Trotz erfolgreicher internationaler Strafverfolgungsmaßnahmen gegen prominente Ransomware-Gruppen zeigen Cyberkriminelle weiterhin Widerstandsfähigkeit und Anpassungsfähigkeit. Im Jahr 2025 beobachteten die Forscher der Counter Threat Unit (CTU) von Secureworks, dass die Ransomware-Betreiber DragonForce und Anubis neue Modelle einführten, um Affiliates zu gewinnen und Gewinne zu steigern.
DragonForce: Verteiltes Affiliate-Branding-Modell
DragonForce entstand im August 2023 als traditionelles Ransomware-as-a-Service (RaaS)-Modell. Nachdem die Betreiber im Februar 2024 begannen, ihr Angebot in Untergrundforen zu bewerben, stieg die Zahl der Opfer auf der zugehörigen Leak-Seite bis zum 24. März 2025 auf 136. In einem Beitrag vom 19. März 2025 kündigte DragonForce seine Neupositionierung als „Kartell“ an und stellte den Wechsel zu einem verteilten Modell vor, das es sogenannten Affiliates ermöglicht, ihre eigenen „Marken“ zu kreieren.
In diesem Modell stellt DragonForce seine Infrastruktur und Werkzeuge bereit, verlangt jedoch nicht, dass Affiliates zwingend deren Ransomware einsetzen. Beworbene Funktionen umfassen Verwaltungs- und Kundenpanels, Verschlüsselungs- und Lösegeldverhandlungs-Tools, ein Dateispeichersystem, eine auf Tor basierende Leak-Seite mit .onion-Domain sowie Supportdienste.
Dieser Ansatz unterscheidet DragonForce von anderen RaaS-Angeboten und könnte eine breitere Affiliate-Basis ansprechen – von technisch weniger versierten Bedrohungsakteuren bis hin zu erfahrenen Kriminellen, die ihre eigene Malware einsetzen möchten, ohne selbst Infrastruktur aufbauen zu müssen. Gleichzeitig birgt das geteilte System Risiken: Wird ein Affiliate kompromittiert, könnten auch Informationen anderer Affiliates offengelegt werden.
Anubis: Drei Erpressungsoptionen
Die Betreiber von Anubis nutzen eine andere Taktik zur Anwerbung von Affiliates. Dieses im Februar 2025 erstmals in Untergrundforen beworbene Erpressungsschema bietet drei Modi:
RaaS
traditionelle Dateiverschlüsselung mit 80 Prozent Lösegeldanteil für Affiliates
Daten-Lösegeld
Erpressung nur durch Datendiebstahl mit 60 Prozent Lösegeldanteil für Affiliates
Monetarisierung von Zugriffen
Unterstützung bei der Erpressung bereits kompromittierter Opfer mit 50 Prozent Lösegeldanteil für Affiliates
Bei der Option „Daten-Lösegeld“ wird ein detaillierter „Untersuchungsartikel“ auf einer passwortgeschützten Tor-Website veröffentlicht, der die Analyse sensibler Daten des Opfers enthält. Das Opfer erhält Zugriff und einen Link zur Lösegeldverhandlung. Falls keine Zahlung erfolgt, wird mit der Veröffentlichung des Artikels auf der Anubis-Leak-Seite gedroht. Zusätzlich wird der Name des Opfers über ein X-Konto (ehemals Twitter) veröffentlicht. Die Täter drohen darüber hinaus, die Kunden des Opfers über den Vorfall zu informieren.
Anubis geht sogar noch weiter. Laut Werbung sollen Vorfälle an folgende Behörden gemeldet werden: das britische Information Commissioner’s Office (ICO), US-Gesundheitsministerium (HHS), Europäische Datenschutzbehörde (EDPB)
Diese Eskalationstaktik ist zwar recht selten, hat jedoch Präzedenzfälle: Im November 2023 meldete die Bedrohungsgruppe GOLD BLAZER einen ALPHV-Angriff (auch als BlackCat bekannt) an die US-Börsenaufsicht SEC, nachdem das Opfer das Lösegeld nicht bezahlt hatte. Den Forschern sind keine weiteren Fälle bekannt, in denen andere Gruppen Vorfälle an Regulierungsbehörden gemeldet hätten.
Die Option „Monetarisierung von Zugriffen“ konzentriert sich auf Aktivitäten nach der Kompromittierung. Affiliates erhalten eine Analyse der Opferdaten zur Unterstützung bei der Lösegeldforderung.
In der Werbung wird angegeben, dass bestimmte Regionen und Sektoren ausgeschlossen sind. Wie viele Ransomware-Gruppen vermeidet Anubis Angriffe auf Organisationen in post-sowjetischen Staaten sowie auf Mitglieder der BRICS-Staaten (Brasilien, Russland, Indien, China, Südafrika, Ägypten, Äthiopien, Indonesien, Iran und Vereinigte Arabische Emirate). Auch Bildungseinrichtungen, Regierungsstellen und gemeinnützige Organisationen sind ausgenommen – Gesundheitsorganisationen werden allerdings nicht erwähnt, was sie als lohnendes Ziel erscheinen lässt.
Ausblick: Erhebliche Bedrohung durch Ransomware
Der 2024 State of the Threat Report von Secureworks bestätigt, dass Ransomware weiterhin eine erhebliche Bedrohung für Organisationen darstellt. Auch wenn die Strafverfolgung erfolgreich Operationen stört, entstehen neue Modelle. Berichte von Dritten zeigen zwar, dass Lösegeldzahlungen rückläufig sind, was sich durch eine steigende Anzahl von Opfern auf Leak-Seiten belegen lässt. Da Cyberkriminelle jedoch finanzielle Gewinne anstreben, experimentieren sie mit innovativen Modellen und aggressiveren Taktiken.
Kommentare