RansomHouse: Neue Ransomware-Generation bedroht deutsche Unternehmen

Die Cyber-Bedrohung RansomHouse hat sich mit einer mehrschichtigen Verschlüsselungstechnik gefährlich weiterentwickelt. Das gefährdet besonders deutsche Firmen mit VMware-Infrastruktur.

Sicherheitsexperten schlagen Alarm: Die Ransomware-Gruppe Jolly Scorpius, bekannt als Betreiber des RansomHouse-Dienstes, hat ihre Angriffsmethoden massiv verbessert. Eine neue Analyse zeigt eine besorgniserregende Entwicklung für das Jahr 2026. Der Kern der Gefahr: Ein ausgeklügeltes, duales Verschlüsselungssystem, das herkömmliche Rettungsversuche nahezu unmöglich macht.

Dual-Schlüssel-Verschlüsselung stellt Retter vor Rätsel

Im Zentrum der Eskalation steht der aktualisierte Verschlüsselungs-Trojaner mit dem Codenamen „Mario“. Er arbeitet nicht mehr mit einem einfachen Schlüssel, sondern mit einem komplexen Zwei-Stufen-Mechanismus. Für jeden Angriff generiert die Malware zwei separate Schlüssel: einen primären 32-Byte-Schlüssel und einen sekundären 8-Byte-Schlüssel.

Unternehmen stehen 2026 vor immer raffinierteren Ransomware-Angriffen – besonders virtualisierte Umgebungen wie VMware ESXi sind im Visier. Der kostenlose Report “Cyber Security Awareness Trends” erklärt praxisnahe Schutzmaßnahmen für Mittelstand und Konzerne: Härtung von Hypervisoren, Backup‑Strategien und Reaktionspläne für Vorfälle. IT‑Verantwortliche erhalten eine Checkliste mit sofort umsetzbaren Schritten, um Ausfälle und Erpressungsrisiken zu reduzieren. Ideal für Geschäftsführer und Sicherheitsmanager. Jetzt kostenlosen Cyber-Security-Report herunterladen

Diese Schlüssel führen verschachtelte Verschlüsselungsdurchläufe durch. Das Ergebnis? Eine exponentielle Steigerung der Entschlüsselungsschwierigkeit. Viele bestehende Wiederherstellungstools werden dadurch wirkungslos. „Die Entwicklung signalisiert einen besorgniserregenden Trend“, warnten Analysten bereits Anfang Januar. Die Angreifer investieren offenbar massiv in technische Raffinesse, um sich gegen verbesserte Abwehrmaßnahmen zu wappnen.

Kritische Infrastruktur im Visier: Der Angriff auf VMware

Noch bedrohlicher ist die gezielte Attacke auf virtualisierte Umgebungen. Die Gruppe nutzt ein spezielles Tool namens „MrAgent“, um Angriffe auf VMware ESXi-Hypervisoren zu automatisieren. Diese Infrastruktur bildet das Rückgrat vieler deutscher Unternehmensnetzwerke – von DAX-Konzernen bis zum Mittelstand.

„MrAgent“ legt Firewalls lahm, baut dauerhafte Fernsteuerungsverbindungen auf und koordiniert die Verschlüsselung über zahlreiche virtuelle Maschinen hinweg. Der Angriff auf die Hypervisor-Ebene ist tückisch: Er umgeht Sicherheitssoftware innerhalb der virtuellen Maschinen und kann die gesamte Serverlandschaft eines Unternehmens mit einem Schlag lahmlegen.

Doppelte Erpressung trifft Schlüsselsektoren

Die Strategie der „doppelten Erpressung“ bleibt bestehen. Neben der Sperrung der Systeme stehlen die Cyberkriminellen sensible Daten. Über 120 Opfer listet die Gruppe bereits auf ihrer Leak-Seite. Im Fokus stehen lukrative Branchen: das Gesundheitswesen, der Finanzsektor, Transportunternehmen und Behörden.

Die operativen Ausfälle verursachen massive finanzielle Schäden und Imageschaden. Für betroffene Unternehmen stellt sich die quälende Frage: Zahlen, um wieder handlungsfähig zu werden und Datenskandale zu verhindern? Oder den Forderungen der Erpresser widerstehen?

Was bedeutet das für deutsche Unternehmen?

Die Botschaft der Sicherheitsforscher ist eindeutig: Die Schwelle für eine erfolgreiche Datenwiederherstellung wurde deutlich angehoben. Prävention gewinnt noch mehr an Bedeutung. Unternehmen müssen ihre Verteidigungsstrategien an diese mehrschichtige Bedrohung anpassen.

Konkret empfehlen Experten drei Prioritäten:
1. Härtung virtualisierter Umgebungen: Besonderes Augenmerk auf die Sicherung von VMware ESXi-Servern.
2. Unveränderliche Backups: Sicherstellen, dass Backups von Angriffen nicht gelöscht oder verschlüsselt werden können.
3. Strenge Netzsegmentierung: Die Ausbreitung eines Angriffs im Netzwerk muss durch klare Trennungen begrenzt werden.

Die fortschrittlichen Taktiken von Jolly Scorpius könnten schon bald Schule machen. Sicherheitsexperten rechnen mit Nachahmern, die das duale Verschlüsselungsmodell kopieren. Für IT-Verantwortliche beginnt das Jahr 2026 mit einer klaren Warnung: Die Gegenseite hat ihre Hausaufgaben gemacht. Jetzt ist die Verteidigung am Zug.

PS: Ransomware-Gruppen wie Jolly Scorpius nutzen neue Techniken – sind Ihre Verteidigungspläne ausreichend? Unser kostenloser Leitfaden zeigt, welche Prioritäten jetzt zählen: unveränderliche Backups, Netzsegmentierung und konkrete Sofortmaßnahmen zur Wiederherstellung. Ideal für Sicherheitsmanager, die kurzfristig Risiken minimieren wollen. Holen Sie sich die kompakte Umsetzungs‑Checkliste und schützen Sie Ihre VMware‑Infrastruktur. Gratis Cyber-Security-Leitfaden herunterladen