ChickenKiller-Ransomware attackiert Windows-Systeme

Eine neue Ransomware-Kampagne trifft auf verschärfte Microsoft-Sicherheitsregeln. Während die Verschlüsselungssoftware “ChickenKiller” europäische Netzwerke bedroht, kündigt der Konzern drastische Schutzmaßnahmen für Cloud-Identitäten an.

Der Dezemberstart konfrontiert IT-Abteilungen mit einer doppelten Herausforderung: Einerseits breitet sich mit ChickenKiller eine aggressive neue Ransomware-Variante aus. Andererseits bereitet Microsoft für Oktober 2026 einen Strategiewechsel beim Schutz von Entra ID vor – der Nachfolgeplattform von Azure Active Directory.

Das Cybersecurity-Unternehmen CYFIRMA schlug am 28. November Alarm. In einem Wochenbericht dokumentieren die Analysten die Funktionsweise der Schadsoftware, die mit ihrer “militärischen Sicherheitsstufe” wirbt.

Die Masche folgt einem bekannten Muster: ChickenKiller verschlüsselt Dokumente, Bilder und Datenbanken, hängt die Endung .locked an und hinterlässt eine Lösegeldforderung namens RECOVERY_INSTRUCTIONS.txt. Jedes Opfer erhält eine individuelle ID und wird zu einem Live-Chat-Portal gelotst.

Passend zum Thema Cyberangriffe und Unternehmensschutz: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt aktuelle Bedrohungen (Ransomware, Kernel‑Exploits, XSS), zeigt praxisnahe Sofortmaßnahmen für IT‑Teams und wie Sie Schutz ohne hohe Investitionen aufbauen. Ideal für IT‑Leiter und Administratoren, die Backup‑Resilienz, Entra‑ID‑Flows und Patch‑Prozesse sofort verbessern wollen. Mit Checklisten und Prioritäten, die Sie umgehend umsetzen können. Jetzt kostenlosen Cyber-Security-Report herunterladen

Entscheidend ist: Das Entfernen der Malware stoppt nur weitere Schäden. Die bereits verschlüsselten Dateien bleiben ohne den Decoder der Angreifer unbrauchbar. CYFIRMA warnt eindringlich vor Lösegeldzahlungen – sie garantieren weder die Datenrettung noch verhindern sie, dass das Geld weitere Straftaten finanziert.

Einzige verlässliche Rettung? Offline-Backups, die vor dem Angriff erstellt wurden.

Microsoft zieht die Schraube bei Entra ID an

Zwei Tage vor dem CYFIRMA-Bericht verkündete Microsoft am 26. November eine grundlegende Sicherheitsreform. Ab Oktober 2026 gelten strikte Content-Security-Policy-Regeln (CSP) für alle Anmeldevorgänge über login.microsoftonline.com.

Was ändert sich konkret? Die Plattform wird künftig nur noch Skripte aus vertrauenswürdigen Microsoft-Domains ausführen. Unbefugter oder eingeschleuster Code – die Grundlage für Cross-Site-Scripting-Attacken (XSS) – hat damit keine Chance mehr.

“Diese Aktualisierung stärkt die Sicherheit durch eine zusätzliche Schutzschicht”, erklärt Produktmanagerin Megna Kokkalera. Damit reagiert der Konzern auf Kritik der US-amerikanischen Cyber Safety Review Board, die Anfang 2025 massive Schwachstellen in Microsofts Sicherheitsarchitektur offenlegte.

Warum Unternehmen jetzt handeln müssen

Trotz der langen Übergangsfrist drängt Microsoft zur sofortigen Überprüfung. Administratoren sollten ihre Anmeldeabläufe bereits jetzt mit Browser-Entwicklertools testen. Fehler wie “Refused to load” in der Konsole zeigen, welche Skripte ab 2026 blockiert werden.

Die Maßnahme ist Teil der “Secure Future Initiative” – Microsofts Antwort auf zunehmende Cyberangriffe durch staatliche Akteure. Das Ziel: Von reaktiver zu proaktiver Sicherheit wechseln, selbst wenn das Kompatibilität mit Drittanbieter-Lösungen kostet.

Kritische Kernel-Lücke noch immer offen

Der Dezemberbeginn markiert zugleich eine wichtige Frist für November-Patches. Besondere Aufmerksamkeit verdient CVE-2025-62215: Diese Schwachstelle im Windows-Kernel ermöglicht lokalen Angreifern, SYSTEM-Rechte zu erlangen.

Microsoft bestätigte am 11. November, dass die Lücke bereits aktiv ausgenutzt wird. Das Problem: Eine Race Condition, die bei korrektem Timing höchste Privilegien verschafft. Der CVSS-Score von 7.0 spiegelt die Schwere wider.

Parallel dazu mahnen Sicherheitsforscher zur Überprüfung von CVE-2025-59287 – einer kritischen Remote-Code-Execution-Schwachstelle in Windows Server Update Services. Trotz eines außerplanmäßigen Patches Ende Oktober registrieren CISA und Palo Alto Networks weiterhin Scan-Versuche auf die exponierten WSUS-Ports 8530 und 8531.

Drei Sofortmaßnahmen für IT-Abteilungen

Die Gleichzeitigkeit von Ransomware-Welle, Identitäts-Härtung und aktiver Kernel-Ausnutzung zeigt die Volatilität der aktuellen Bedrohungslage. Während ChickenKiller beweist, dass Verschlüsselungs-Malware trotz verbesserter Abwehr gefährlich bleibt, signalisieren Microsofts CSP-Änderungen einen Paradigmenwechsel: Plattformintegrität vor Abwärtskompatibilität.

Empfohlene Prioritäten bis Jahresende:

Backup-Resilienz prüfen – Offline-Sicherungen müssen gegen ChickenKiller-Angriffe geschützt sein. Testläufe zeigen, ob die Wiederherstellung im Ernstfall funktioniert.

Entra-ID-Flows testen – Die neuen CSP-Regeln erfordern frühzeitige Anpassungen. Warten bis 2026 riskiert Ausfälle beim Go-Live.

Kernel-Updates verifizieren – Alle Windows-Endpoints brauchen die kumulativen Updates vom 11. November, um CVE-2025-62215 zu schließen.

Kann die Branche dem permanenten Wettrüsten standhalten? Microsofts jüngste Aussage gibt die Richtung vor: “In der Cybersicherheit reicht Wissen allein nicht – wir brauchen konstante Wachsamkeit und Innovation.” Die kommenden Monate werden zeigen, ob dieser Ansatz die Angriffswellen tatsächlich bremst.

PS: Viele mittelständische IT‑Teams stärken ihre Abwehr mit einfachen Maßnahmen aus diesem Experten‑E‑Book. Der kostenlose Leitfaden enthält konkrete Checklisten für Offline‑Backups, Entra‑ID‑Konfigurationen und Windows‑Patch‑Prozesse, damit Ransomware‑Angriffe keine Chance haben. Praxisnahe Priorisierungen helfen, die kritischsten Lücken zuerst zu schließen – ideal für Admins, die schnell wirksame Maßnahmen suchen. Sofort anwendbare Schritte reduzieren Ihre Angriffsfläche in wenigen Tagen deutlich. Gratis Cyber-Security‑E‑Book anfordern