Die Welt der Cyberkriminalität wandelt sich stetig, und im Schatten der digitalen Infrastruktur entwickeln sich immer neue Bedrohungen, die Unternehmen weltweit in Atem halten. Im Bereich der Ransomware, einer der gefährlichsten Facetten der Cyberangriffe, zeichnet sich 2025 ein signifikanter Wandel ab. Die einst dominierenden Gruppen wie LockBit oder BlackCat sind durch internationale Strafverfolgungsmaßnahmen erheblich geschwächt worden. Doch an ihre Stelle tritt eine neue Generation von Erpresserbanden, die mit innovativen Strategien und technischen Raffinessen die Branche neu gestalten. Das jüngste Beispiel ist die Gang RansomHub, die sich zu einem der mächtigsten Akteure im Bereich Ransomware-as-a-Service (RaaS) entwickelt hat.
Experten von ESET haben die aktuelle Ransomware-Landschaft genau unter die Lupe genommen und erstaunliche Verbindungen zwischen vormals konkurrierenden Gruppen sowie neuartigen Angriffstools aufgedeckt. Dieses Phänomen offenbart nicht nur eine neue Dynamik im Cybercrime, sondern auch komplexe Veränderungen in der operativen Zusammenarbeit und dem Marktverhalten der Erpresser. RansomHub: Ein neuer Player mit alter Erbmasse Die Entstehung von RansomHub erfolgte zeitnah nach den erfolgreichen Aktionen internationaler Strafverfolgungsbehörden gegen die führenden Ransomware-Gruppen LockBit und BlackCat. Diese Interventionen haben deren Aktivitäten weitgehend lahmgelegt, wodurch ein Machtvakuum im RaaS-Segment entstand. RansomHub füllte diese Lücke mit bemerkenswerter Geschwindigkeit und wurde 2024 innerhalb kürzester Zeit zu einer dominierenden Kraft.
Die Strategie der Gang unterscheidet sich in einigen wesentlichen Punkten von ihrem Vorgänger-Clan. Besonders hervorzuheben ist ihr Partnerprogramm, das auf ungewöhnlichem Vertrauen beruht: Partner dürfen sämtliche Lösegeldforderungen selbst behalten, ein freiwilliger Anteil von zehn Prozent an die Entwickler wird erwartet, jedoch nicht zwingend eingefordert. Dieses Modell wirkt auf den ersten Blick ungewohnt, könnte aber für einen stärkeren Anreiz und eine breitere Beteiligung an verteilten Angriffen sorgen. Die ersten Partner wurden im russischsprachigen RAMP-Forum angeworben, wonach binnen Tagen bereits die ersten erfolgreichen Angriffe bekannt wurden. Innovative Angriffsmethoden und die Rolle des EDRKillShifter RansomHub zeichnet sich durch die Entwicklung eigener, maßgeschneiderter Tools aus, was im Sektor der RaaS-Angebote eher eine Ausnahme darstellt.
Im Zentrum steht der EDRKillShifter, ein sogenannter Endpoint Detection & Response (EDR)-Killer, der gezielt Sicherheitssoftware auf den infizierten Systemen ausschaltet. Dies geschieht, indem das Tool eine Schwachstelle im Treibersystem der Zielgeräte ausnutzt, was herkömmlichen Sicherheitslösungen eine effektive Verteidigung erschwert. Unternehmen, die über Produkte von ESET verfügen, profitieren von einem besonderen Schutz gegen diesen Schadcode, doch die allgemeine Bedrohungslage bleibt hoch. Ein weiteres bemerkenswertes Detail ist, dass dieser EDR-Killer mittlerweile nicht nur von RansomHub selbst, sondern auch von anderen bekannten Gruppen wie Play, Medusa und BianLian eingesetzt wird. Diese Überschneidungen in den Werkzeugen werfen ein Licht auf eine nicht vollkommen strikt abgeriegelte Welt der Cyberkriminellen.
Obwohl offiziell rivalisierende Gruppen agieren, arbeiten einzelne Akteure und sogenannte Affiliates für mehrere Fraktionen parallel und tauschen Tools und Know-how untereinander aus. Dieses kooperative Verhalten innerhalb eines ansonsten wettbewerbsorientierten Umfelds zeigt, wie vielseitig und komplex die Strukturen heute sind. Politische Geometrie und ethische Schranken in der Cybercrime-Welt Selbst die Schattenwelt der Cyberkriminalität kennt Grenzen, die meist durch politische oder regionale Erwägungen motiviert sind. So untersagt RansomHub explizit Angriffe auf Unternehmen und Institutionen in Russland, Nordkorea, China und Kuba. Diese Länder werden demnach verschont, was Rückschlüsse auf den möglichen Ursprung der Akteure und geopolitische Vorgaben zulässt.
Diese Praxis ist nicht neu, findet sich aber bei RansomHub besonders deutlich ausgeprägt wieder und zeigt, dass in diesem Sektor auch Diskriminierungen nach nationalen und politischen Kriterien existieren. Auswirkungen auf Unternehmen und Sicherheitslandschaft Obwohl die Anzahl der Lösegeldzahlungen im vergangenen Jahr um etwa 35 Prozent zurückging, stieg die Zahl der gemeldeten Opfer um etwa 15 Prozent an. Dieses paradoxe Verhältnis legt nahe, dass mehr Angriffe registriert werden, die Erfolge für Cyberkriminelle aber teilweise ausbleiben oder zumindest nicht monetarisiert werden. Die wachsende Aktivität von RansomHub trägt maßgeblich zu diesem Trend bei. Für Unternehmen bedeutet das eine noch komplexere Bedrohungssituation.
Die Angreifer werden technisch immer raffinierter, nutzen eigens entwickelte und schwer zu entdeckende Werkzeuge und nutzen Netzwerke von Affiliates, die flexibel zwischen verschiedenen Gruppen wechseln können. Die herkömmlichen Sicherheitskonzepte stoßen immer öfter an ihre Grenzen, weshalb der Einsatz moderner Technologien und umfangreicher Sicherheitsstrategien unerlässlich ist. Insbesondere Endpoint-Sicherheit, kontinuierliche Überwachung (EDR) und schnelle Reaktionsmechanismen (MDR) erhalten dabei eine zentrale Bedeutung. Die internationale Gemeinschaft und Strafverfolgungsbehörden stehen ebenfalls vor Herausforderungen. Die fragmentierten und global verteilten Angriffsstrukturen erschweren Ermittlungen und die nachhaltige Zerschlagung krimineller Netzwerke.
Dennoch zeigen die Erfolge gegen LockBit und BlackCat, dass koordinierte Aktionen Wirkung zeigen können. Zukunftsperspektiven der Ransomware-Landschaft Die Entwicklung von RansomHub verkörpert den Wandel in der Cybercrime-Ökonomie. Mit ihnen entsteht eine neue Qualität: Eigenständige Entwicklung von Angriffsmethoden, ungewöhnliche Geschäftsmodelle, flexible Partnerstrukturen und bewusste politische Distanzierungen. Die Vergangenheit lehrt, dass sich solche Gruppen rasch weiterentwickeln und an neue Umstände anpassen. Unternehmen müssen sich darauf einstellen, dass Ransomware nicht nur eine technische Herausforderung darstellt, sondern auch eine strategische Cybergefahr mit wirtschaftlicher und politischer Dimension ist.
Die Kombination aus innovativen Tools wie EDRKillShifter und den verschlungenen Netzwerken der Erpresser wird die Sicherheitslandschaft weiterhin prägen. Zudem ist mit einer weiteren Professionalisierung des kriminellen Ökosystems zu rechnen. Immer ausgefeiltere Erpressungsstrategien, kombiniert mit einer aggressiven Außendarstellung und der bewussten Einbeziehung von Partnern, könnten zu steigender Sichtbarkeit und noch größerem Einfluss führen. Von der IT-Sicherheitsbranche wird erwartet, ständig am Puls der Zeit zu bleiben, neue Bedrohungen frühzeitig zu erkennen und wirkungsvolle Gegenmaßnahmen zu entwickeln. Fazit Die Phase nach dem Rückgang der ehemals großen Ransomware-Gangs wie LockBit markiert einen Wendepunkt und die Etablierung neuer Machtstrukturen in der Cyberkriminalität.
RansomHub steht exemplarisch für die nächste Generation von Angriffen, die sich durch technologischen Fortschritt, pragmatische Geschäftsmodelle und breit angelegte Netzwerke auszeichnen. Unternehmen und Sicherheitsverantwortliche müssen daher wachsam bleiben, den eigenen Schutz optimieren und die vielfältigen Facetten der modernen Ransomware-Angriffe genau verstehen. Nur so können sie den immer komplexer werdenden Bedrohungen begegnen und die digitale Sicherheit in einer Zeit gewährleisten, in der Cybercrime immer professioneller und globaler agiert. Die kommenden Jahre werden zeigen, wie sich diese Dynamik weiterentwickelt und welche Gegenstrategien letztendlich erfolgreich sind.
