Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv Ransomware-Gruppe · Profil

0apt

0Opfer gesamt
0Opfer (30 Tage)
InaktivStatus

Überblick

Bei der unter der Bezeichnung 0apt geführten Gruppierung handelt es sich um einen Akteur, dessen Glaubwürdigkeit als zweifelhaft eingestuft wird. Die ihr zugeschriebenen Opfer lassen sich überwiegend, wenn nicht vollständig, nicht überprüfen und wirken wie willkürlich ausgewählte Organisationen ohne erkennbaren inneren Zusammenhang. Aus diesem Grund werden die Einträge zu dieser Gruppe zurückgezogen, da sich die behaupteten Angriffe nicht belastbar verifizieren lassen. Eine verlässliche Aussage über tatsächliches Vorgehen, bevorzugte Ziele oder die wahre Aktivität dieses Akteurs ist auf Grundlage der vorliegenden Angaben nicht möglich. Die Darstellung dient daher vorrangig der Einordnung, dass die kursierenden Opferbehauptungen mit Vorsicht zu betrachten sind und einer eigenständigen Bestätigung bedürfen, bevor ihnen ein operativer Wert beigemessen wird.

Taktiken & Vorgehen

Den der Gruppe zugeordneten Technikbeschreibungen zufolge erfolgt der Erstzugang über gültige Zugangsdaten, extern erreichbare Fernzugriffsdienste sowie Phishing, einschließlich Spearphishing mit schädlichem Anhang. Zur Ausführung kommen Windows Management Instrumentation, PowerShell und das Öffnen schädlicher Dateien durch Anwender zum Einsatz. Persistenz wird über geplante Aufgaben und Registry-Run-Keys hergestellt. Zur Verschleierung dienen Rootkits, Prozess-Injektion, Maskierung, das Entfernen von Spuren sowie das Deaktivieren von Sicherheitswerkzeugen. Zugangsdaten werden unter anderem durch Auslesen des LSASS-Speichers und aus Passwortspeichern gewonnen. Die seitliche Bewegung nutzt das Remote Desktop Protocol sowie SMB- und Windows-Admin-Freigaben. Gesammelte Daten werden archiviert und über C2- und Web-Kanäle exfiltriert. Abschließend folgen Datenverschlüsselung, Datenzerstörung, das Stoppen von Diensten und das Unterbinden der Systemwiederherstellung.

Schutzmaßnahmen

Fernzugriffsdienste und das Remote Desktop Protocol sollten über VPN sowie Mehr-Faktor-Authentisierung abgesichert und nicht offen exponiert werden; gültige Konten sollten durch Überwachung anomaler Anmeldungen geschützt werden. Gegen Phishing und Spearphishing-Anhänge sollten E-Mail-Filterung und die Einschränkung der Ausführung schädlicher Dateien etabliert werden. Die Nutzung von PowerShell und Windows Management Instrumentation sollte protokolliert und eingeschränkt werden. Der Zugriff auf den LSASS-Speicher sollte überwacht und durch entsprechende Schutzmechanismen erschwert werden. SMB- und Admin-Freigaben sollten segmentiert und restriktiv berechtigt werden. Der Schutz von Sicherheitswerkzeugen vor Deaktivierung sowie die Absicherung der Systemwiederherstellung gegen Manipulation sollten gewährleistet werden.

Erwähnt in