Die Cyberkriminelle Gruppe Scattered Lapsus ShinyHunters (SLSH) nutzt psychologische Terrormaßnahmen wie Swatting und Belästigung von Führungskräften, um Lösegeldzahlungen zu erzwingen. Sicherheitsexperten warnen jedoch eindeutig: Verhandlungen mit der Gruppe führen nur zu mehr Missbrauch.
Die kriminelle Organisation Scattered Lapsus ShinyHunters hat sich einen besonders brutalen Geschäftsplan zurechtgelegt: Sie bedroht nicht nur Unternehmensführer, sondern auch deren Familien, alarmiert parallel Journalisten und Behörden über das Ausmaß der Datenpannen. Manche angegriffenen Unternehmen zahlen tatsächlich, möglicherweise um die Verbreitung ihrer Daten zu verhindern oder die eskalierenden persönlichen Attacken zu stoppen. Doch Sicherheitsexperten sind sich einig: Ein klares “Wir zahlen nicht” ist die einzige richtige Antwort.
Allison Nixon, Forschungsleiterin beim New Yorker Sicherheitsunternehmen Unit 221B, beobachtet die Gruppe intensiv. Im Gegensatz zu straff organisierten, russlandgestützten Ransomware-Gruppen handelt es sich bei SLSH um eine chaotische, englischsprachige Erpresserbande ohne erkennbares Interesse daran, sich einen verlässlichen Ruf aufzubauen. Die Kriminellen zeigen keinerlei Garantien, dass sie versprochene Datenlöschungen tatsächlich durchführen.
SLSH infiltriert Unternehmen durch Phishing-Anrufe bei Mitarbeitern. Im Januar 2026 gab Google-Tochter Mandiant bekannt, dass die Gruppe sich als IT-Personal ausgab und Mitarbeiter zu gefälschten Seiten für die Erfassung von Single-Sign-On-Daten lockte. Nach erfolgreicher Datendiebstahl werden die betroffenen Unternehmen über Telegram-Kanäle der Gruppe öffentlich gemacht.
Die psychologische Komponente steht im Zentrum ihrer Strategie: Neben Erpressungsdrohungen führt SLSH sogenannte Swatting-Attacken durch, bei denen Falschmeldungen zu Bombendrohungen oder Geiselnahmen an Wohnadressen oder Arbeitsplätzen der Executives führen. Gleichzeitig kontaktiert die Gruppe Medienvertreter, um die Opfer zusätzlich unter Druck zu setzen.
Nixon betont, dass SLSH-Mitglieder aus “The Com”-Netzwerk stammen, einem Zusammenschluss von Discord- und Telegram-Communities für Cyberkriminelle. Diese Struktur führt zu ständigen Konflikten, Vertrauensbrüchen und Sabotagen zwischen Mitgliedern. “Mit dieser disfunktionalen Dynamik können diese Akteure ihre strategischen Ziele nicht konsequent verfolgen”, erklärt Nixon. “Im Gegensatz zu professionellen Ransomware-Organisationen fehlt ihnen die Fähigkeit zu verlässlichen, skalierbaren Operationen.”
Ein weiterer kritischer Punkt: SLSH nutzt Medienaufmerksamkeit gezielt als Erpressungsmittel. An Tagen ohne substanzielle “Erfolge” ankündigen, ankündigen sie Todesbdrohungen und Belästigungen, um Aufmerksamkeit zu generieren. Diese Taktik ähnelt Sextortionsmethoden, bei denen Opfer in permanenter Angst gehalten werden.
Unit 221B’s klare Empfehlung: Nicht mit SLSH verhandeln. Die Belästigung kann enden, aber gestohlene Daten kehren nicht zurück. Zahlungen incentivieren nur weitere Schikanen und gefährden die physische Sicherheit von Mitarbeitern und deren Familien. Wer diese Entscheidung rational trifft, erkennt schnell: Die beste Strategie ist konsequente Ablehnung.
Quelle: Krebs on Security