Wie Cyberkartelle mit neuen Ransomware-Modellen den Markt aufmischen

Ursprünglich startete DragonForce im August 2023 als klassisches Ransomware-as-a-Service-Modell. Bis Anfang 2024 bewegte sich die Gruppe in bekannten Mustern: Bereitstellung von Schadsoftware, Infrastruktur und Support für sogenannte Affiliates, also Partner, die für Angriffe verantwortlich sind. Doch im Februar 2024 begann die Gruppe, sich öffentlich in Untergrundforen zu vermarkten. Die Folge: Ein sprunghafter Anstieg der Opferzahlen – bis Ende März 2025 wurden 136 betroffene Unternehmen auf der zugehörigen Leak-Seite gelistet.

Dann erfolgte die entscheidende Kehrtwende. In einem Beitrag vom 19. März 2025 kündigte DragonForce an, sich künftig als Kartell zu verstehen. Das neue Modell basiert auf Dezentralisierung: Affiliates sollen nun eigene Marken entwickeln können, gestützt auf die Infrastruktur von DragonForce. Die bereitgestellten Werkzeuge sind umfassend: Neben Verschlüsselungstools und einer Leak-Seite im Tor-Netzwerk gehören auch Verwaltungs- und Verhandlungspanels sowie Supportdienste zum Portfolio.

Der Clou: Affiliates müssen nicht zwingend die hauseigene Ransomware nutzen. Damit richtet sich das Angebot an ein breites Spektrum – von technisch wenig versierten Angreifern bis hin zu erfahrenen Akteuren, die eigene Malware einsetzen möchten, aber keine eigene Infrastruktur aufbauen wollen. Die Kehrseite dieses Systems liegt auf der Hand: Wird ein Affiliate kompromittiert, könnten Informationen anderer Gruppenmitglieder ebenfalls offengelegt werden.

Anubis: Drei Wege zur Erpressung

Die Ransomware-Gruppe Anubis, die seit Februar 2025 aktiv beworben wird, setzt auf ein flexibles Modell mit drei klar definierten Erpressungsvarianten:

• Klassisches Ransomware-as-a-Service: Dateien werden verschlüsselt, Affiliates erhalten achtzig Prozent des Lösegelds.
• Datenbasierte Erpressung: Es wird nur mit dem Diebstahl sensibler Daten gedroht, der Affiliate-Anteil liegt bei sechzig Prozent.
• Monetarisierung von Zugriffen: Affiliates nutzen bereits kompromittierte Zugänge zur weiteren Erpressung, mit fünfzig Prozent Beteiligung.

Insbesondere die datenbasierte Erpressung offenbart eine neue Qualität. Hier wird ein detaillierter Artikel erstellt, der die gestohlenen Daten analysiert – passwortgeschützt auf einer Tor-Seite. Das Opfer erhält Zugang sowie die Möglichkeit zur Verhandlung. Erfolgt keine Zahlung, droht die Veröffentlichung auf der Anubis-Leak-Seite und über soziale Kanäle. Zusätzlich gehen die Täter noch einen Schritt weiter: Sie kündigen an, sensible Vorfälle aktiv an Regulierungsbehörden zu melden – darunter das britische ICO, das US-Gesundheitsministerium sowie die Europäische Datenschutzbehörde.

Diese Eskalationstaktik ist nicht völlig neu, aber äußerst selten. Ein ähnlicher Fall wurde im November 2023 bekannt, als eine andere Gruppe einen Vorfall an die US-Börsenaufsicht meldete. Weitere dokumentierte Beispiele fehlen bislang.

Im dritten Modell, der Monetarisierung bestehender Zugänge, erhalten Affiliates gezielte Analysen zur Unterstützung bei der Erpressung. Auch hier zeigt sich: Anubis professionalisiert das Geschäft, optimiert Prozesse und minimiert Streuverluste.

Zielauswahl mit Grenzen

Wie viele andere Gruppen vermeidet auch Anubis gezielt Angriffe auf Organisationen in bestimmten Ländern – insbesondere in postsowjetischen Staaten und Mitgliedern der BRICS-Allianz. Ebenfalls tabu sind Bildungseinrichtungen, Regierungsstellen und gemeinnützige Organisationen. Auffällig hingegen: Gesundheitsorganisationen tauchen nicht in dieser Liste auf – ein beunruhigendes Signal, da sie offenbar als lohnendes Ziel gelten.

Der größere Kontext: Anpassung statt Rückzug

Der aktuelle „State of the Threat“-Bericht von Secureworks zeigt: Zwar haben Strafverfolgungsmaßnahmen einige Operationen erheblich gestört, doch Cyberkriminelle reagieren nicht mit Rückzug, sondern mit Innovation. Zwar scheinen Lösegeldzahlungen laut Berichten tendenziell zurückzugehen, doch gleichzeitig steigt die Zahl der veröffentlichten Opfer auf Leak-Seiten – ein Zeichen dafür, dass Täter verstärkt auf öffentliche Bloßstellung als Druckmittel setzen.

Während Organisationen individuell über eine Lösegeldzahlung entscheiden müssen, gilt: Eine Zahlung ist keine Garantie für die Rückgabe gestohlener Daten oder Schutz vor Veröffentlichung. Daher raten Experten zu einem robusten, präventiven Ansatz. Dazu zählen:

• Konsequente Installation von Sicherheitsupdates für alle internetfähigen Geräte
• Einsatz phishing-resistenter Multi-Faktor-Authentifizierung
• Erstellung und sichere Verwahrung belastbarer Backups
• Permanente Überwachung des Netzwerks und der Endgeräte auf verdächtige Aktivitäten
• Entwicklung und regelmäßige Erprobung eines Notfallplans für Cybervorfälle

Ausblick: Kartellstrukturen in der Cyberkriminalität

DragonForce und Anubis stehen exemplarisch für einen neuen Trend: Die Professionalisierung und Dezentralisierung der Ransomware-Szene. Statt abgeschotteter Einzeloperationen entstehen zunehmend Plattformen und Kartellstrukturen, die standardisierte Werkzeuge, Support und Monetarisierungsoptionen bereitstellen. Diese Entwicklung verschärft nicht nur das Bedrohungspotenzial – sie erschwert auch die Bekämpfung. Für Unternehmen bedeutet das vor allem eines: Wer nicht rechtzeitig in Prävention investiert, zahlt im Ernstfall doppelt.