RansomwareHackerangriffeCyberkriminalität

Ransomware-Banden im Krieg: Wenn Cyberkriminelle sich gegenseitig hacken

Von CyberDeutsch Redaktion
Ransomware-Banden im Krieg: Wenn Cyberkriminelle sich gegenseitig hacken
Zusammenfassung

Ein seltener Einblick in die Unterwelt der Ransomware-Kriminalität offenbart sich durch einen eskalierenden Konflikt zwischen zwei aufstrebenden Ransomware-Gruppen: 0APT und KryBit. Die beiden Akteure, die als Ransomware-as-a-Service-Betreiber tätig sind, lieferten sich einen digitalen Krieg, bei dem sie gegenseitig ihre operativen Daten und Infrastrukturen kompromittierten und öffentlich machten. Dies ist besonders bemerkenswert, da 0APT zunächst mit einer fabrizierten Liste von fast 200 Opfern an den Markt kam, später jedoch versuchte, durch das Leaken von Daten etablierterer Konkurrenten wie Everest Glaubwürdigkeit zu erlangen. KryBit reagierte darauf mit der vollständigen Exposition von 0APTs operativen Daten und zeigte damit die fragwürdige Natur ihrer ursprünglichen Opferliste. Für deutsche Unternehmen und Behörden ist dieser Fall relevant, da er demonstriert, wie Cyberkriminelle untereinander konkurrieren und dabei möglicherweise ihre Taktiken und Infrastrukturen offenbaren. Die von Sicherheitsexperten gewonnenen Erkenntnisse ermöglichen es Verteidigern, zukünftige Angriffe besser antizipieren und abwehren zu können. Gleichzeitig unterstreicht der Vorfall die Bedeutung robuster Cybersicherheitsmaßnahmen und die Notwendigkeit, potenzielle Bedrohungen durch etablierte Ransomware-Gruppen ernst zu nehmen.

Die Auseinandersetzung zwischen 0APT und KryBit begann mit Glaubwürdigkeitsproblemen: 0APT, das im Januar 2025 mit einer Liste von knapp 200 Opfern auftauchte, konnte diese Behauptungen nicht substanziieren. Die Opferliste erwies sich als Fälschung – ein typisches Zeichen eines Anfängers in der RaaS-Branche (Ransomware-as-a-Service), der verzweifelt versucht, Aufmerksamkeit zu erregen. Monatelang herrschte Ruhe um 0APT.

Mitte April folgte das Comeback: 0APT löschte die alte Opferliste und verkündete stattdessen Angriffe auf etablierte Ransomware-Betreiber, einschließlich KryBit, Everest und RansomHouse. Doch während die Namen bekannter Gruppen waren, beschränkte sich der konkrete Datenleck auf Everest: 0APT veröffentlichte eine SQL-Datenbank mit codierten und gehashten Einträgen aus den ersten neun Monaten 2025. Ein Schachzug, um sich selbst Glaubwürdigkeit zu verschaffen, ohne tatsächliche Opfer zu haben.

KryBit, das erst Ende März mit funktionierenden Verschlüsselern für Windows, Linux, ESXi und NAS-Geräte startete, hatte damit nicht gerechnet. Das Unternehmen nutzte ein 80/20-Modell, bei dem Affiliates 80 Prozent der Lösegeldgewinne behielten. Nach dem Leak seiner Infrastruktur reagierte KryBit brutal: Die Gruppe infiltrierte 0APTs Systeme, exfiltrierte alle Daten und hinterließ eine Nachricht auf 0APTs Leak-Seite: “Next time, don’t play with the big boys.”

Die vollständige Offenlegung war vernichtend: Access-Logs, PHP-Quellcode und Systemdateien zeigten, dass 0APTs ursprüngliche Liste von über 190 Opfern vollständig fabriziert war – kein einziges Datenleck hatte stattgefunden. KryBit übernahm sogar die Kontrolle über 0APTs Leak-Seite.

Für Sicherheitsfachleute ist dieses Chaos ein seltenes Geschenk. Erika Totaro vom Halcyon Ransomware Research Center erklärte Dark Reading, dass solche Konfrontationen Verteidigern Einblicke in Taktiken, Techniken und Verfahren (TTPs) bieten, die bei zukünftigen Angriffsversuchen wieder auftauchen können. Wenn sich Gruppen reorganisieren oder Affiliates migrieren, bringen sie ihre Operationsmuster mit – und genau diese Muster können Defender detektieren und blockieren.

Das Halcyon-Team empfiehlt deutschen Organisationen, auf Datenstaging und Exfiltration zu überwachen, Backup-Integrität zu validieren und Anti-Ransomware-Lösungen einzusetzen. Während 0APT als nicht-akute Bedrohung gilt, sollten Everest und KryBit als legitime Gefahren behandelt werden.

Ähnliche Artikel