Sicherheitsforscher schlagen Alarm: Die Ransomware-Gruppe „Payouts King“ verzeichnet einen massiven Aktivitätsschub. Seit April 2025 aktiv, nutzt die Bande ausgeklügelte Methoden, um moderne Abwehrsysteme zu umgehen. Der Aufschwung begann im Februar 2025 – zeitgleich mit dem Zerfall des berüchtigten BlackBasta-Kollektivs.
So trickst die neue Erpresser-Software die Sicherheit aus
Anzeige: Die 76-Prozent-Welle trifft auch Ihr Institut? Dieser Report zeigt die fünf kritischen Sofortmaßnahmen gegen KI-gestützte Ransomware – inklusive Schwachstellen-Checkliste für Finanzinstitute. Jetzt kostenlosen Report anfordern
Die Analyse von Zscaler-Experten zeigt: Payouts King arbeitet mit direkten Systemaufrufen und entschlüsselt Zeichenketten im laufenden Betrieb. So entgeht die Malware selbst hochentwickelten Endpoint Detection and Response (EDR) -Systemen. Die Verbreitung erfolgt per Spam-Flut oder über die Fernwartungsfunktion von Microsoft Teams.
Ist die Schadsoftware erst einmal im Netzwerk, löscht sie systematisch Schattenkopien und Ereignisprotokolle. Auch der Papierkorb wird geleert – das erschwert jede Wiederherstellung massiv.
Die Verschlüsselung selbst setzt auf eine Kombination aus 4096-Bit-RSA und 256-Bit-AES im CTR-Modus. Kleine Dateien unter zehn Megabyte werden komplett verschlüsselt. Bei größeren Dateien bearbeitet die Software 13 Blöcke – etwa die Hälfte des Inhalts wird kodiert. Die erpressten Daten erhalten die Endung .ZWIAAW. Eine Lösegeldforderung namens „readme_locker.txt“ erscheint nur auf speziellen Befehl.
Künstliche Intelligenz als Waffe der Hacker
Der Aufstieg von Payouts King ist kein Einzelfall. Sicherheitsforscher von Sophos beobachten, wie Kriminelle KI-Assistenten wie Cursor oder Claude Opus nutzen, um Angriffswerkzeuge zu bauen. Diese Systeme automatisieren die Aufklärung und generieren ständig neue Malware-Varianten. Vor dem Einsatz testen die Hacker ihre Schadsoftware gegen bekannte Abwehrsysteme wie CrowdStrike Falcon oder Microsoft Defender.
Eine Studie von Anthropic zeigt das ganze Ausmaß: Von 832 untersuchten Accounts zwischen Frühjahr 2025 und Frühjahr 2026 nutzten mehr als zwei Drittel KI zur Malware-Entwicklung. Der Anteil mittlerer bis hoher Risikoakteure stieg von 33 auf 56 Prozent. Besonders beunruhigend: Während KI-gestütztes Phishing um 8,6 Prozent zurückging, nahm der Einsatz für Kontenaufklärung und komplexe Angriffsketten zu.
Finanzbranche im Visier – Uni-Forschung bestätigt Gefahr
Die Universität Toronto liefert einen erschreckenden Praxistest: Forscher entwickelten einen sich selbst verbreitenden KI-Wurm und testeten ihn in einem simulierten Firmennetzwerk mit 33 Rechnern. Der Wurm identifizierte und nutzte 73,8 Prozent aller Netzwerkschwachstellen aus – darunter auch aktuelle Sicherheitslücken. Die Malware konnte ihren eigenen Code autonom verändern, um Sperrlisten zu umgehen.
Besonders hart trifft es die Finanzbranche. Ein Bericht von Black Kite dokumentiert einen Anstieg von Ransomware-Angriffen auf Finanzinstitute um 76 Prozent im Jahresvergleich – und das bereits im ersten Quartal 2026. Investmentfirmen waren mit über 40 Prozent der Vorfälle besonders betroffen. Die Zahl kritischer Schwachstellen bei Branchenzulieferern vervierfachte sich zwischen 2024 und 2025 nahezu.
Anzeige: Payouts King nutzt KI, um selbst moderne EDR-Systeme zu umgehen. Erfahren Sie in unserem exklusiven Webinar, wie Sie Ihre Abwehrstrategie anpassen – mit Praxisbeispielen aus der Finanzbranche. Webinar-Platz jetzt sichern
Neue Abwehrstrategien gegen die KI-Flut
Die Sicherheitsbranche reagiert. Arms Cyber bringt eine KI-Richtlinienfunktion auf den Markt, die Echtzeit-Einblicke in KI-Agenten auf Endgeräten ermöglicht. Die Technologie hilft Unternehmen, Auflagen des EU AI Acts und SEC-Richtlinien einzuhalten – ohne neue Softwareinstallationen.
Auch die Infrastruktur-Anbieter ziehen nach. Nachdem Anthropics Projekt Glasswing tausende schwerwiegende Schwachstellen in Betriebssystemen und Browsern aufdeckte, stellte Cisco auf einen zweiwöchigen Sicherheitsrhythmus um. Der Grund: KI beschleunigt die Ausnutzung von Lücken dramatisch – die Zeitfenster für Gegenmaßnahmen schrumpfen rapide.
