Ende 2025 registrierten Analysten des Unternehmens F6 ein neues Schadprogramm, das zunächst wie ein typischer Ransomware-Angriff wirkte. Bei genauer technischer Analyse stellte sich jedoch heraus: es findet keinerlei Dateiverschlüsselung statt. Stattdessen kommt ein sogenannter Winlocker zum Einsatz – eine Malware-Klasse, die den Zugriff auf Windows blockiert und nur den Eindruck einer Ransomware-Infektion erweckt.
Von Ransomware zu Winlockern: Rückkehr einer alten Erpressungstaktik
Winlocker waren bis etwa 2015 weit verbreitet, wurden dann jedoch von echten Verschlüsselungs-Trojanern verdrängt. Diese können Daten tatsächlich unbrauchbar machen und erzielen dadurch nachweislich höhere Erpressungserlöse. Laut Berichten führender Sicherheitsbehörden und Studien wie dem ENISA Threat Landscape gelten Ransomware-Angriffe seit Jahren als eine der profitabelsten Formen der Cyberkriminalität.
Trotzdem bleiben Winlocker für bestimmte Täterprofile attraktiv. Sie sind leichter zu programmieren, benötigen weniger komplexe Infrastruktur und zielen vor allem auf Privatnutzer und kleine Unternehmen mit schwacher IT-Sicherheitsorganisation. Der nun entdeckte Schädling, der sich als „Ransomware Legion“ ausgibt, zeigt, dass auch vermeintlich veraltete Erpressungsmethoden weiterhin aktiv weiterentwickelt und in Kampagnen eingesetzt werden.
Legion-Winlocker und seine Verbindung zur Gruppe NyashTeam
In der Erpressernachricht des Samples wird behauptet, „Dateien und Laufwerke seien vom Legion-Team verschlüsselt“. Tatsächlich beschränkt sich der Schädling jedoch darauf, die Benutzeroberfläche von Windows zu blockieren und systemrelevante Tastenkombinationen zu deaktivieren. Damit soll psychologischer Druck aufgebaut werden, ohne die technischen Hürden echter Kryptografie zu bewältigen.
Die Analyse der Binärartefakte und der Erpressernotiz zeigt deutliche Überschneidungen mit der Aktivität der Gruppe NyashTeam. Diese ist mindestens seit 2022 im Bereich Malware-as-a-Service (MaaS) aktiv und bietet Angreifern fertige Baukästen für Kampagnen. Ein im Binary hinterlegter PDB-Pfad (C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb) weist auf ein russischsprachiges Umfeld hin. Laut F6 wurden über Kunden von NyashTeam bereits Opfer in mehr als 50 Ländern registriert, mit einem Schwerpunkt in Russland. Im Sommer 2025 konnten über 110 .ru-Domains der Infrastruktur abgeschaltet werden – offenkundig ohne die Gruppe nachhaltig zu stoppen.
Technische Analyse: Anti-VM, Systemblockade und Entsperrcode
Anti-VM und Erschwerung der Malware-Analyse
Der Legion-Winlocker verfügt über ein Anti-VM-Modul, das prüft, ob er in einer virtuellen Maschine oder Sandbox läuft – typische Umgebungen für Malware-Analyse. Enthalten Computername oder Herstellerangaben Zeichenketten wie „VPS“, „vmware“ oder „VirtualBox“, beendet der Schädling seine Ausführung mit einem Fehler. Solche Techniken sollen verhindern, dass Sicherheitsforscher und automatisierte Analysesysteme die Funktionsweise schnell nachvollziehen und Erkennungsregeln (Signaturen, YARA-Regeln) erstellen.
Mechanismus zur Blockierung von Windows
Nach der Ausführung legt die Malware Erpressernachrichten auf allen erreichbaren Laufwerken ab, beginnend ab D:. Anschließend blendet sie ein gefälschtes Fenster ein, das eine angebliche „kritische Fehlfunktion beim Laden des Betriebssystems“ simuliert. Reboot und Verschlüsselung finden real nicht statt; es handelt sich ausschließlich um eine visuelle Täuschung, um Panik zu erzeugen.
Parallel fängt Legion zentrale Tastenkombinationen wie Ctrl+Alt+Del, Alt+F4 und Win+L ab. Versuche, den Task-Manager zu öffnen, die Sitzung zu sperren oder das System regulär zu bedienen, sind dadurch wirkungslos. Praktisch bleibt dem Opfer nur die Eingabe eines Entsperrcodes – ein bewusst hergestellter Zwang, der die Zahlungsbereitschaft erhöhen soll.
Vorhersehbare Entsperrcodes als Beleg für Erpressungsfokus
Der Winlocker generiert eine Opfer-ID auf Basis des Startzeitpunkts. Der Entsperrcode folgt einer festen, vorhersagbaren Formel: nyashteam***0c0v11 + Startzeit. Nach Eingabe des korrekten Codes entfernt sich die Malware aus der Autostart-Konfiguration und beendet die Ausführung. Diese Architektur bestätigt, dass es den Tätern primär um Gelderpressung und nicht um dauerhafte Datendestruktion geht – ein Muster, das bei vielen kommerziell vertriebenen MaaS-Produkten zu beobachten ist.
Infrastruktur, Verbreitungswege und Verbindung zu WebRAT/SalatStealer
F6 fand Spuren ähnlicher Winlocker bereits in Kampagnen ab Juli 2022. Damals trat die Malware unter dem Label „CryptoBytes hacker group“ auf und wurde über winlocker-site[.]github[.]io vertrieben, das wiederum auf winlocker[.]ru weiterleitete. Einige der in Notizen aus 2022–2023 erwähnten Accounts sind inzwischen inaktiv, der Verkäufer-Account @Haskers*** ist jedoch weiterhin erreichbar. In neueren Erpressernachrichten ab 2025 taucht zusätzlich @nyashteam*** als Kontakt auf, was die Zuordnung zur NyashTeam-Infrastruktur stützt.
Nach der teilweisen Demontage der Infrastruktur Mitte 2025 verlagerten sich die Aktivitäten verstärkt auf andere Produkte. So wurden Admin-Panels von WebRAT – einer erweiterten Variante des bekannten SalatStealer mit Stealer- und Remote-Access-Funktionen – unter anderem auf salator[.]es, webrat[.]uk, wrat[.]in, salat[.]cn und salator[.]ru beobachtet. Gemeinsam ist diesen Domains die Verwendung der Begriffe „webrat“ und „salat“, die als Indikatoren für eine mögliche Kompromittierung (IoC) in Sicherheitslösungen hinterlegt werden sollten.
Die Verbreitung der Malware erfolgt laut Dateinamen und Kontext vor allem über Filehoster, wobei infizierte Executables als Cracks und Cheats für populäre Spiele wie CS2 und Roblox getarnt werden. Solche Social-Engineering-Strategien richten sich gezielt an Jugendliche und Gaming-Communities, in denen Sicherheitsbewusstsein und Prüfroutinen für Downloadquellen häufig geringer ausgeprägt sind als in Unternehmen.
Die Auswertung der aktuellen Kampagnen legt nahe, dass NyashTeam seine Aktivitäten nach der Domain-Abschaltung nicht eingestellt, sondern das Portfolio aus Winlockern, Informationsstealern und Remote-Access-Tools im Rahmen eines MaaS-Modells weiter ausbaut. Selbst ein vergleichsweise einfacher Winlocker wie Legion nutzt Anti-Analyse-Mechanismen und durchdachte Täuschungstechniken. Organisationen und Privatanwender sollten daher konsequent grundlegende Cyberhygiene umsetzen: Software nur aus offiziellen Quellen laden, den Zugriff auf verdächtige Filehoster einschränken, moderne EDR-/Antivirenlösungen einsetzen und aktiv nach IoCs rund um Domains mit „webrat“ oder „salat“ suchen. Regelmäßige Sensibilisierung – insbesondere von Vielspielern und Nutzern inoffizieller Game-Modifikationen – bleibt einer der wirksamsten Ansätze, um Infektionen mit Winlockern und Stealern frühzeitig zu verhindern.
