CyberDeutsch Nachrichten

Black X

Tue, 02 Jun 2026 00:00:00 +0200

Fulcrumsec

Fri, 01 May 2026 00:00:00 +0200

Überblick

FulcrumSec ist eine Gruppe, die auf Datenerpressung spezialisiert ist und dabei auf den Einsatz von Verschlüsselung verzichtet. Statt Systeme zu verschlüsseln, setzt die Gruppe darauf, große Mengen an Daten aus cloudbasierten Datenbanken in hohem Tempo abzugreifen und die betroffenen Einrichtungen anschließend mit der Veröffentlichung der erbeuteten Informationen unter Druck zu setzen. Charakteristisch ist, dass sich FulcrumSec Zugang verschafft, indem nicht rotierte API-Schlüssel ausgenutzt und fehlerhaft konfigurierte Berechtigungen in Cloud-Umgebungen missbraucht werden. Die Gruppe nutzt damit gezielt Schwächen in der Absicherung und Verwaltung von Cloud-Diensten aus, anstatt klassische Schadprogramme zur Verschlüsselung einzusetzen. Zu den betroffenen Einrichtungen zählen Organisationen aus dem Finanz- und Technologieumfeld. Das Vorgehen verbindet eine schnelle Exfiltration umfangreicher Datenbestände mit der reinen Erpressung über die abgeflossenen Daten und hebt sich dadurch von Gruppen ab, die auf Verschlüsselung der Opfersysteme setzen.

M3rx

Wed, 29 Apr 2026 00:00:00 +0200

Überblick

M3rx ist eine kleine, vergleichsweise junge Ransomware-Gruppe, die erst seit Kurzem in der Bedrohungslandschaft beobachtet wird. Die Gruppe verschlüsselt die Daten ihrer Opfer und stützt sich dabei auf etablierte symmetrische Verschlüsselungsverfahren in den Betriebsarten AES-CTR und AES-GCM. Ihr Wirkungskreis ist international ausgerichtet: Betroffen sind Einrichtungen in England, den Vereinigten Staaten, Australien, Deutschland, Italien und der Schweiz. Damit konzentriert sich M3rx nicht auf einen einzelnen Wirtschaftsraum, sondern nimmt Organisationen in mehreren Ländern Europas sowie im englischsprachigen Raum ins Visier. Zu den betroffenen Wirtschaftszweigen zählt unter anderem die Immobilienbranche. Gemessen an der Zahl der ihr zugeschriebenen Opfer bewegt sich M3rx in einem überschaubaren Rahmen, was sie als eher kleinen Akteur im Ransomware-Umfeld kennzeichnet. Charakteristisch ist die Verbindung einer geografisch breit gestreuten Zielauswahl mit der Datenverschlüsselung als zentralem Erpressungsmittel.

Lamashtu

Mon, 13 Apr 2026 00:00:00 +0200

Überblick

Lamashtu ist eine Erpressergruppe, die in der Bedrohungslandschaft als vergleichsweise neuer Akteur in Erscheinung getreten ist. Die Gruppe bekennt sich öffentlich zu Angriffen auf Organisationen in mehreren Regionen, darunter Frankreich, Rumänien und Thailand. Betroffen sind nach eigener Darstellung Einrichtungen unterschiedlicher Branchen, insbesondere aus dem Energiesektor, der Pharmaindustrie sowie der Film- und Medienbranche. Charakteristisch für Lamashtu ist, dass bislang nicht bestätigt ist, ob die Gruppe tatsächlich Schadsoftware zur Verschlüsselung von Dateien einsetzt. Vieles deutet darauf hin, dass das Vorgehen schwerpunktmäßig auf reiner Datendiebstahl-Erpressung beruht, bei der entwendete Informationen als Druckmittel dienen, ohne dass zwingend eine Verschlüsselung der betroffenen Systeme stattfindet. Damit unterscheidet sich Lamashtu von klassischen Ransomware-Gruppen, deren Geschäftsmodell auf der Verschlüsselung von Opfersystemen aufbaut. Die tatsächlichen technischen Fähigkeiten der Gruppe sind nach gegenwärtigem Kenntnisstand noch nicht abschließend einzuordnen.

Krybit

Fri, 03 Apr 2026 00:00:00 +0200

Überblick

Krybit ist eine noch junge Gruppierung, die nach dem Modell Ransomware-as-a-Service (RaaS) arbeitet. Sie wirbt Partner (Affiliates) an, denen sie einen vergleichsweise großzügigen Anteil an den erpressten Erlösen in Aussicht stellt, und überlässt diesen die eigentlichen Angriffe gegen einen für sie verbleibenden Teil der Einnahmen. Die von Krybit bereitgestellte Schadsoftware ist plattformübergreifend angelegt und kann Systeme unter Windows und Linux, Virtualisierungsumgebungen unter VMware ESXi sowie netzgebundene Speichergeräte (NAS) verschlüsseln. Damit zielt die Gruppe auf eine breite IT-Infrastruktur und nicht allein auf einzelne Arbeitsplatzrechner. Öffentliche Aufmerksamkeit erlangte Krybit zudem durch eine offen ausgetragene Fehde mit der konkurrierenden Gruppe 0APT: Beide Seiten drangen wechselseitig in die Systeme der jeweils anderen ein und veröffentlichten interne Betreiberdaten der Gegenseite. Diese Auseinandersetzung unter rivalisierenden Erpresserbanden macht Krybit innerhalb der RaaS-Szene zu einem auffälligen Akteur.

ALP-001

Sat, 21 Mar 2026 00:00:00 +0100

Überblick

Zu dieser Gruppe liegen keine belastbaren Informationen vor. Die Gruppe gilt als unzuverlässig: Die ihr zugeschriebenen Opfer lassen sich nahezu sämtlich nicht überprüfen oder bestätigen. Aus diesem Grund wurden die Einträge zu dieser Gruppe entfernt. Eine inhaltliche Darstellung des Vorgehens, der Ziele oder der charakteristischen Merkmale ist auf Grundlage der vorliegenden Angaben nicht möglich.

AiLock

Tue, 03 Mar 2026 00:00:00 +0100

Überblick

AiLock ist eine Ransomware-Operation, die sich selbst als KI-gestützte Erpressersoftware vermarktet. Zur Verschlüsselung der Daten ihrer Opfer setzt die Gruppe ein hybrides Verfahren ein, das die Algorithmen ChaCha20 und NTRUEncrypt kombiniert. Charakteristisch ist das Vorgehen der doppelten Erpressung („Double Extortion“): Die Angreifer verschlüsseln nicht nur die Systeme, sondern entwenden zuvor sensible Daten, um zusätzlichen Druck aufzubauen. Bleibt eine Lösegeldzahlung aus, droht die Gruppe damit, den Vorfall an Aufsichts- und Regulierungsbehörden zu melden, und nutzt so den drohenden regulatorischen Schaden als weiteres Druckmittel. AiLock tritt zudem aktiv als Ransomware-as-a-Service auf und wirbt gezielt Partner (Affiliates) an, die die Schadsoftware im Rahmen eigener Angriffe einsetzen. Die Selbstdarstellung als KI-unterstützte Operation dient dabei auch der Vermarktung gegenüber potenziellen Partnern und der Einschüchterung der betroffenen Einrichtungen.

ShadowByt3$

Wed, 25 Feb 2026 00:00:00 +0100

Überblick

Bei ShadowByt3$ handelt es sich um eine als Ransomware-as-a-Service betriebene Erpressergruppe. Das Modell bedeutet, dass die eigentlichen Schadprogramme samt zugehöriger Infrastruktur an Partner überlassen werden, die die Angriffe durchführen, während die Kerngruppe das Werkzeug bereitstellt und an den Erlösen beteiligt wird. Charakteristisch für ShadowByt3$ ist der Einsatz mehrerer Erpressungsmethoden zugleich: Die Betroffenen werden nicht allein durch die Verschlüsselung ihrer Systeme unter Druck gesetzt, sondern zusätzlich durch weitere Hebel zur Erzwingung einer Zahlung. Für die Kommunikation und die Abwicklung der Erpressung greift die Gruppe auf die Messenger-Dienste Telegram und Tox zurück, die eine vergleichsweise abgeschottete und schwer nachverfolgbare Kontaktaufnahme ermöglichen. Die Zahl der bislang bestätigten Betroffenen ist gering, was darauf hindeutet, dass sich ShadowByt3$ noch in einer frühen Phase ihrer Tätigkeit befindet und ihre Strukturen sowie ihr Partnernetzwerk erst aufbaut.

Payload

Tue, 17 Feb 2026 00:00:00 +0100

Überblick

Payload ist eine Ransomware-Gruppe, deren Schadprogramm auf dem geleakten Quellcode der Babuk-Ransomware aufbaut. Charakteristisch ist der plattformübergreifende Ansatz: Die Gruppe greift sowohl Windows-Systeme als auch Virtualisierungsumgebungen unter VMware ESXi an und kann damit ganze Infrastrukturen verschlüsseln. Payload verfolgt das Modell der Double Extortion — neben der Verschlüsselung werden Daten zuvor entwendet, um mit deren Veröffentlichung zusätzlichen Druck aufzubauen; zur Bloßstellung der Opfer betreibt die Gruppe eine eigene Leak-Site. Betroffen sind Einrichtungen unterschiedlicher Branchen, darunter das Gesundheitswesen, der Energiesektor, die Immobilienwirtschaft sowie die Landwirtschaft. Die Opfer verteilen sich über mehrere Länder. Trotz des fremden Code-Ursprungs tritt Payload als eigenständige Marke auf und konnte in kurzer Zeit zahlreiche Opfer kompromittieren, was auf eine durchaus schlagkräftige Operation hindeutet.

Reynolds

Wed, 11 Feb 2026 00:00:00 +0100

Überblick

Reynolds ist eine Ransomware-Familie, die vor noch nicht langer Zeit erstmals dokumentiert wurde. Charakteristisch für sie ist eine ausgeprägte Abwehrumgehung nach dem Prinzip „Bring Your Own Vulnerable Driver“ (BYOVD): Die Schadsoftware bringt einen verwundbaren Treiber mit und nutzt eine darin enthaltene Schwachstelle aus, um Sicherheitsprogramme auf dem befallenen System gezielt zu beenden, bevor die eigentliche Verschlüsselung der Dateien einsetzt. Durch das vorherige Ausschalten der Schutzlösungen kann die Gruppe weitgehend unbehelligt agieren. In ersten Analysen wurde Reynolds dem Umfeld von Black Basta zugerechnet. Aufgrund ihrer technischen Ausstattung und ihrer wirkungsvollen Umgehungsmethode gilt die Familie als attraktiv für Partner im Rahmen eines Ransomware-as-a-Service-Modells (RaaS), die solche Werkzeuge für eigene Angriffe übernehmen könnten. Damit reiht sich Reynolds in jene Bedrohungen ein, die bereits vor dem eigentlichen Verschlüsselungsschritt aktiv gegen die Verteidigungsmechanismen der Zielsysteme vorgehen.

Bravox

Wed, 11 Feb 2026 00:00:00 +0100

Überblick

BravoX ist eine selektiv vorgehende Ransomware-as-a-Service-Operation, die nach ihrem öffentlichen Auftreten über das Untergrundforum RAMP bekannt wurde. Die Gruppe richtet ihre Angriffe schwerpunktmäßig gegen Organisationen mit Sitz in den Vereinigten Staaten und konzentriert sich dabei vor allem auf Einrichtungen aus dem Gesundheitswesen sowie dem Einzelhandel. Kennzeichnend für BravoX ist die strenge Auswahl ihrer Partner: Wer als Affiliate für die Operation tätig werden möchte, muss vorab klar definierte Bedingungen erfüllen. Verlangt werden entweder ein Nachweis über bereits bestehende Zugänge zu Zielsystemen oder die Hinterlegung einer finanziellen Sicherheit. Mit diesem Vetting-Verfahren beschränkt die Gruppe den Kreis ihrer Mitwirkenden bewusst und hebt sich von breiter angelegten RaaS-Modellen ab, die mit möglichst vielen Partnern arbeiten. Das Geschäftsmodell folgt dem klassischen Ransomware-as-a-Service-Prinzip, bei dem die Betreiber die Schadsoftware und Infrastruktur bereitstellen, während ausgewählte Partner die eigentlichen Angriffe durchführen.

Insomnia

Sat, 07 Feb 2026 00:00:00 +0100

Überblick

Insomnia ist eine auf Datendiebstahl und Erpressung spezialisierte Bedrohungsgruppe. Anders als klassische Ransomware-Akteure verschlüsselt sie die Systeme ihrer Opfer nicht, sondern entwendet sensible Daten und droht anschließend mit deren Veröffentlichung, um Zahlungen zu erzwingen. Im Mittelpunkt der Angriffe stehen Einrichtungen des US-amerikanischen Gesundheitswesens, bei denen die Gruppe gezielt Patientenakten und andere vertrauliche Unterlagen abgreift. Die Drohung mit der öffentlichen Preisgabe besonders schützenswerter Gesundheitsdaten dient dabei als zentrales Druckmittel. Auffällig ist zudem, dass Insomnia Ziele in den Nachfolgestaaten der früheren Sowjetunion meidet — ein Verhaltensmuster, das typisch für russischsprachige Cyberkriminelle ist und auf eine entsprechende Herkunft der Akteure hindeutet. Damit reiht sich die Gruppe in das Vorgehen reiner Erpressungsakteure ein, die nicht auf Verschlüsselung, sondern allein auf den Diebstahl und die angedrohte Offenlegung sensibler Informationen setzen.

Vect

Tue, 06 Jan 2026 00:00:00 +0100

Überblick

VECT ist eine nach dem Ransomware-as-a-Service-Modell organisierte Gruppe, die ihre Schadsoftware über ein Partnerprogramm an angeworbene Akteure weitergibt. Die Einnahmen aus erfolgreichen Erpressungen werden dabei nach einem mehrstufigen Beteiligungsmodell zwischen den Betreibern und ihren Partnern aufgeteilt. Zur Anwerbung und Vermarktung unterhält die Gruppe eine formelle Zusammenarbeit mit der Untergrundplattform BreachForums, über die sie ihr Angebot bewirbt und Partner gewinnt. Ein bemerkenswertes Merkmal der als VECT 2.0 bezeichneten Schadsoftware ist ein schwerwiegender Fehler in der Verschlüsselungsroutine: Statt größere Dateien regulär zu verschlüsseln, zerstört die Schadsoftware diese unwiderruflich, sodass eine Wiederherstellung selbst nach einer etwaigen Lösegeldzahlung ausgeschlossen ist. Dieser Defekt unterscheidet VECT von Gruppen, deren Schadsoftware eine funktionierende Entschlüsselung ermöglicht, und erhöht das Risiko eines dauerhaften Datenverlusts für betroffene Einrichtungen erheblich.

Sicarii

Mon, 05 Jan 2026 00:00:00 +0100

Überblick

Sicarii ist eine Ransomware-as-a-Service-Operation, die sich mit pro-israelischer beziehungsweise jüdischer Symbolik inszeniert. Ihr erklärtes Ziel sind Organisationen in arabischen und mehrheitlich muslimischen Ländern, während israelische Systeme bewusst ausgenommen werden. Damit verbindet die Gruppe finanziell motivierte Erpressung mit einer ausgeprägt ideologischen Stoßrichtung. Für den Erstzugang nutzt Sicarii vor allem ungeschützt aus dem Internet erreichbare Dienste aus, insbesondere offen zugängliche RDP-Zugänge sowie verwundbare Fortinet-Geräte. Als RaaS-Modell stellt die Operation Partnern eine Infrastruktur zur Durchführung von Angriffen bereit. Im weiteren Verlauf wies die Administration die beteiligten Operatoren an, auf die Plattform BQTLock umzuziehen, was auf eine enge Verflechtung beziehungsweise einen Wechsel zwischen den beiden Ökosystemen hindeutet. Charakteristisch für Sicarii ist somit die Kombination aus opportunistischer Ausnutzung exponierter Fernzugriffs- und Perimeter-Dienste und einer klaren regionalen sowie religiös-politischen Zielauswahl.

Ms13089

Thu, 18 Dec 2025 00:00:00 +0100

Überblick

Bei MS13089 (auch „ms13-089“) handelt es sich um eine erst kürzlich in Erscheinung getretene Ransomware-Gruppierung. Ihren Namen leitet die Gruppe von einem Microsoft-Sicherheitsbulletin ab, dessen Kennung sie für die eigene Benennung übernommen hat. Bislang ist MS13089 mit einer überschaubaren Zahl an Vorfällen in Erscheinung getreten und zählt damit zu den jüngeren Akteuren in diesem Umfeld. Betroffen sind Einrichtungen unterschiedlicher Branchen, darunter Organisationen aus dem Bereich rechtsberatender Dienstleistungen. Charakteristisch für das Vorgehen der Gruppe ist die sogenannte Double Extortion: Die Angreifer beschränken sich nicht auf die Verschlüsselung der Daten ihrer Opfer, sondern entwenden zuvor sensible Informationen und drohen mit deren Veröffentlichung, um den Druck zur Zahlung eines Lösegelds zu erhöhen. Dieses zweistufige Erpressungsmodell stellt das prägende Merkmal der Aktivitäten von MS13089 dar. Über die grundsätzliche Einordnung als doppelt erpressender Akteur hinaus liegen zu den eingesetzten Werkzeugen und konkreten Angriffstechniken bislang keine belastbaren Detailangaben vor.

Lockbit5

Sun, 07 Dec 2025 00:00:00 +0100

Überblick

Bei LockBit 5.0, auch unter der Bezeichnung „ChuongDong“ geführt, handelt es sich um das Wiederaufleben der LockBit-Strukturen, nachdem die Vorgängerorganisation durch eine Strafverfolgungsaktion zerschlagen worden war. Die Gruppe knüpft unmittelbar an ihre Vorgänger an und führt deren Geschäftsmodell als Ransomware-as-a-Service fort, bei dem die eigentlichen Angriffe von angeworbenen Partnern (Affiliates) durchgeführt werden. Kennzeichnend für diese Ausprägung ist der plattformübergreifende Ansatz: Es kommen Schadprogramm-Varianten zum Einsatz, die gezielt gegen Windows, Linux und VMware ESXi gerichtet sind und damit ein breites Spektrum gängiger Server- und Virtualisierungsumgebungen abdecken. Darüber hinaus wurden die Fähigkeiten zur Umgehung von Schutz- und Erkennungsmechanismen ausgebaut, sodass die Schadsoftware schwerer zu entdecken ist. Mit dieser Kombination aus erweiterter Plattformreichweite, verbesserter Tarnung und dem etablierten Partnermodell positioniert sich die Gruppe als unmittelbare Fortsetzung einer der bekanntesten Ransomware-Marken.

Tengu

Thu, 23 Oct 2025 00:00:00 +0200

Überblick

Tengu ist eine Ransomware-as-a-Service-Operation, die nach dem Modell der doppelten Erpressung („Double Extortion“) vorgeht: Vor der eigentlichen Verschlüsselung werden Daten aus den kompromittierten Netzwerken abgezogen, um den Druck auf die Betroffenen durch eine angedrohte Veröffentlichung zu erhöhen. Kennzeichnend für die Gruppe ist die Nutzung sogenannter Living-off-the-Land-Binaries (LOLBins) – also legitimer, im System ohnehin vorhandener Programme –, um die schädlichen Aktivitäten im regulären administrativen Datenverkehr zu verbergen und einer Entdeckung zu entgehen. Im Fokus der Angriffe stehen Einrichtungen unterschiedlicher Branchen, darunter Konsumgüter, Immobilienwirtschaft, Automobilsektor, Gesundheitswesen sowie der IT-Bereich. Durch das gezielte Verschmelzen mit normalem Verwaltungsverkehr hebt sich Tengu von Operationen ab, die auf auffälligere, eigenständige Schadwerkzeuge setzen.

Radiant

Sun, 12 Oct 2025 00:00:00 +0200

Überblick

Bei Radiant handelt es sich um eine finanziell motivierte Ransomware-Gruppe. Sie agiert ohne angeschlossene Partner (Affiliates) und führt ihre Angriffe somit eigenständig durch. Charakteristisch ist der Einsatz sowohl von doppelter als auch von einfacher Erpressung: Die Gruppe verschlüsselt Daten und droht zugleich mit deren Veröffentlichung, setzt in anderen Fällen aber auch allein auf die Drohung der Offenlegung erbeuteter Informationen. Besondere Aufmerksamkeit und breite Verurteilung zog die Gruppe auf sich, nachdem sie einen Betreuungsdienst für Kinder in Großbritannien angegriffen und dabei höchst sensible persönliche Daten der Betroffenen offengelegt hatte, darunter Fotografien, Namen und Wohnanschriften. Dieses Vorgehen verdeutlicht, dass Radiant auch vor besonders schutzbedürftigen Einrichtungen und der Veröffentlichung hochsensibler personenbezogener Daten nicht zurückschreckt, um den Druck auf ihre Opfer zu erhöhen.

Brotherhood

Fri, 10 Oct 2025 00:00:00 +0200

Überblick

Brotherhood ist eine vergleichsweise neu in Erscheinung getretene Ransomware-Gruppe. Ihre Angriffe richten sich gegen Organisationen in Nordamerika und im australischen Raum, wobei Einrichtungen aus dem verarbeitenden Gewerbe, dem Kommunikationssektor sowie dem Bauwesen im Mittelpunkt stehen. Die Gruppe verfolgt das Geschäftsmodell der doppelten Erpressung (Double Extortion): Daten der betroffenen Organisationen werden nicht nur verschlüsselt, sondern zuvor auch entwendet, um zusätzlichen Druck aufzubauen. Zur Veröffentlichung erbeuteter Daten und zur Drohung mit deren Offenlegung betreibt Brotherhood eine über das Tor-Netzwerk erreichbare Leak-Site. Über diese anonymisierte Plattform werden Organisationen aufgeführt, die den Forderungen nicht nachkommen, was die Erpressung flankiert. Charakteristisch für die Gruppe ist somit die Kombination aus Verschlüsselung, vorgelagertem Datendiebstahl und der öffentlichen Bloßstellung betroffener Einrichtungen über eine anonyme Infrastruktur. Die geografische und branchenbezogene Ausrichtung deutet auf ein gezieltes Vorgehen gegen Organisationen in den genannten Wirtschaftszweigen und Regionen hin.

ShinyHunters

Fri, 03 Oct 2025 00:00:00 +0200

Überblick

ShinyHunters ist eine finanziell motivierte Gruppierung, die sich auf Datendiebstahl und Erpressung spezialisiert hat. Im Mittelpunkt ihres Vorgehens steht das Entwenden großer Datenbestände, die anschließend zur Erpressung der betroffenen Organisationen genutzt werden. Bekanntheit erlangte die Gruppe durch eine Reihe schwerwiegender Sicherheitsvorfälle, bei denen umfangreiche Datenmengen abgeflossen sind, unter anderem über Zugänge zu cloudbasierten Datenplattformen. Im weiteren Verlauf erweiterte die Gruppe ihr Tätigkeitsfeld und brachte ein eigenes Ransomware-as-a-Service-Angebot unter der Bezeichnung „shinysp1d3r“ auf den Markt, mit dem auch Dritte für Angriffe ausgestattet werden können. Gegen mehrere mutmaßliche Mitglieder gingen Strafverfolgungsbehörden vor und nahmen sie fest. Charakteristisch für ShinyHunters ist die konsequente Ausrichtung auf den Diebstahl verwertbarer Unternehmensdaten sowie die Bereitschaft, das erbeutete Material als Druckmittel einzusetzen und über die Bereitstellung von Werkzeugen weitere Akteure einzubinden.

Coinbase Cartel

Mon, 15 Sep 2025 00:00:00 +0200

Überblick

CoinbaseCartel ist eine auf Datenbeschaffung spezialisierte Gruppierung, die sich Zugang über kompromittierte Systeme und über strategische Partnerschaften verschafft. Nach eigener Darstellung richten sich die Operationen ausschließlich auf den Abfluss von Daten; eine Verschlüsselung von Systemen oder eine gezielte Störung des Betriebs gehört nicht zum erklärten Vorgehen. Im Mittelpunkt steht damit nicht die Lahmlegung der Infrastruktur, sondern das unbemerkte Erlangen und Herausschleusen sensibler Informationen. Die Gruppe setzt dabei auf den Diebstahl gültiger Zugangsdaten und auf das Ausnutzen vorhandener Vertrauensbeziehungen, etwa zu Dienstleistern und Drittparteien, um in die Zielumgebung zu gelangen. Charakteristisch ist die klare Ausrichtung auf Exfiltration als Selbstzweck: Der erlangte Datenbestand bildet die Grundlage für anschließende Erpressung. Betroffen sind Einrichtungen unterschiedlicher Branchen, deren Cloud- und SaaS-Umgebungen ins Visier geraten. Die Verbindung aus technischem Zugriff und sozialer Manipulation kennzeichnet das Profil dieser Gruppierung.

Thegentlemen

Tue, 09 Sep 2025 00:00:00 +0200

Überblick

The Gentlemen ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die ihren Partnern einen besonders hohen Anteil an den erbeuteten Erlösen anbietet und auf diese Weise zahlreiche Mitwirkende anwirbt. Über einen begrenzten Zeitraum hinweg meldete die Gruppe eine erhebliche Zahl von Opfern in Einrichtungen unterschiedlicher Branchen und Regionen. Kennzeichnend ist ein eigenentwickelter, in der Programmiersprache Go geschriebener Verschlüsselungsbaustein, der gegen mehrere Plattformen gerichtet ist — darunter Windows, Linux, BSD sowie netzgebundene Speichersysteme (NAS). Die Gruppe arbeitet arbeitsteilig: Während die Kernakteure Infrastruktur und Schadprogramme bereitstellen, übernehmen Partner die eigentlichen Einbrüche. Nach der Kompromittierung eines von der Gruppe genutzten Steuerungsservers (Command-and-Control) wurde sichtbar, dass die Zahl der tatsächlich betroffenen Opfer deutlich höher lag als öffentlich beansprucht. The Gentlemen kombiniert Datendiebstahl mit anschließender Verschlüsselung und setzt die Geschädigten so doppelt unter Druck.

Yurei

Fri, 05 Sep 2025 00:00:00 +0200

Überblick

Yurei ist eine Ransomware-Gruppe, deren Schadsoftware auf einem nur geringfügig veränderten Ableger der quelloffenen Prince-Ransomware beruht. Zur Verschlüsselung der Daten setzt die Gruppe den Algorithmus ChaCha20 ein. Eine Besonderheit ihres Vorgehens ist die Fähigkeit zur Ausbreitung über SMB-Freigaben im Netzwerk, wodurch sich die Schadsoftware nach einem ersten Zugriff selbsttätig auf weitere erreichbare Systeme verbreiten kann. Im Visier stehen vor allem Einrichtungen aus der Lebensmittelherstellung, dem Transportwesen und der IT-Branche. Regional konzentrieren sich die beobachteten Angriffe bislang auf Sri Lanka und Nigeria. Da der eingesetzte Schadcode auf einem öffentlich verfügbaren Projekt aufsetzt und nur in geringem Umfang angepasst wurde, lässt sich das Vorgehen der Gruppe als vergleichsweise einfach gehaltene, aber funktionsfähige Erpressungsoperation einordnen, die auf bewährten Bausteinen aufbaut und gezielt Organisationen in bestimmten Wirtschaftszweigen und Regionen angreift.

Obscura

Fri, 05 Sep 2025 00:00:00 +0200

Überblick

Obscura ist ein in der Programmiersprache Go entwickelter Ransomware-Stamm. Charakteristisch ist die gezielte Ausrichtung auf Windows-Domänencontroller: Die Schadsoftware nutzt die Freigaben SYSVOL und NETLOGON, um sich im Active-Directory-Umfeld zu verbreiten und auf zentrale Systeme der Domäne zuzugreifen. Damit zielt Obscura nicht auf einzelne Endgeräte, sondern auf das Herzstück der Identitäts- und Verzeichnisinfrastruktur eines Unternehmens. Für die Verschlüsselung kombiniert der Schädling den Schlüsselaustausch über Curve25519 mit dem Stromchiffre-Verfahren XChaCha20. Obscura verfolgt einen Ansatz der doppelten Erpressung: Neben der Verschlüsselung der Daten setzen die Täter auf die vorherige Entwendung von Informationen und drohen mit deren Veröffentlichung, um den Druck auf die betroffenen Einrichtungen zu erhöhen. Den Opfern wird eine befristete Zahlungsfrist gesetzt. Durch den Fokus auf Domänencontroller kann eine erfolgreiche Infektion weitreichende Folgen für die gesamte Netzwerkumgebung einer betroffenen Organisation haben.

Blacknevas

Wed, 06 Aug 2025 00:00:00 +0200

Überblick

BlackNevas ist eine Ransomware-Gruppe, die mutmaßlich aus der Trigona-Ransomware-Familie hervorgegangen ist und auch unter dem Alias „Trial Recovery“ auftritt. Die Gruppe richtet ihre Angriffe gegen Einrichtungen aus dem Telekommunikationssektor, der Fertigungsindustrie, dem Gesundheitswesen sowie aus dem Rechtsbereich. Ihr Tätigkeitsschwerpunkt liegt im asiatisch-pazifischen Raum, daneben sind Organisationen im Vereinigten Königreich, in Italien und in Litauen betroffen. Kennzeichnend für BlackNevas ist das Vorgehen nach dem Prinzip der doppelten Erpressung: Die Daten der Opfer werden nicht nur verschlüsselt, sondern zuvor auch entwendet, um zusätzlichen Druck durch die angedrohte Veröffentlichung aufzubauen. Für die Verschlüsselung setzt die Gruppe ein kombiniertes Verfahren aus AES und RSA ein, das eine Wiederherstellung der betroffenen Dateien ohne den passenden Schlüssel verhindert. Damit reiht sich BlackNevas in das Vorgehen erpresserisch agierender Ransomware-Akteure ein, die gezielt Organisationen unterschiedlicher Branchen ins Visier nehmen.

Pear

Tue, 05 Aug 2025 00:00:00 +0200

Überblick

Die Gruppe Pure Extraction And Ransom, abgekürzt PEAR, tritt nach eigener Darstellung als geschlossener, privat organisierter Zusammenschluss auf, der sich selbst als hochdisziplinierte und nach eigenem Bekunden besonders verantwortungsbewusst handelnde Gemeinschaft beschreibt. Die Akteure betonen, ein eigenständiges Team zu bilden, und grenzen sich ausdrücklich von anderen Bedrohungsgruppen ab, mit denen sie nach eigenen Angaben keine Verbindungen unterhalten. Sie stellen sich als erfahren dar und geben an, das Feld über einen längeren Zeitraum beobachtet zu haben, sodass sie die zugrunde liegenden Abläufe nach eigener Aussage genau verstehen. Der bereitstehende Quelltext beschränkt sich auf diese Selbstdarstellung der Gruppe und enthält darüber hinaus keine näheren Angaben zu bevorzugten Zielen oder zur konkreten Ausrichtung. Bereits der Name verweist auf ein Vorgehen, das auf die Entwendung von Daten und anschließende Erpressung ausgerichtet ist.

Beast

Tue, 29 Jul 2025 00:00:00 +0200

Überblick

Beast ist ein als Ransomware-as-a-Service (RaaS) vertriebenes Schadprogramm, das anderen Angreifern als einsatzfertiges Werkzeug zur Verfügung gestellt wird. Der Funktionsumfang ist auf das eigenständige Vorgehen innerhalb eines befallenen Netzwerks ausgelegt: Beast kann das Netzwerk über das SMB-Protokoll absuchen, um weitere erreichbare Systeme aufzuspüren, und Dateien auf den befallenen Rechnern verschlüsseln. Darüber hinaus ist die Schadsoftware in der Lage, Dienste und Prozesse gezielt zu starten und zu beenden, um die Verschlüsselung vorzubereiten und störende Anwendungen auszuschalten. Ein kennzeichnendes Merkmal ist die geografische Erkennung des befallenen Systems: Beast prüft den Standort und verzichtet auf die Verschlüsselung, wenn sich das Ziel in den GUS-Staaten befindet. Dieses Vorgehen ist typisch für RaaS-Angebote, die ihre Partner mit standardisierten Verschlüsselungs- und Verbreitungsfunktionen ausstatten und so auch weniger versierten Tätern den Betrieb ermöglichen.

Securotrop

Tue, 22 Jul 2025 00:00:00 +0200

Überblick

Securotrop ist eine Ransomware-Gruppe, die innerhalb des Partnernetzwerks („Affiliate-Netzwerks“) von Qilin agiert, dabei aber nach außen eine eigenständige öffentliche Identität pflegt. Trotz dieser Anbindung tritt sie unter eigenem Namen auf und gibt sich als unabhängiger Akteur zu erkennen. Ihre Angriffe richten sich ausschließlich gegen kommerzielle Ziele; Einrichtungen des Gesundheitswesens sowie staatliche und behördliche Stellen werden bewusst gemieden. Diese gezielte Auswahl deutet auf ein kalkuliertes Vorgehen hin, das den Fokus auf wirtschaftlich verwertbare Opfer aus dem Unternehmensumfeld legt. Über einen Zeitraum hinweg hat die Gruppe zahlreiche dokumentierte Opfer angegriffen. Kennzeichnend für Securotrop ist die Verbindung aus der Einbettung in eine etablierte Ransomware-Infrastruktur einerseits und dem nach außen gewahrten Anspruch auf Eigenständigkeit andererseits.

Payoutsking

Mon, 07 Jul 2025 00:00:00 +0200

Überblick

PayoutsKing ist eine aktive Ransomware-Gruppe, die als Bedrohungsakteur im Bereich der digitalen Erpressung in Erscheinung tritt. Die Gruppe agiert international und richtet ihre Angriffe nicht gegen einen einzelnen Wirtschaftszweig, sondern gegen Einrichtungen unterschiedlichster Branchen. Geografisch erstreckt sich ihr Wirkungsraum über mehrere Länder, wobei sowohl Organisationen im nordamerikanischen als auch im europäischen Raum betroffen sind. Charakteristisch für PayoutsKing ist der Einsatz der sogenannten Double Extortion: Dabei werden die Daten der betroffenen Organisation nicht nur verschlüsselt, sondern vorab auch entwendet. Die Angreifer drohen anschließend mit der Veröffentlichung der gestohlenen Informationen, um zusätzlichen Druck auf die Opfer auszuüben und die Zahlung eines Lösegeldes zu erzwingen. Dieses zweistufige Erpressungsmodell zielt darauf ab, selbst jene Organisationen unter Handlungsdruck zu setzen, die ihre Systeme aus Sicherungskopien wiederherstellen könnten. Die Gruppe zählt damit zu den Akteuren, die das mittlerweile verbreitete Vorgehen der kombinierten Verschlüsselung und Datenexfiltration konsequent verfolgen.

Sinobi

Sat, 05 Jul 2025 00:00:00 +0200

Überblick

Sinobi ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die mit einem geschlossenen, sorgfältig geprüften Partnerprogramm arbeitet. Sicherheitsforscher gehen davon aus, dass es sich um eine Umbenennung aus der Linie der Ransomware-Familien Lynx und INC handelt. Die Gruppe setzt auf das Modell der doppelten Erpressung: Bevor die Daten ihrer Opfer verschlüsselt werden, greift sie diese ab und droht mit deren Veröffentlichung, um den Druck auf die Betroffenen zu erhöhen. Im Fokus stehen vorwiegend mittelständische Organisationen im US-amerikanischen Raum. Der Zugang zu den Zielnetzen wird typischerweise über kompromittierte VPN-Zugangsdaten von SonicWall-Systemen erlangt. Damit verbindet Sinobi ein professionell organisiertes Partnermodell mit einem klar umrissenen Opferprofil und einem bewährten Erpressungsvorgehen, das auf der gleichzeitigen Bedrohung durch Datenverlust und Datenveröffentlichung beruht.

Kawa4096

Fri, 27 Jun 2025 00:00:00 +0200

Überblick

Kawa4096, auch unter dem Alias „KaWaLocker“ geführt, ist eine Ransomware-Gruppe, die gezielt multinationale Konzerne ins Visier nimmt. Ihre Angriffe richten sich vorrangig gegen Einrichtungen aus den Bereichen Finanzwesen, Bildung und Dienstleistungen, wobei der geografische Schwerpunkt auf den Vereinigten Staaten und Japan liegt. Zur Verschlüsselung der Daten setzt die Gruppe den Stromchiffre-Algorithmus „Salsa20“ ein und verfolgt dabei einen Ansatz der Teilverschlüsselung: Statt jede Datei vollständig zu chiffrieren, wird jeweils nur ein Bruchteil der einzelnen Dateiabschnitte verschlüsselt. Dieses Vorgehen beschleunigt den Verschlüsselungsvorgang erheblich, macht die betroffenen Daten für die Opfer aber dennoch unbrauchbar. Charakteristisch für Kawa4096 ist darüber hinaus die Gestaltung ihrer Leak-Plattform, deren Erscheinungsbild bewusst an die nostalgische Terminal-Optik der Gruppe „Akira“ angelehnt ist. Im Verlauf ihrer Aktivität hat Kawa4096 bereits zahlreiche Opfer aus verschiedenen Branchen für sich reklamiert.

Warlock

Wed, 11 Jun 2025 00:00:00 +0200

Überblick

Bei Warlock handelt es sich um eine Ransomware samt zugehöriger Betreiber, die dem mutmaßlich in China ansässigen Bedrohungsakteur Storm-2603 zugerechnet werden. Dieser Akteur soll zuvor auch LockBit-Ransomware eingesetzt haben; zudem bestehen Überschneidungen bei den Opfern mit der Gruppe Black Basta. Sowohl LockBit als auch Black Basta arbeiten nach dem Ransomware-as-a-Service-Modell und verfügen über eine umfangreiche Liste bekannter und unbekannter Partner. Vor diesem Hintergrund wird Warlock am ehesten als Partner (vermutlich eine Cybergruppierung) beider Operationen eingeordnet. Die Verbindung ließe sich technisch als gemeinsame Nutzung von Verschlüsselungswerkzeugen beschreiben; realistischer erscheint jedoch die Einschätzung, dass es sich um einen ehemaligen Partner handelt, der einen eigenen Ransomware-Verschlüsseler und eine eigene Operation aufgebaut hat. Charakteristisch für Warlock ist damit der Übergang von einer Partnerrolle innerhalb etablierter RaaS-Strukturen hin zu einer eigenständigen Erpressungsoperation mit eigenem technischem Werkzeugkasten.

Teamxxx

Tue, 10 Jun 2025 00:00:00 +0200

Überblick

TeamXXX ist eine neu in Erscheinung getretene Ransomware-Gruppe, die eine eigene Leak-Site betreibt, über die sie ihre Opfer öffentlich macht. Bereits in ihrer kurzen bisherigen Aktivität reklamierte die Gruppe zahlreiche Opfer für sich. Betroffen sind Einrichtungen ganz unterschiedlicher Branchen, darunter das Gesundheitswesen, die Landwirtschaft, das Gastgewerbe, der Finanzdienstleistungssektor sowie die Schifffahrt. Geografisch erstrecken sich die beanspruchten Angriffe über mehrere Länder in Nordamerika und Europa, unter anderem die Vereinigten Staaten, das Vereinigte Königreich, Norwegen und Irland. Charakteristisch für TeamXXX ist das Vorgehen, erbeutete Daten über eine eigene Veröffentlichungsplattform zur Schau zu stellen, um den Druck auf die geschädigten Organisationen zu erhöhen. Die Gruppe tritt damit nach dem für moderne Ransomware-Akteure typischen Muster auf, bei dem die Drohung mit der Offenlegung gestohlener Informationen ein zentrales Erpressungsmittel darstellt.

Global

Wed, 04 Jun 2025 00:00:00 +0200

Überblick

GLOBAL GROUP ist eine als Ransomware-as-a-Service betriebene Erpresser-Operation, die Berichten zufolge von einem bekannten russischsprachigen Bedrohungsakteur ins Leben gerufen wurde. Die Gruppe stellt ihre Schadsoftware und Infrastruktur Partnern (Affiliates) zur Verfügung, die die eigentlichen Angriffe durchführen. Ein hervorstechendes Merkmal ist der Einsatz künstlicher Intelligenz bei den Lösegeldverhandlungen, mit der die Kommunikation mit den Opfern automatisiert und gesteuert wird. Zusätzlich stellt GLOBAL GROUP ihren Partnern eine mobile Steuerungskonsole bereit, über die sich die Erpressungskampagnen auch von unterwegs verwalten lassen. Ihre Angriffe richten sich gezielt gegen Einrichtungen des Gesundheitswesens, der Öl- und Gasindustrie, des industriellen Anlagen- und Maschinenbaus sowie der Automobilbranche. Die Kombination aus dienstleistungsorientiertem Geschäftsmodell, KI-gestützter Verhandlungsführung und mobiler Affiliate-Verwaltung kennzeichnet die Arbeitsweise dieser Gruppe und senkt die Einstiegshürde für die beteiligten Partner.

Direwolf

Tue, 27 May 2025 00:00:00 +0200

Überblick

Dire Wolf ist eine technisch versierte, von Menschen gesteuerte Ransomware-Gruppe. Ihre Schadsoftware ist in der Programmiersprache Golang geschrieben und verschlüsselt die Daten der Opfer mithilfe der kryptografischen Verfahren Curve25519 und ChaCha20. Im Gegensatz zu vielen anderen Ransomware-Operationen, die auf ein breites Partnerprogramm mit zahlreichen Affiliates setzen, wird Dire Wolf von einem kleinen, eng zusammenarbeitenden Kernteam betrieben. Die Angriffe richten sich nicht wahllos gegen beliebige Ziele, sondern konzentrieren sich schwerpunktmäßig auf Einrichtungen aus dem produzierenden Gewerbe sowie auf Unternehmen der Technologiebranche. Die Gruppe ist international ausgerichtet und hat Opfer in Einrichtungen unterschiedlicher Regionen und Länder. Die Vorgehensweise ist als menschengesteuert einzustufen, das heißt, die Angreifer bewegen sich gezielt und manuell in den kompromittierten Netzwerken, statt sich allein auf automatisierte Schadroutinen zu verlassen. In Kombination mit der eingesetzten Verschlüsselungstechnik macht dies Dire Wolf zu einem strukturiert agierenden Akteur im Bereich der Erpressungssoftware.

Datacarry

Mon, 26 May 2025 00:00:00 +0200

Überblick

DataCarry ist eine Operation aus dem Bereich Ransomware und Datenerpressung, die nach einem Modell der doppelten Erpressung (Double Extortion) vorgeht. Dabei werden die Daten der Betroffenen nicht nur verschlüsselt, sondern zuvor entwendet, um zusätzlichen Druck aufzubauen. Zur Veröffentlichung beziehungsweise Androhung der Veröffentlichung erbeuteter Daten betreibt die Gruppe ein über das Tor-Netzwerk erreichbares Leak-Portal, auf dem sie sich zu ihren Opfern bekennt. Die Angriffe richten sich gegen Einrichtungen unterschiedlicher Branchen, darunter Versicherungswesen, Gesundheitswesen, Luft- und Raumfahrt, der Rechtssektor sowie der Einzelhandel. Betroffen sind Organisationen in mehreren Ländern, sodass sich das Vorgehen nicht auf eine einzelne Region beschränkt. Charakteristisch für DataCarry ist somit die Kombination aus Verschlüsselung und Datendiebstahl in Verbindung mit einer eigenen, im Tor-Netzwerk gehosteten Veröffentlichungsplattform, über die der Erpressungsdruck gegenüber den geschädigten Einrichtungen aufrechterhalten wird.

Worldleaks

Sun, 18 May 2025 00:00:00 +0200

Überblick

World Leaks ging aus der Ransomware-Operation Hunters International hervor und stellt deren Neuformierung unter geändertem Namen dar. Mit dem Übergang verschob die Gruppe ihren Schwerpunkt: Anstatt Dateien auf den Systemen der Opfer zu verschlüsseln, konzentriert sie sich ausschließlich auf den Diebstahl sensibler Daten. Das erbeutete Material dient als Druckmittel — die Gruppe droht damit, die entwendeten Informationen zu veröffentlichen, sofern kein Lösegeld gezahlt wird. Damit folgt World Leaks einem reinen Erpressungsmodell ohne Verschlüsselungskomponente, bei dem allein die angedrohte Offenlegung gestohlener Daten den Hebel zur Erpressung bildet. Der Ansatz unterscheidet sich vom klassischen Vorgehen verschlüsselnder Ransomware-Gruppen und stellt eine bewusste strategische Ausrichtung der vormals als Hunters International bekannten Operation dar.

Blacklock

Fri, 16 May 2025 00:00:00 +0200

Überblick

BlackLock ist eine Erpressergruppe, die aus einer umbenannten Vorgängergruppe namens Eldorado hervorgegangen ist. Es handelt sich somit nicht um einen vollständig neuen Akteur, sondern um eine Neuausrichtung einer bereits zuvor aktiven Ransomware-Operation unter geändertem Namen. Seit ihrer Umbenennung hat sich BlackLock zu einem der aktivsten Erpressungssyndikate entwickelt und tritt mit hoher Schlagzahl in Erscheinung. Charakteristisch für die Gruppe ist ihr ausgeprägter Fokus auf bestimmte Wirtschaftszweige: Im Zentrum ihrer Angriffe stehen Unternehmen aus den Bereichen Technologie, Fertigung und Baugewerbe sowie aus dem Finanz- und Einzelhandelssektor. Diese Branchenbreite zeigt, dass BlackLock nicht auf ein einzelnes Marktsegment beschränkt ist, sondern Einrichtungen unterschiedlicher Wirtschaftsbereiche ins Visier nimmt. Die Kontinuität zur Vorgängergruppe Eldorado deutet darauf hin, dass bestehende Strukturen, Erfahrungen und Vorgehensweisen unter dem neuen Namen fortgeführt werden. Damit reiht sich BlackLock in das Umfeld professionell agierender Erpressergruppen ein, die durch wiederholte Angriffe auf wirtschaftlich relevante Ziele auffallen.

SilentRansomGroup

Tue, 06 May 2025 00:00:00 +0200

Überblick

Bei der Silent Ransom Group, die auch unter dem Aliasnamen „leakeddata“ auftritt, handelt es sich nach den vorliegenden Angaben um eine Gruppierung, die aus einem ehemaligen Team der Conti-Bande hervorgegangen ist. Sie steht damit in der Tradition einer der bekanntesten Ransomware-Operationen und führt deren personelle Wurzeln fort. Über die konkrete Vorgehensweise, die bevorzugten Ziele oder die eingesetzten Mittel dieser Gruppe lassen sich aus den vorliegenden Quellen keine belastbaren Aussagen ableiten. Erkennbar ist allein die Herkunft aus dem Umfeld der früheren Conti-Strukturen, was auf entsprechende Erfahrung und etablierte Arbeitsweisen aus diesem Umfeld hindeutet.

J

Fri, 02 May 2025 00:00:00 +0200

Überblick

Bei „J“ handelt es sich um eine noch junge Ransomware-Gruppierung, die mit dem Start einer eigenen Leak-Site in Erscheinung trat. Ihr öffentliches Auftreten ist stark auf diese Leak-Site ausgerichtet: Die Gruppe versteht sich in erster Linie als erpresserische Veröffentlichungsidentität, die erbeutete Daten betroffener Organisationen auf ihrer Plattform listet und mit deren Offenlegung Druck aufbaut. Bislang liegt nur eine begrenzte öffentliche technische Analyse zu „J“ vor, sodass über die konkrete Vorgehensweise bei Einbruch, Ausbreitung und Verschlüsselung wenig belastbar bekannt ist. Zu den Betroffenen zählen Einrichtungen unterschiedlicher Branchen und Regionen, darunter auch der Luftfahrtsektor im deutschsprachigen Raum. Die Gruppe ist über einen längeren Zeitraum aktiv und hat bereits zahlreiche Opfer für sich reklamiert. Charakteristisch ist somit weniger ein dokumentiertes technisches Werkzeugarsenal als vielmehr das auf die Leak-Site gestützte Geschäftsmodell der Erpressung durch angedrohte Datenveröffentlichung.

Nova

Mon, 28 Apr 2025 00:00:00 +0200

Überblick

Bei Nova handelt es sich um eine Gruppe, die nach dem Modell Ransomware-as-a-Service (RaaS) arbeitet und zuvor unter der Bezeichnung „RALord“ auftrat. Im Rahmen dieses Modells stellt die Gruppe ihre Schadsoftware und die zugehörige Infrastruktur bereit, sodass die eigentlichen Angriffe auch durch Partner ausgeführt werden können. Charakteristisch für Nova ist die Verschlüsselung der Dateien betroffener Organisationen, mit der die Verfügbarkeit der Daten unterbunden und so der Druck zur Zahlung aufgebaut wird. Darüber hinaus setzt die Gruppe auf die Methode der doppelten Erpressung („Double Extortion“): Neben der Verschlüsselung werden Daten der Geschädigten entwendet, und es wird mit deren Veröffentlichung gedroht. Auf diese Weise sollen die angegriffenen Einrichtungen gleich auf zwei Wegen zur Zahlung bewegt werden — einerseits für die Wiederherstellung der verschlüsselten Daten, andererseits für das Stillschweigen über die zuvor abgegriffenen Informationen. Die Umbenennung von „RALord“ zu Nova verweist auf eine Fortführung der Aktivitäten unter neuem Namen.

Gunra

Wed, 23 Apr 2025 00:00:00 +0200

Überblick

Gunra ist eine finanziell motivierte Ransomware-Gruppe, die nach dem Prinzip der doppelten Erpressung (Double Extortion) vorgeht: Sie verschlüsselt nicht nur die Daten ihrer Opfer, sondern entwendet diese zuvor, um mit deren Veröffentlichung zusätzlichen Druck zur Lösegeldzahlung aufzubauen. Im Visier der Gruppe stehen Einrichtungen unterschiedlicher Branchen, darunter der Immobiliensektor, die Pharmaindustrie sowie das verarbeitende Gewerbe. Betroffen sind Organisationen in mehreren Weltregionen, unter anderem in Ostasien, Nordafrika, Mittel- und Südamerika sowie in Südeuropa, was auf ein international ausgerichtetes Vorgehen ohne enge geografische Beschränkung hindeutet. Charakteristisch für Gunra ist der Einsatz getrennter Schadprogramm-Varianten für Windows- und Linux-Systeme, wodurch die Gruppe sowohl klassische Arbeitsplatz- und Server-Umgebungen als auch Linux-basierte Infrastrukturen angreifen kann. Den betroffenen Organisationen wird eine eng bemessene Zahlungsfrist gesetzt, um die Bereitschaft zur raschen Lösegeldzahlung zu erhöhen. Insgesamt tritt Gunra als gezielt agierender, gewinnorientierter Erpressungsakteur mit plattformübergreifender Ausrichtung in Erscheinung.

Crypto24

Tue, 08 Apr 2025 00:00:00 +0200

Überblick

Crypto24 ist eine als Ransomware-as-a-Service betriebene Bedrohungsgruppe, die im Untergrundforum RAMP in Erscheinung trat und sich seither aktiv zeigt. Die Gruppe verfolgt einen Ansatz der doppelten Erpressung: Sie verschlüsselt nicht nur die Systeme der betroffenen Organisationen, sondern entwendet zuvor Daten, um zusätzlichen Druck durch die angedrohte Veröffentlichung aufzubauen. Im Visier stehen vornehmlich große Organisationen, darunter Einrichtungen aus dem Finanzwesen, dem Gesundheitssektor, der Fertigungsindustrie sowie der Technologiebranche. Geografisch erstreckt sich die Aktivität der Gruppe über mehrere Regionen, namentlich Asien, Europa und Nordamerika. Charakteristisch für Crypto24 ist die gezielte Ausrichtung auf umsatzstarke und ressourcenintensive Ziele, von denen sich höhere Erpressungseinnahmen erwarten lassen, statt einer breiten, ungezielten Streuung. Die Kombination aus dem Dienstleistungsmodell, der Branchenbreite der betroffenen Sektoren und dem zweistufigen Erpressungsdruck kennzeichnet das Vorgehen dieser Gruppe.

Devman

Sun, 06 Apr 2025 00:00:00 +0200

Überblick

Bei „devman“ – auch unter dem Alias „Devman 2.0“ geführt – handelt es sich um einen Ransomware-Akteur, der zuvor als Affiliate für die Ransomware-Operationen RansomHub und INC Ransom tätig war. Aus dieser Affiliate-Vergangenheit erklärt sich ein erfahrenes Vorgehen, das auf bewährte Methoden der Erstkompromittierung, der seitlichen Ausbreitung und der abschließenden Verschlüsselung setzt. Charakteristisch ist der Einsatz einer eigenen Verschlüsselungsroutine, die betroffene Dateien mit der Endung „.devman“ versieht, sowie das flächige Ausbringen einer Erpressernachricht in Form der Datei „ransom.txt“ auf den infizierten Systemen. Die Tarnung der Schadkomponente unter einem unverdächtigen Namen weist auf das Bestreben hin, die Aktivitäten möglichst lange unentdeckt zu halten. Insgesamt zeigt sich ein Akteur, der die im Affiliate-Umfeld erworbenen Fähigkeiten für eigenständige Angriffe nutzt und dabei sowohl auf den Missbrauch gültiger Zugangsdaten als auch auf die Ausnutzung bekannter Schwachstellen zurückgreift.

Chaos

Mon, 31 Mar 2025 00:00:00 +0200

Überblick

Chaos ist eine als Ransomware-as-a-Service betriebene Operation, die ihren kriminellen Partnern eine plattformübergreifende Verschlüsselungssoftware bereitstellt. Die Schadprogramme richten sich gegen Windows, Linux, VMware ESXi sowie NAS-Systeme, wodurch die Gruppe ein breites Spektrum an Betriebsumgebungen abdecken kann. Nach vorliegenden Einschätzungen dürfte Chaos von ehemaligen Mitgliedern der Gruppierungen BlackSuit und Royal gegründet worden sein, was auf entsprechende Erfahrung im Umfeld großer Ransomware-Kampagnen hindeutet. Die Anwerbung der beteiligten Akteure erfolgt über das im Darknet betriebene Forum RAMP. Bei der Auswahl ihrer Ziele legt die Operation bestimmte Selbstbeschränkungen an: Einrichtungen in den Staaten des CIS- und des BRICS-Raums sowie Krankenhäuser werden den Angaben zufolge bewusst von Angriffen ausgenommen. Im Übrigen kann die plattformübergreifende Ausrichtung Einrichtungen unterschiedlicher Branchen und Regionen treffen. Charakteristisch für Chaos ist das arbeitsteilige Partnermodell, bei dem die Kernentwickler die Schadsoftware bereitstellen und externe Akteure die eigentlichen Angriffe ausführen.

Ralord

Wed, 26 Mar 2025 00:00:00 +0100

Überblick

RALord ist eine Ransomware-Gruppe, die innerhalb der RaaS-Plattform NOVA operiert. Sie tritt als Anbieter eines Ransomware-as-a-Service-Modells auf, bei dem Partner (Affiliates) die eigentlichen Angriffe durchführen und die erbeuteten Erlöse nach einem festen Verteilungsschlüssel zwischen der Kerngruppe und ihren Partnern aufgeteilt werden. Im Mittelpunkt ihres Vorgehens steht eine in der Programmiersprache Rust entwickelte Schadsoftware, die zur Verschlüsselung der Zielsysteme eingesetzt wird. Die Gruppe richtet ihre Angriffe gegen Einrichtungen unterschiedlicher Branchen, darunter das Gesundheitswesen, den Bildungssektor, das Gastgewerbe sowie die IT-Branche, und ist dabei über mehrere Kontinente hinweg aktiv. Charakteristisch für RALord ist die enge Anbindung an die NOVA-Plattform: Im weiteren Verlauf trat die Gruppe unter der Bezeichnung „Nova“ auf und vollzog damit eine Umbenennung, die ihre Verbindung zu dieser Infrastruktur unterstreicht. Die Nutzung eines Rust-basierten Schadprogramms in Kombination mit dem partnergestützten Geschäftsmodell kennzeichnet die Arbeitsweise dieser Gruppe.

Nightspire

Wed, 12 Mar 2025 00:00:00 +0100

Überblick

NightSpire ist eine Ransomware-Gruppe, die sich in vergleichsweise kurzer Zeit als ernstzunehmender Akteur etabliert hat. Die Gruppe verfolgt ein aggressives Modell der doppelten Erpressung: Sie verschlüsselt nicht nur die Systeme ihrer Opfer, sondern entwendet zuvor sensible Daten und droht mit deren Veröffentlichung, um den Druck auf die Betroffenen zu erhöhen. Charakteristisch sind die ausgesprochen knapp bemessenen Zahlungsfristen, mit denen die Gruppe ihre Forderungen durchsetzt. NightSpire agiert branchenübergreifend und nimmt Einrichtungen aus dem Handel, der Fertigung, dem Gesundheits- und Finanzwesen sowie dem Bildungssektor ins Visier; ihre Aktivität erstreckt sich über zahlreiche Opfer in mehreren Regionen. Technisch setzt die Gruppe auf eine eigenentwickelte, in Go geschriebene Schadsoftware mit modularem Aufbau, die gezielt auf Windows-Umgebungen ausgerichtet ist und verschlüsselte Dateien mit der Endung „.nspire“ kennzeichnet. Insgesamt zeigt sich NightSpire als professionell organisierter Akteur mit einer durchgängig strukturierten Angriffskette.

Weyhro

Thu, 06 Mar 2025 00:00:00 +0100

Überblick

Bei Weyhro handelt es sich um eine Gruppierung, die auf Daten-Erpressung setzt: Sie stiehlt Daten ihrer Opfer und droht mit deren Veröffentlichung, verzichtet dabei jedoch auf eine Verschlüsselung der betroffenen Dateien. Zur Umsetzung dieses Erpressungsmodells betreibt die Gruppe eine eigene Leak-Site im Tor-Netzwerk, über die der Druck auf die Opfer aufgebaut und gestohlenes Material angedroht beziehungsweise offengelegt wird. Ihr Vorgehen unterscheidet sich damit von klassischer Ransomware, da nicht die Betriebsfähigkeit durch Verschlüsselung lahmgelegt, sondern allein mit der Preisgabe sensibler Informationen gedroht wird. Im Fokus ihrer Angriffe stehen Einrichtungen aus der Fertigungsindustrie, dem Bereich der Finanzdienstleistungen sowie der Immobilienwirtschaft. Betroffen sind dabei Opfer in Regionen Nordamerikas und Europas. Charakteristisch für Weyhro ist somit die Konzentration auf reine Daten-Erpressung ohne Verschlüsselungskomponente, kombiniert mit einer auf bestimmte Wirtschaftszweige ausgerichteten Opferauswahl.

Anubis

Tue, 25 Feb 2025 00:00:00 +0100

Überblick

Anubis ist eine nach dem Ransomware-as-a-Service-Modell organisierte Gruppierung. Sie stellt Partnern ihre Schadsoftware zur Verfügung und beteiligt diese am erpressten Lösegeld, wobei ein flexibles Modell zur Aufteilung der Einnahmen angeboten wird. Damit senkt die Gruppe die Einstiegshürde für angeschlossene Akteure und vergrößert ihre Reichweite. Im Fokus der Angriffe stehen vor allem das Gesundheitswesen sowie Einrichtungen aus dem Ingenieurwesen, dem Bauwesen und dem Bereich der professionellen Dienstleistungen. Charakteristisch für Anubis ist, dass die Schadsoftware nicht nur die klassische Verschlüsselung der Daten beherrscht, sondern den Partnern zusätzlich einen optionalen, zerstörerischen Modus zur unwiederbringlichen Löschung von Daten bereitstellt. Dieser sogenannte „Wipe-Modus“ erhöht den Druck auf die betroffenen Organisationen erheblich, da er die Wiederherstellung der Daten selbst nach einer etwaigen Zahlung verhindern kann. Anubis kombiniert auf diese Weise finanzielle Erpressung mit der glaubhaften Drohung einer endgültigen Datenvernichtung.

Kraken

Sun, 09 Feb 2025 00:00:00 +0100

Überblick

Kraken ist eine russischsprachige Ransomware-Gruppe, die nach einem Modell „Ransomware as a Service“ (RaaS) arbeitet und ihre Schadsoftware damit auch an Partner zur Durchführung von Angriffen weitergibt. Sicherheitsforscher vermuten Verbindungen zur Ransomware-Operation HelloKitty, was auf personelle oder technische Überschneidungen mit der bestehenden Erpressungsszene hindeutet. Ein auffälliges Merkmal von Kraken ist ein vorgeschalteter Benchmarking-Schritt: Vor der eigentlichen Verschlüsselung misst die Schadsoftware die Leistungsfähigkeit des befallenen Rechners, um den Verschlüsselungsvorgang gezielt darauf abzustimmen und zu optimieren. Damit lässt sich die Verschlüsselung effizienter und schneller auf der jeweiligen Opfermaschine ausführen. Über ihre kriminellen Aktivitäten hinaus hat die Gruppe ein eigenes Untergrundforum für die Cyberkriminalitätsszene mit der Bezeichnung „The Last Haven Board“ ins Leben gerufen und tritt damit auch als Betreiberin einer Plattform für den Austausch innerhalb der kriminellen Szene in Erscheinung.