Ransomware-Gruppen entwickeln Affiliate-Modelle weiter
Sophos Technology GmbH

Ransomware-Gruppen entwickeln Affiliate-Modelle weiter

ID: 2167412

DragonForce und Anubis führen innovative Ansätze zur Erweiterung ihrer Aktivitäten ein und sehen sich selbst als Kartell.



(PresseBox) - Trotz erfolgreicher internationaler Strafverfolgungsmaßnahmen gegen prominente Ransomware-Gruppen zeigen Cyberkriminelle weiterhin Widerstandsfähigkeit und Anpassungsfähigkeit. Im Jahr 2025 beobachteten die Forscher der Counter Threat Unit (CTU) von Secureworks, ein Sophos-Unternehmen, dass die Ransomware-Betreiber DragonForce und Anubis neue Modelle einführten, um Affiliates zu gewinnen und Gewinne zu steigern.

DragonForce: Verteiltes Affiliate-Branding-Modell

DragonForce entstand im August 2023 als traditionelles Ransomware-as-a-Service (RaaS)-Modell. Nachdem die Betreiber im Februar 2024 begannen, ihr Angebot in Untergrundforen zu bewerben, stieg die Zahl der Opfer auf der zugehörigen Leak-Seite bis zum 24. März 2025 auf 136. In einem Beitrag vom 19. März 2025 kündigte DragonForce seine Neupositionierung als „Kartell“ an und stellte den Wechsel zu einem verteilten Modell vor, das es sogenannten Affiliates ermöglicht, ihre eigenen „Marken“ zu kreieren (siehe Abbildung 1).

In diesem Modell stellt DragonForce seine Infrastruktur und Werkzeuge bereit, verlangt jedoch nicht, dass Affiliates zwingend deren Ransomware einsetzen. Beworbene Funktionen umfassen Verwaltungs- und Kundenpanels, Verschlüsselungs- und Lösegeldverhandlungs-Tools, ein Dateispeichersystem, eine auf Tor basierende Leak-Seite mit .onion-Domain sowie Supportdienste.

Dieser Ansatz unterscheidet DragonForce von anderen RaaS-Angeboten und könnte eine breitere Affiliate-Basis ansprechen – von technisch weniger versierten Bedrohungsakteuren bis hin zu erfahrenen Kriminellen, die ihre eigene Malware einsetzen möchten, ohne selbst Infrastruktur aufbauen zu müssen. Gleichzeitig birgt das geteilte System Risiken: Wird ein Affiliate kompromittiert, könnten auch Informationen anderer Affiliates offengelegt werden.

Anubis: Drei Erpressungsoptionen

Die Betreiber von Anubis nutzen eine andere Taktik zur Anwerbung von Affiliates. Dieses im Februar 2025 erstmals in Untergrundforen beworbene Erpressungsschema bietet drei Modi:



RaaS – traditionelle Dateiverschlüsselung mit 80 Prozent Lösegeldanteil für Affiliates

Daten-Lösegeld – Erpressung nur durch Datendiebstahl mit 60 Prozent Lösegeldanteil für Affiliates

Monetarisierung von Zugriffen – Unterstützung bei der Erpressung bereits kompromittierter Opfer mit 50 Prozent Lösegeldanteil für Affiliates

Bei der Option „Daten-Lösegeld“ wird ein detaillierter „Untersuchungsartikel“ auf einer passwortgeschützten Tor-Website veröffentlicht, der die Analyse sensibler Daten des Opfers enthält. Das Opfer erhält Zugriff und einen Link zur Lösegeldverhandlung. Falls keine Zahlung erfolgt, wird mit der Veröffentlichung des Artikels auf der Anubis-Leak-Seite gedroht. Zusätzlich wird der Name des Opfers über ein X-Konto (ehemals Twitter) veröffentlicht. Die Täter drohen darüber hinaus, die Kunden des Opfers über den Vorfall zu informieren.

Anubis geht sogar noch weiter. Laut Werbung sollen Vorfälle an folgende Behörden gemeldet werden:

Das britische Information Commissioner’s Office (ICO) (Datenschutz und Informationsrechte)

Das US-Gesundheitsministerium (HHS)

Die Europäische Datenschutzbehörde (EDPB)

Diese Eskalationstaktik ist zwar recht selten, hat jedoch Präzedenzfälle: Im November 2023 meldete die Bedrohungsgruppe GOLD BLAZER einen ALPHV-Angriff (auch als BlackCat bekannt) an die US-Börsenaufsicht SEC, nachdem das Opfer das Lösegeld nicht bezahlt hatte. Den Forschern sind keine weiteren Fälle bekannt, in denen andere Gruppen Vorfälle an Regulierungsbehörden gemeldet hätten.

Die Option „Monetarisierung von Zugriffen“ konzentriert sich auf Aktivitäten nach der Kompromittierung. Affiliates erhalten eine Analyse der Opferdaten zur Unterstützung bei der Lösegeldforderung (siehe Abbildung 2).

In der Werbung wird angegeben, dass bestimmte Regionen und Sektoren ausgeschlossen sind. Wie viele Ransomware-Gruppen vermeidet Anubis Angriffe auf Organisationen in post-sowjetischen Staaten sowie auf Mitglieder der BRICS-Staaten (Brasilien, Russland, Indien, China, Südafrika, Ägypten, Äthiopien, Indonesien, Iran und Vereinigte Arabische Emirate). Auch Bildungseinrichtungen, Regierungsstellen und gemeinnützige Organisationen sind ausgenommen – Gesundheitsorganisationen werden allerdings nicht erwähnt, was sie als lohnendes Ziel erscheinen lässt.

Ausblick

Der 2024 State of the Threat Report von Secureworks, ein Sophos-Unternehmen, bestätigt, dass Ransomware weiterhin eine erhebliche Bedrohung für Organisationen darstellt. Auch wenn die Strafverfolgung erfolgreich Operationen stört, entstehen neue Modelle. Berichte von Dritten zeigen zwar, dass Lösegeldzahlungen rückläufig sind, was sich durch eine steigende Anzahl von Opfern auf Leak-Seiten belegen lässt. Da Cyberkriminelle jedoch finanzielle Gewinne anstreben, experimentieren sie mit innovativen Modellen und aggressiveren Taktiken.

Obwohl jede Organisation individuell abwägen muss, ob sie ein Lösegeld zahlt, garantiert eine Zahlung weder die Rückgabe von Daten noch den Schutz vor öffentlicher Bloßstellung. Ein proaktiver präventiver Ansatz kann effektiver sein. Die Cybersecurity-Experten empfehlen Unternehmen, regelmäßig Patches für Geräte mit Internetzugang zu installieren, eine Phishing-resistente Multi-Faktor-Authentifizierung (MFA) als Teil einer Zugangskontrollrichtlinie zu implementieren, robuste Backups zu erstellen und ihr Netzwerk und ihre Endpunkte auf bösartige Aktivitäten zu überwachen. Darüber hinaus sollten Unternehmen einen Reaktionsplan für Vorfälle entwickeln und regelmäßig testen, um Ransomware-Aktivitäten schnell zu beheben zu können.

Weitere Infos zu dieser Pressemeldung:
https://www.pressebox.de/newsroom/sophos-gmbh

Unternehmensinformation / Kurzprofil:
drucken  als PDF  signotec und tellma: Digitale Signaturen für Videokommunikation stp.one übernimmt internationalen SaaS Kanzleisoftwareanbieter Amberlo
Bereitgestellt von Benutzer: PresseBox
Datum: 23.04.2025 - 15:28 Uhr
Sprache: Deutsch
News-ID 2167412
Anzahl Zeichen: 6539

Kontakt-Informationen:
Ansprechpartner: Jörg SchindlerArno LüchtThilo ChristUlrike MasztalerzAriane Wendt
Stadt:

Wiesbaden


Telefon: +49 (721) 25516-263+49 (8081) 954619+49 (8081) 954

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 211 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Ransomware-Gruppen entwickeln Affiliate-Modelle weiter"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Sophos Technology GmbH
Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
signotec und tellma: Digitale Signaturen für Videokommunikation ...
Die tellma GmbH ist ein führender Hersteller von Kiosksystemen und Videoterminals, die in Banken, Versicherungen, Behörden, Energieversorgern und der öffentlichen Verwaltung in Deutschland, Österreich und der Schweiz zum Einsatz kommen. Diese Lösungen ermöglichen eine interaktive Kommunikation

Hohe ERP-Automation von microtech unterstützt GS Workfashion bei rasantem Wachstum ...
Der internationale Welttag für Sicherheit und Gesundheit am Arbeitsplatz, der jedes Jahr am 28. April begangen wird, rückt die Bedeutung von Arbeitsschutz und Sicherheit für Mitarbeiter weltweit in den Fokus. Auch GS Workfashion, ein führender Anbieter von Arbeitskleidung aus Böblingen, setzt s

Scality präsentiert die ARTESCA+ Veeam gemeinsame Software-Appliance ...
Scality präsentiert die ARTESCA+ Veeam gemeinsame Software-Appliance München, Deutschland, 22. April 2025: Scality, ein weltweit führender Anbieter cyber-resilienter Speicherlösungen für das KI-Zeitalter, stellt heute branchenweit die erste, gemeinsame Software-Appliance vor, die in Zusammen

Neue Specops-Analyse: die häufigsten Passwörter bei Angriffen auf RDP-Ports ...
Die neue Analyse von Specops zur Nutzung von kompromittierten Passwörtern für Angriffe auf RDP-Ports zeigt einmal mehr: Cyberangriffe sind oft keine Hightech-Operationen, sondern schlicht Fleißarbeit automatisierter Systeme. Es braucht keine ausgeklügelte Hacking-Strategie, wenn nach wie vor Zug


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z