Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 1284 Tage inaktiv Ransomware-Gruppe · Profil

Quantum

68Opfer gesamt
0Opfer (30 Tage)
09.09.2021Erstes Auftreten
InaktivStatus

Überblick

Quantum war eine als Ransomware-as-a-Service betriebene Erpressergruppe, die aus der Linie von MountLocker, AstroLocker und XingLocker hervorging und damit eine Umbenennung dieser Vorgängergruppen darstellte. Kennzeichnend für Quantum war das außergewöhnlich hohe Tempo der Angriffe: Von der ersten Kompromittierung bis zur Verschlüsselung der Zielsysteme verging nur ein sehr kurzer Zeitraum, was den betroffenen Einrichtungen kaum Gelegenheit zur Reaktion ließ. Im Rahmen des RaaS-Modells stellte die Gruppe ihre Schadsoftware und Infrastruktur weiteren Akteuren bereit. Die geforderten Lösegelder bewegten sich in einer breiten Spanne und konnten erhebliche Höhen erreichen. Quantum verband eine eingespielte Angriffskette mit etablierten Werkzeugen, um Netzwerke rasch zu durchdringen, Daten zu entwenden und die Verschlüsselung durchzuführen. Betroffen waren Opfer unterschiedlicher Branchen, die durch die kompakten Angriffsabläufe besonders unter Druck gesetzt wurden.

Taktiken & Vorgehen

Für die Angriffe setzte Quantum auf ein breites Arsenal etablierter Werkzeuge. Zur Erkundung des Netzwerks und zum Sammeln von Verzeichnisinformationen kamen AdFind sowie WMIC zum Einsatz. Zum Abgreifen von Zugangsdaten nutzte die Gruppe Mimikatz und ProcDump. Für die seitliche Bewegung und Fernsteuerung im kompromittierten Netz wurden Cobalt Strike, PsExec sowie legitime Fernwartungswerkzeuge wie AnyDesk, Atera, Splashtop, RSAT und die Remoteverwaltungsfunktionen missbraucht. Die Exfiltration der Daten erfolgte über Werkzeuge wie RClone, MEGA und vergleichbare Übertragungsdienste, bevor die eigentliche Verschlüsselung ausgelöst wurde. Diese Kombination ermöglichte die für Quantum typischen, sehr schnell ablaufenden Angriffe.

Schutzmaßnahmen

Der Einsatz von Fernwartungswerkzeugen wie AnyDesk, Atera und Splashtop sowie der Remoteverwaltung über RSAT sollte streng reglementiert und auf nicht autorisierte Installationen hin überwacht werden. Die Verwendung von PsExec, WMIC und Cobalt Strike im Netzwerk sollte durch Endpunktüberwachung erkannt und alarmiert werden. Gegen das Abgreifen von Zugangsdaten mit Mimikatz und ProcDump sollte der Zugriff auf den Speicher privilegierter Prozesse eingeschränkt und überwacht werden. Ausgehende Datenübertragungen zu Diensten wie MEGA sowie der Einsatz von RClone sollten auf Netzwerkebene erkannt und unterbunden werden, um eine Exfiltration vor der Verschlüsselung zu verhindern.

Chronologie

  1. 09.09.2021 Erste bekannte Aktivität
  2. 09.12.2022 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.