Backup‑Strategien richtig umsetzen und Ihre IT auch ohne große Budgets deutlich härten. Praktische Checklisten und Sofortmaßnahmen unterstützen IT‑Verantwortliche bei der Verteidigung gegen Erpressersoftware. Kostenloses Cyber‑Security‑E‑Book herunterladen

Verschlüsselung mit Wiedererkennungswert

Die Malware durchsucht befallene Rechner nach Dokumenten, Bildern und Datenbanken. Mit einem robusten Verschlüsselungsalgorithmus macht sie die Dateien unzugänglich. Das Erkennungsmerkmal: An jeden Dateinamen hängt Bactor die E-Mail-Adresse der Angreifer plus die Endung .bactor an. Aus Quartalsbericht.xlsx wird beispielsweise Quartalsbericht.xlsx.[angreifer@email].bactor.

Sabotage der Wiederherstellung

Besonders perfide: Bactor zerstört systematisch Windows-Wiederherstellungsfunktionen. Die Schadsoftware nutzt Kommandozeilen-Tools, um Volumenschattenkopien zu löschen – mit Befehlen wie vssadmin.exe Delete Shadows /all /quiet. Ohne diese Sicherungen lässt sich das System nicht mehr auf einen Zustand vor der Infektion zurücksetzen.

Aufklärung via WMI

Über die Windows Management Instrumentation sammelt Bactor diskret Informationen über das befallene System. Diese legitime Windows-Komponente wird zweckentfremdet, um den Wert des Zielsystems einzuschätzen – und die Lösegeldforderung entsprechend anzupassen.

48 Stunden bis zur Preisexplosion

Nach der Verschlüsselung ändert Bactor das Desktop-Hintergrundbild und hinterlässt in betroffenen Verzeichnissen eine Lösegeldforderung namens #HowToRecover.txt. Der Inhalt setzt auf psychologischen Druck:

Strikte Deadline: Opfer haben nur 48 Stunden Zeit, um Kontakt aufzunehmen. Wer die Frist verstreichen lässt, zahlt doppelt. Zusätzlich drohen die Kriminellen damit, gestohlene Daten an Konkurrenten zu verkaufen oder im Darknet zu veröffentlichen.

Um „Vertrauenswürdigkeit” zu demonstrieren, bieten die Erpresser an, ein bis zwei kleine Dateien (unter 1 MB) kostenlos zu entschlüsseln. Diese Taktik ist gängig: Sie soll beweisen, dass ein funktionierender Entschlüsselungsschlüssel existiert.

Paradigmenwechsel in der Cyberkriminalität

Bactor steht exemplarisch für einen Trend Ende 2025: Ransomware-Gruppen setzen zunehmend auf mehrschichtige Erpressungsmodelle. „Das Verhalten von Bactor zielt darauf ab, Wiederherstellung zu verhindern und durch sofortige Datenleck-Drohungen maximalen Druck aufzubauen”, heißt es im aktuellen Forschungsbericht.

Diese Entwicklung zwingt Organisationen dazu, Ransomware-Vorfälle als vollwertige Datenschutzverletzungen zu behandeln – nicht nur als operative Störung. Für deutsche Unternehmen bedeutet das zusätzlich: mögliche DSGVO-Meldepflichten bei Datenlecks.

Sicherheitsexperten raten dringend ab, Lösegeld zu zahlen. Zahlungen finanzieren kriminelle Strukturen und bieten keine Garantie für Datenwiederherstellung. Stattdessen empfehlen sie proaktive Verteidigungsmaßnahmen:

• Offline-Backups: Unveränderliche Sicherungen aufbewahren, die nicht über das Netzwerk erreichbar sind
• E-Mail-Hygiene: Mitarbeiter im Erkennen verdächtiger Anhänge schulen
• Endpoint-Schutz: Antiviren-Software aktuell halten und heuristische Erkennung aktivieren

Was Administratoren jetzt tun sollten

Da Bactor erst kürzlich auf der Bildfläche erschien, rechnen Cybersicherheitsfirmen damit, dass die Betreiber ihren Code in den kommenden Wochen verfeinern werden. Die schnelle Löschung von Schattenkopien und der WMI-Einsatz zeugen von technischer Raffinesse.

IT-Verantwortliche sollten auf spezifische Indikatoren achten: die Dateiendung .bactor und die Lösegeldforderung #HowToRecover.txt. Bleibt die Frage: Wird Bactor zum dauerhaften Begleiter der Unternehmens-IT? Die bisherige Entwicklung deutet darauf hin.

PS: Sie möchten nach einem möglichen Bactor-Vorfall schnell reagieren oder präventiv Ihre Prozesse stärken? Der kostenlose Leitfaden liefert praxisnahe Checklisten für Incident Response, konkrete Sofortmaßnahmen für Administratoren, sowie Empfehlungen zur DSGVO-konformen Meldung von Datenschutzvorfällen. Nützliche Vorlagen und Handlungsschritte helfen, die Zeit bis zur Wiederherstellung zu verkürzen. Jetzt kostenlosen Cyber‑Security‑Leitfaden anfordern