Benzona Ransomware Analyse: IOCs, Entschlüsselungsmöglichkeiten und Verteidigungsstrategien

Cyberlord Security Team

Benzona Ransomware Analyse: IOCs, Entschlüsselungsmöglichkeiten und Verteidigungsstrategien

Im November 2025 tauchte eine ausgefeilte neue Ransomware-Variante namens Benzona auf und machte sich schnell einen Namen, indem sie Organisationen in ganz Europa, Asien und Westafrika ins Visier nahm. Benzona operiert nach einem Ransomware-as-a-Service (RaaS)-Modell und setzt aggressive doppelte Erpressungstaktiken ein, indem es droht, sensible Daten zu veröffentlichen, wenn seine Forderungen nicht erfüllt werden.

Diese technische Analyse schlüsselt die Benzona-Angriffskette, Indikatoren für eine Kompromittierung (IOCs) und umsetzbare Verteidigungsstrategien für Sicherheitsexperten auf.

Benzona Ransomware Analyse

Die Benzona-Angriffskette

Benzona folgt einem strukturierten Angriffslebenszyklus, der darauf ausgelegt ist, die Auswirkungen zu maximieren und die Wiederherstellung zu behindern.

1. Erstzugriff & Ausführung

Angreifer verschaffen sich typischerweise Zugang durch Phishing-Kampagnen, kompromittierte Anmeldeinformationen oder das Ausnutzen ungepatchter Schwachstellen in öffentlich zugänglichen Anwendungen. Einmal im Inneren nutzt die Ransomware:

  • Prozess-Injektion (T1055): Injizieren von bösartigem Code in legitime Prozesse, um der Erkennung zu entgehen.
  • Skript-Interpreter (T1059): Nutzung von PowerShell, um Befehle auszuführen und Sicherheitskontrollen zu deaktivieren.

2. Umgehung & Persistenz

Um den Zugriff aufrechtzuerhalten und der Antiviren-Erkennung zu entgehen, führt Benzona Folgendes durch:

  • Deaktiviert die Wiederherstellung: Es führt Befehle aus, um Volumenschattenkopien (vssadmin.exe Delete Shadows /All /Quiet) zu löschen und Windows-Wiederherstellungspunkte zu entfernen.
  • Beendet Prozesse: Es beendet Sicherheitssoftware und Virtualisierungsprozesse, um Analysen zu verhindern und sicherzustellen, dass Dateien während der Verschlüsselung nicht gesperrt sind.
  • Modifiziert Registry: Es ändert Registry-Schlüssel, um die Persistenz über Neustarts hinweg sicherzustellen.

3. Verschlüsselung & Exfiltration (Doppelte Erpressung)

Benzona verwendet starke kryptografische Algorithmen, um Opferdateien zu sperren.

  • Dateierweiterung: Verschlüsselte Dateien werden mit der .benzona-Erweiterung versehen (z. B. finanzbericht.pdf.benzona).
  • Datendiebstahl: Vor der Verschlüsselung exfiltriert die Malware sensible Daten an einen Command-and-Control (C2)-Server. Diese gestohlenen Daten sind das Druckmittel für die zweite Stufe der Erpressung.

4. Die Lösegeldforderung

Nach Abschluss der Verschlüsselung wird eine Lösegeldforderung mit dem Titel RECOVERY_INFO.txt in den betroffenen Verzeichnissen abgelegt. Die Notiz enthält typischerweise:

  • Eine Warnung, dass Dateien verschlüsselt sind und Daten gestohlen wurden.
  • Eine Drohung, die Daten zu veröffentlichen, wenn das Lösegeld nicht innerhalb von 72 Stunden gezahlt wird.
  • Anweisungen zum Herunterladen des Tor-Browsers und zum Besuch eines spezifischen .onion-Chatportals zur Verhandlung.

Indikatoren für eine Kompromittierung (IOCs)

Sicherheitsteams sollten nach folgenden Indikatoren scannen, um Benzona-Aktivitäten zu erkennen.

Datei-Indikatoren

  • Erweiterung: .benzona
  • Lösegeldforderung: RECOVERY_INFO.txt

Netzwerk-Indikatoren

  • Tor Chat Portal: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Leak Site: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

Datei-Hashes (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Verteidigungs- & Minderungsstrategien

Es ist derzeit kein kostenloser Entschlüsseler für Benzona Ransomware verfügbar. Prävention und schnelle Reaktion sind Ihre einzigen Verteidigungen.

  1. Unveränderliche Backups: Stellen Sie sicher, dass Sie Offline-, unveränderliche Backups haben. Benzona zielt auf Online-Backups und Schattenkopien ab und löscht diese.
  2. Patch-Management: Priorisieren Sie das Patchen von internetseitigen Systemen, um den Erstzugriff zu verhindern.
  3. Netzwerksegmentierung: Begrenzen Sie laterale Bewegungen durch Segmentierung kritischer Netzwerke.
  4. Endpoint Detection and Response (EDR): Setzen Sie EDR-Lösungen ein, die so konfiguriert sind, dass sie Prozessinjektionen und Massendateimodifikationen blockieren.
  5. Benutzerschulung: Führen Sie Phishing-Simulationen durch, um Mitarbeiter über das Erkennen bösartiger E-Mails aufzuklären.

Fazit

Benzona repräsentiert die fortgesetzte Evolution von RaaS-Bedrohungen Ende 2025. Seine Verwendung von doppelter Erpressung und Anti-Wiederherstellungstechniken macht es zu einem gewaltigen Gegner. Organisationen müssen von einer reaktiven Haltung zu einer proaktiven "Assume Breach"-Mentalität übergehen und sich auf Resilienz und schnelle Wiederherstellung konzentrieren.

Wenn Sie von Benzona getroffen wurden, zahlen Sie das Lösegeld nicht sofort. Kontaktieren Sie ein professionelles Incident-Response-Team, um Ihre Optionen zu bewerten.

Überblick

Wichtige Entscheidungen, Risiken und Umsetzungsmaßnahmen zu diesem Thema.

Verwandte Ressourcen