RAMP war über Jahre das wichtigste Werkzeug, um Affiliates für Ransomware-as-a-Service anzuwerben. Mit der Beschlagnahme der zugehörigen Infrastruktur durch US-Behörden im vergangenen Monat brach diese zentrale Plattform weg. Laut deren Administrator wird RAMP nicht zurückkehren, woraufhin Ransomware-Akteure begannen, über ihr nächstes Ziel zu diskutieren. Andere bekannte Hackerforen wie XSS lassen Ransomware-Rekrutierung nicht zu.

Als einer der frühen Nachfolger hat sich T1erOne herauskristallisiert, ein geschlossenes Forum, das in diesem Monat startete. Mitglieder werden nur aufgenommen, wenn sie Aktivität in einem anderen Forum nachweisen oder 450 US-Dollar zahlen. Da Teile der RAMP-Datenbank nach der Abschaltung durchgesickert waren, sei diese Struktur laut Blia und Sherman darauf ausgelegt, das Risiko von Unterwanderung oder Bloßstellung zu senken.

Dass solche geschlossenen, kostenpflichtigen Foren unmittelbar nach einer spektakulären Beschlagnahme auftauchen, werten die Forscher als defensive Anpassung: Durch finanzielle und reputationsbezogene Hürden senkten die Betreiber das Unterwanderungsrisiko und signalisierten zugleich hochkarätigen Akteuren ihre Ernsthaftigkeit. Folge die Entwicklung historischen Mustern, dürften sich künftig kleinere Gruppen vertrauenswürdiger Akteure um geprüfte Räume zusammenschließen, wobei die Rekrutierung über Empfehlungen statt offener Beiträge laufe. T1erOne bewirbt Ransomware direkt; berichten zufolge inserieren dort bereits Affiliate-Gruppen wie Qilin und Cry0.

Das zweite prominente Forum ist Rehub, das bereits vor der Schließung von RAMP existierte und seit August des Vorjahres aktiv ist. Im Vergleich zu T1erOne hat es eine offene Mitgliederstruktur. Rapid7 bestätigte, dass dort bereits mehrere Ransomware-Akteure aktiv sind: LockBit und Gentlemen sind seit September präsent, DragonForce stieß am Tag von RAMPs Abschaltung hinzu. Mehrere Beiträge bewerben RaaS-Angebote.

Rapid7 kommt zu dem Schluss, dass auf RAMP nicht ein einzelner Nachfolger folgt, sondern ein divergierender Pfad für verschiedene Teile der Cybercrime-Szene. Rehub diene verdrängten Akteuren als bequemer Auffangpunkt, während T1erOne über Vertrauen auf wertvollere Ziele abziele. Für Verteidiger erschwert dies die Sicht, da sie nun Muster über mehrere Plattformen hinweg verfolgen und frühe RaaS-Rekrutierungssignale erkennen müssen.

Raj Samani, Chefwissenschaftler bei Rapid7, beschreibt das aktuelle Ransomware-Ökosystem gegenüber Dark Reading als aufstrebend und zugleich fließend, mit Gruppen, die zu unterschiedlichen Zeiten aktiv sind. Es gebe Fälle, in denen Gruppen verschwänden und mit einem Arsenal zurückkehrten, auf das Opfer völlig unvorbereitet seien – etwa Cl0p. Auch wenn die Beschlagnahme das Vertrauen in der kriminellen Szene beschädige, würden finanzielle Anreize jedes Bedürfnis nach Zurückhaltung überwiegen. Als Beispiel nennt er BreachForums und XSS, bei denen jeweils binnen eines Monats nach der Abschaltung eine neue Version auftauchte.