Nach der Abschaltung des Cybercrime-Forums RAMP durch US-Behörden entstehen neue Plattformen wie T1erOne und Rehub, um die Lücke zu füllen. Die Ransomware-Ecosystem fragmentiert sich, was für Sicherheitsteams neue Herausforderungen bei der Überwachung bedeutet.
Die Schließung des RAMP-Forums durch US-Behörden im Januar hat das Ökosystem der Ransomware-Akteure deutlich erschüttert – doch nur vorübergehend. Rapid7 hat in einer aktuellen Analyse dokumentiert, wie schnell sich die Cybercrime-Infrastruktur neu organisiert.
Jahrelang war RAMP die zentrale Anlaufstelle für Ransomware-as-a-Service-Affiliates, um ihre Dienste zu vermarkten. Die FBI-geführte Razzia vom 28. Januar zwang viele kriminelle Gruppen zur Suche nach alternativen Plattformen. Doch statt eines einzelnen Nachfolgers entstehen nun mehrere fragmentierte Strukturen.
Rapid7-Analysten Alexandra Blia und Efi Sherman identifizierten zwei vielversprechende Kandidaten: Das Forum T1erOne startete kurz nach RAMPs Abschaltung mit einem geschlossenen, kostenpflichtigen Modell – Beitrittsgeld 450 Dollar oder Nachweis von Aktivitäten auf anderen Plattformen erforderlich. Dadurch soll das Risiko von Infiltrationen minimiert werden, besonders nachdem Teile der RAMP-Datenbank durchgesickert sind.
Das zweite Forum, Rehub, existiert bereits seit August und bietet offene Mitgliedschaften. Ransomware-Gruppen wie LockBit, Gentlemen und DragonForce sind dort bereits aktiv und bewerben ihre RaaS-Angebote.
Diese Fragmentierung stellt Sicherheitsteams vor neue Probleme. “Defenders haben weniger Sicht auf zentrale Koordinationspunkte,” schreiben Blia und Sherman. “Überwachung muss sich weiterentwickeln – weg vom Tracking einzelner Foren hin zur Erkennung von Akteur-Migration und frühen Regrouping-Signalen.”
Raj Samani, Chief Scientist bei Rapid7, erklärt Dark Reading: “Das Ransomware-Ökosystem ist dynamisch und fragmentiert. Gruppen verschwinden und tauchen mit neuen Tool-Arsenalen wieder auf, auf die Opfer nicht vorbereitet sind.” Die finanzielle Anreize seien letztlich stärker als das Misstrauen in der Szene – ein Muster, das sich bei früheren Plattformabschaltungen wie BreachForums bereits gezeigt hat.
Fast und Furious bleibt das oberste Prinzip der organisierten Cyberkriminalität.
Quelle: Dark Reading