Team Cymru zufolge ist die Wiederverwendung von Werkzeugen ein zentrales Merkmal der Szene. “Viele Ransomware-Gruppen arbeiten so, dass sie die Werkzeuge anderer Gruppen weiternutzen”, sagt Will Thomas. Für viele Unternehmen sei die Abwehr daher nicht so schwer, wie sie scheine — solange die richtigen Schutzmechanismen vorhanden seien, um das Ausführen dieser Werkzeuge auf den eigenen Systemen zu verhindern.

Beast ist eine vergleichsweise neue Gruppe, die aus einer anderen Variante — der sogenannten Monster-Ransomware — hervorgegangen ist. Sie trat 2024 in Erscheinung, nahm im Februar 2025 den Betrieb als Ransomware-as-a-Service (RaaS) auf und richtete im Juli eine Leak-Seite für gestohlene Daten ein.

Die Gruppe ist dafür bekannt, Werkzeuge zum Auffinden und Löschen von Backups einzusetzen und Prozesse zu beenden, die mit Sicherheit und Datensicherung zusammenhängen. Laut einer Analyse der südkoreanischen Threat-Intelligence-Forscher von AhnLab beendet Beast Prozesse rund um “Datenbanken, Backup und Wiederherstellung, Antivirenprodukte, Office, Datei-Editoren und E-Mails”. Beast gehe über reine Dateiverschlüsselung hinaus und kombiniere strukturelle Techniken zur Verhinderung der Wiederherstellung mit Datenexfiltration; ein System zur frühen Erkennung und schnellen Reaktion sei deshalb entscheidend, so die AhnLab-Forscher.

Auf dem analysierten Server fand Thomas eine Datei namens “disable_backup.bat”, die darauf ausgelegt ist, mit dem Volume Shadow Copy Service (VSS) unter Microsoft Windows erstellte Sicherungen zu löschen und den Dienst anzuhalten. Unternehmen sollten daher nicht nur Backups vorhalten, sondern widerstandsfähige Backups. Auch fortgeschrittenere Verfahren helfen laut Thomas wenig, wenn sie online bleiben: Sichern Organisationen sensible Dateien wie Kopien von Active Directory über Backup- und Replikationssoftware auf ein System, das weiterhin mit dem Netzwerk verbunden ist, wird auch dieses mitverschlüsselt, sobald die Angreifer ins Netz eindringen.

Wichtig sei zudem eine ausgelagerte Protokollierung: Der Beast-Server enthielt mit “CleanExit.exe” eine weitere Datei, die laut Team Cymru vermutlich dazu dient, nach dem Auslösen der Ransomware Protokolle zu löschen.

Als Schutzmaßnahmen empfiehlt Thomas Endpoint-Detection-and-Response-Systeme (EDR) zur Erkennung bösartiger Aktivität — besser noch deren verwaltete Variante (MDR) — sowie Allow-Listing zur Kontrolle freigegebener Anwendungen. Laufen EDR-Agenten auf den Systemen, seien die Befehle und Prozesse, die solche Werkzeuge auslösen, leicht zu erkennen; die meisten EDR-Lösungen könnten ein Werkzeug mit doppeltem Verwendungszweck standardmäßig blockieren, weil es einen zu hohen Risikofaktor darstelle.

Das Auffinden solcher Server ist laut Thomas ein wichtiger Erfolg — besonders, wenn dort die Ransomware-Payload liegt. Da viele Gruppen dieselben Werkzeuge verwenden, fällt die Zuordnung von Angriffen schwer: Beast nutzt die Mega-Desktop-App zur Exfiltration, ebenso aber Akira, Conti und zahlreiche weitere Gruppen. Erst die Ransomware-Binärdatei erlaubt die Zuordnung. “Sieht man nur diese Werkzeugliste ohne die Binärdateien, wissen wir nicht sicher, welche Ransomware-Gruppe dahintersteckt”, sagt Thomas. “Nur weil die Binärdateien da sind, können wir die Zuordnung vornehmen.”