Forscher warnen vor einer hochgefährlichen neuen Ransomware, die Windows-Systeme mit militärischer Verschlüsselung und Erpressungsmethoden angreift. Die als „COOSEAGROUP“ identifizierte Schadsoftware kombiniert Datenverschlüsselung mit der Androhung von Datendiebstahl – eine gefährliche Doppelstrategie, die selbst Unternehmen mit Backups erpressbar macht. Die Entdeckung markiert eine deutliche Eskalation der Cyberbedrohungen zum Jahreswechsel 2025/2026.
So attackiert die Schadsoftware
Die Analyse des CYFIRMA Research and Advisory Teams vom 26. Dezember 2025 zeigt ein präzises Vorgehen. Nach dem Eindringen in ein Windows-System startet die Malware einen Hochgeschwindigkeits-Verschlüsselungsprozess. Sie sperrt Nutzerdaten und hängt an alle betroffenen Dateien die Erweiterung .Cooseagroup an. Anschließend legt sie in den betroffenen Verzeichnissen eine Lösegeldforderung namens README.TXT ab.
Auffällig: Diese Erpressernachricht ist primär auf Chinesisch verfasst. Das deutet auf einen geografischen Ursprung oder ein spezifisches Ziel der Angreifer hin. Die Nachricht warnt Opfer, dass manuelle Wiederherstellungsversuche zu permanentem Datenverlust führen. „Die Entfernung der Malware stoppt weitere Verschlüsselung, stellt aber die Dateien nicht wieder her“, so die CYFIRMA-Forscher. Ein kostenfreier Entschlüsselungscode existiert derzeit nicht.
Passend zum Thema Cyberangriffe – viele Unternehmen sind laut Experten schlecht vorbereitet, wenn Erpresser nicht nur verschlüsseln, sondern auch Daten abziehen. Ein kostenloses E‑Book erklärt praxisnah, welche sofort wirksamen Maßnahmen Sie umsetzen sollten (Offline-Backups, Netzwerksegmentierung, EDR-Erkennung und Notfall-Playbooks), damit ein Vorfall nicht zur existenziellen Krise wird. Konzipiert für Geschäftsführer und IT‑Verantwortliche mit klaren Checklisten. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Doppelte Erpressung unter Zeitdruck
COOSEAGROUP setzt auf ein durchdachtes Erpressungsmodell. Die Angreifer sperren nicht nur Daten – sie stehlen sie auch. Die Lösegeldforderung droht mit der Veröffentlichung sensibler Unternehmensdaten:
* Interne Kommunikation und E-Mails
* Proprietäre Datenbanken und SQL-Dateien
* Finanzunterlagen und Mitarbeiterdaten
* Digitale Zertifikate und ERP-Systemdaten
Um schnelle Zahlungen zu erzwingen, setzen die Täter auf psychologischen Druck. Bei Kontaktaufnahme innerhalb von 12 Stunden nach der Infektion soll es einen „ermäßigten“ Lösegeldbetrag geben. Die Kommunikation soll ausschließlich über den verschlüsselten Messenger Session erfolgen – eine Plattform, die den Angreifern Anonymität garantiert.
Diese „Double Extortion“-Taktik macht selbst Unternehmen mit robusten Backups verwundbar. Denn die drohende Veröffentlichung gestohlener Daten kann erheblichen Reputationsschaden und regulatorische Strafen nach sich ziehen.
Technische Merkmale und Zielgruppen
Die Malware ist speziell für Windows-Betriebssysteme entwickelt, die globale Standardplattform für Unternehmensinfrastrukturen. Obwohl die ersten Lösegeldforderungen auf Chinesisch verfasst waren, kann die Schadsoftware Organisationen weltweit treffen.
Erste Erkennungsmeldungen aus Mitte Dezember legen nahe, dass COOSEAGROUP bereits seit Wochen im Umlauf ist. Die Malware versucht, Sicherheitssoftware vor der Ausführung ihrer Nutzlast zu deaktivieren – ein typisches Verhalten für fortgeschrittene, andauernde Bedrohungen (APTs). Der CYFIRMA-Bericht identifiziert die Asien-Pazifik-Region als primäres Zielgebiet der ersten Angriffswelle.
Was Unternehmen jetzt tun müssen
Das Auftauchen von COOSEAGROUP unterstreicht die rasante Entwicklung der Cyberkriminalität. Herkömmliche Antivirenlösungen allein bieten keinen ausreichenden Schutz mehr. Experten raten zu sofortigen Gegenmaßnahmen:
- Offline-Backups: Kritische Daten in unveränderlichen, offline gespeicherten Backups sichern.
- Netzwerksegmentierung: Die seitliche Ausbreitung der Ransomware im Netzwerk durch Segmentierung eindämmen.
- Verhaltensüberwachung: Endpoint Detection and Response (EDR)-Tools einsetzen, die das schnelle Umbenennen von Dateien mit der
.Cooseagroup-Erweiterung erkennen. - Patch-Management: Alle Windows-Systeme aktuell halten, um potenzielle Einfallstore zu schließen.
Kein Ende in Sicht
Stand 26. Dezember 2025 existiert kein Werkzeug zur Entschlüsselung der COOSEAGROUP-Ransomware. Sicherheitsanbieter und Strafverfolgungsbehörden werden in den kommenden Wochen die Verschlüsselungsschlüssel analysieren, um mögliche Schwachstellen zu finden.
Bis dahin bleibt die Bedrohungslage kritisch. Die Verwendung chinesischsprachiger Notizen und des Session-Messengers deutet auf eine disziplinierte, möglicherweise regional fokussierte Angreifergruppe hin, die ihr Zielspektrum Anfang 2026 auf westliche Unternehmen ausweiten könnte. Diese Entwicklung folgt auf ein Jahr intensivierter Ransomware-Aktivitäten, bei denen Angreifer zunehmend von ungezielten Attacken zu gezielten, hochwertigen Angriffen übergehen, um Betriebsabläufe zu lähmen und maximale Lösegeldzahlungen zu erpressen.
PS: Sie möchten Ihr Unternehmen gezielt gegen Erpresserware wie COOSEAGROUP stärken? Der kostenlose Leitfaden liefert praxisnahe Checklisten, verständliche Sofortmaßnahmen und Fallbeispiele, wie auch kleine IT‑Teams mit begrenztem Budget wirkungsvoll vorbeugen können. Experten erklären Prioritäten (offline-Backups, Segmentierung, EDR‑Konfiguration) und wie Sie interne Abläufe für schnelle Reaktion trainieren. E-Book zur Cyber-Security gratis anfordern
