Magniber Ransomware: Als Windows-Update getarnt, trifft Privatnutzer

Seit 2017 terrorisiert die Magniber-Ransomware Privatnutzer und kleine Unternehmen, hauptsächlich in Südkorea, Taiwan, Singapur und zunehmend auch in Europa. Was Magniber besonders gefährlich macht: Die Ransomware tarnt sich als Windows-Update oder als harmlose JavaScript-Datei und nutzt Social Engineering, um Nutzer zur Ausführung zu verleiten. Im Gegensatz zu den großen Ransomware-Gruppen, die es auf Konzerne abgesehen haben, zielt Magniber gezielt auf Privatpersonen und kleine Büros – Opfer, die sich keine professionelle IT-Sicherheit leisten können.

Der Vorfall

Magniber tauchte erstmals im Oktober 2017 als Nachfolger der Cerber-Ransomware auf. Zunächst verbreitete sich die Malware über das Magnitude-Exploit-Kit, das Schwachstellen in Internet Explorer und Flash Player ausnutzte. Doch die Entwickler von Magniber passten ihre Methoden kontinuierlich an.

Im Jahr 2022 änderte Magniber seine Strategie grundlegend: Die Ransomware wurde nun über gefälschte Windows-Update-Seiten verteilt. Nutzer, die nach Windows-Updates suchten oder auf manipulierte Werbeanzeigen klickten, landeten auf täuschend echt aussehenden Microsoft-Seiten, die zum Download einer MSI- oder JavaScript-Datei aufforderten. Die Dateinamen lauteten etwa „Windows10.0-KB5765432-x64.msi" oder „Security_Update_Win10_KB4562831.js" – sie imitierten perfekt echte Microsoft-Update-Bezeichnungen.

Im Oktober 2022 berichteten Sicherheitsforscher von HP Wolf Security über eine Welle von Magniber-Infektionen, die über JavaScript-Dateien (.js) verteilt wurden. Die Dateien kamen in ZIP-Archiven und nutzten eine Technik namens „Mark of the Web Bypass" (CVE-2022-44698), um die Windows-Sicherheitswarnung zu umgehen, die normalerweise beim Öffnen heruntergeladener Dateien erscheint.

Im Jahr 2023 erweiterte Magniber sein Verbreitungsgebiet auf Europa. In Deutschland meldeten Nutzer Infektionen nach dem Besuch von Warez-Seiten und Crack-Download-Portalen. Die Lösegeldforderungen lagen typischerweise zwischen 1.000 und 5.000 US-Dollar in Bitcoin – Beträge, die für Privatpersonen schmerzhaft, aber gerade noch bezahlbar sind. Für die meisten Opfer gab es keinen Weg, die verschlüsselten Daten wiederherzustellen, da Magniber starke AES- und RSA-Verschlüsselung verwendet.

Wie der Angriff funktionierte

Magniber folgt einem klar strukturierten mehrstufigen Angriffsplan:

Stufe 1 – Die Täuschung: Der Nutzer wird auf eine gefälschte Website gelockt – durch Suchmaschinenmanipulation (SEO Poisoning), manipulierte Werbeanzeigen (Malvertising) oder Links in Foren. Die Website imitiert das Aussehen einer Microsoft-Download-Seite und bietet ein „dringendes Sicherheitsupdate" zum Download an.

Stufe 2 – Der Download und die Ausführung: Der Nutzer lädt eine Datei herunter – typischerweise eine .msi-Datei (Windows Installer), eine .js-Datei (JavaScript) oder eine .wsf-Datei (Windows Script File). Bei neueren Varianten umging Magniber die „Mark of the Web"-Warnung, sodass Windows keine Sicherheitswarnung anzeigte. Der Nutzer führte die Datei aus in dem Glauben, ein Windows-Update zu installieren.

Stufe 3 – Die Verschleierung und Entpackung: Die heruntergeladene Datei war ein kleiner Dropper – oft nur wenige Kilobyte groß. Beim Ausführen entpackte und decodierte der Dropper den eigentlichen Ransomware-Payload im Arbeitsspeicher. Der Code wurde stark verschleiert (obfuskiert), um Virenscanner zu umgehen. In einigen Fällen nutzte der Dropper DLL-Sideloading, um den Schadcode in einen legitimen Windows-Prozess zu injizieren.

Stufe 4 – Die Verschlüsselung: Der Ransomware-Payload begann sofort mit der Verschlüsselung persönlicher Dateien: Dokumente, Bilder, Videos, Musik, Datenbanken. Jede Datei wurde mit AES-128 verschlüsselt und erhielt eine zufällige Dateiendung. Der AES-Schlüssel wurde mit RSA-2048 verschlüsselt und an den Command-and-Control-Server gesendet. Auf dem Desktop erschien eine Lösegeldforderung mit einem Link zu einer Tor-Zahlungsseite.

Warum Virenscanner versagten

Magniber hat sich über Jahre hinweg als besonders schwer erkennbar erwiesen:

• Ständige Mutation. Die Magniber-Entwickler veröffentlichten in Spitzenzeiten täglich neue Varianten. Jede Variante hatte einen einzigartigen Hash, eine andere Verschleierung und teilweise andere Verschlüsselungsroutinen. Signatur-basierte Erkennung hinkt immer hinterher.
• Winziger Dropper, verschlüsselter Payload. Der initiale Dropper war nur wenige Kilobyte groß und enthielt keinen erkennbaren Schadcode – der eigentliche Payload wurde erst im Arbeitsspeicher entschlüsselt. Scanner, die Dateien auf der Systempartition analysieren, sahen nur unleserlichen Code.
• Ausnutzung von Windows-eigenen Funktionen. Magniber nutzte .msi-Dateien (Windows Installer), .js-Dateien (Windows Script Host) und DLL-Sideloading – alles legitime Windows-Mechanismen. Das Blockieren dieser Funktionen würde den normalen Betrieb beeinträchtigen.
• Mark of the Web Bypass. Die Umgehung der Windows-Sicherheitswarnung (CVE-2022-44698) bedeutete, dass auch die letzte Verteidigungslinie des Betriebssystems versagte. Normalerweise warnt Windows beim Öffnen heruntergeladener Dateien – Magniber umging diese Warnung.
• Zielgruppe ohne Schutz. Privatnutzer und kleine Büros haben selten fortgeschrittene EDR-Lösungen. Viele verwenden nur den integrierten Windows Defender, der gegen neue Magniber-Varianten oft zu spät reagierte.

So hätte Deep Freeze geschützt

Deep Freeze bietet gegen Magniber einen nahezu perfekten Schutz:

1. Der Dropper wäre nach dem Neustart verschwunden. Selbst wenn Du die gefälschte Update-Datei heruntergeladen und ausgeführt hättest – nach dem nächsten Neustart wäre die Datei von der eingefrorenen Systempartition gelöscht. Der Dropper kann seine Arbeit nicht fortsetzen.

1. Die Verschlüsselung der Systempartition wäre rückgängig gemacht worden. Alle Dateien, die Magniber auf der eingefrorenen Partition verschlüsselt hat, wären beim Neustart in ihrem Originalzustand wiederhergestellt worden. Die Verschlüsselung wäre wirkungslos.

1. Registry-Änderungen und Persistenzmechanismen wären eliminiert worden. Magniber richtet Autostart-Einträge ein, um nach einem Neustart weiterzuarbeiten. Deep Freeze setzt die Registry auf den eingefrorenen Zustand zurück – der Autostart-Eintrag verschwindet.

1. Deine persönlichen Daten auf einer separaten Partition wären geschützt geblieben. Wichtig: Mit einer Deep-Freeze-Konfiguration, bei der persönliche Daten auf einer separaten, nicht eingefrorenen Partition mit regelmäßigen Backups liegen, wärst Du doppelt geschützt. Die Systempartition wird durch Deep Freeze geschützt, die Datenpartition durch Backups.

1. Kein Lösegeld nötig. Statt 1.000 bis 5.000 Dollar in Bitcoin zu zahlen, hättest Du einfach Deinen Rechner neu gestartet. Das System wäre sauber, die Ransomware weg, Dein Geld noch da.

Die Lehre

• Gefälschte Windows-Updates sind eine der effektivsten Angriffsmethoden. Nutzer vertrauen Updates – und genau das nutzt Magniber aus. Lade Updates nur über Windows Update selbst herunter, niemals von Websites.
• Privatnutzer sind ein lukratives Ziel. Während die großen Ransomware-Gruppen Konzerne angreifen, spezialisiert sich Magniber auf Einzelpersonen und kleine Büros. Die Lösegeldforderungen sind niedriger, aber die Masse macht es profitabel.
• Virenscanner können mit der Mutations-Geschwindigkeit nicht mithalten. Tägliche neue Varianten überfordern signatur-basierte Erkennung. Bis die Signatur erstellt ist, gibt es bereits die nächste Version.
• Deep Freeze macht Ransomware wirkungslos. Verschlüsselte Dateien werden beim Neustart wiederhergestellt. Dropper werden gelöscht. Persistenzmechanismen werden eliminiert. Die eingefrorene Systempartition ist der ultimative Schutz gegen Verschlüsselungstrojaner.
• Kombiniere Deep Freeze mit gesundem Menschenverstand: Keine Software von unbekannten Quellen installieren, Updates nur über offizielle Kanäle beziehen – und im Zweifelsfall einfach neu starten.