Am 1. April 2025 ging die Online-Infrastruktur der berüchtigten Ransomware-as-a-Service (RaaS)-Gruppe RansomHub unerwartet offline. Dieser unerwartete Ausfall sorgte für erhebliche Verunsicherung innerhalb der kriminellen Ökosysteme und der von ihnen kontrollierten Netzwerke. Sicherheitsforscher und Cybersecurity-Unternehmen analysierten schnell die Hintergründe und gaben erste Hinweise über die Konsequenzen dieses Ereignisses. Besonders bemerkenswert war, dass viele Affiliates, die zuvor für RansomHub operierten, sich abrupt anderen Ransomware-Akteuren zuwandten, vor allem der Gruppe Qilin, während DragonForce bekannt gab, die Kontrolle über RansomHub übernommen zu haben.
RansomHub war erst im Februar 2024 erstmals aufgetaucht, doch schaffte es innerhalb kurzer Zeit, sich als einer der führenden Akteure im RaaS-Bereich zu etablieren. Es löste etablierte Gruppen wie LockBit und BlackCat ab, indem es ehemalige Affiliates dieser Organisationen mit attraktiven Gewinnbeteiligungen lockte. Group-IB, ein führendes Cybersecurity-Unternehmen aus Singapur, erklärte, dass der plötzliche Offline-Status von RansomHub unmittelbar zu einer massiven Migration von Affiliates zu anderen Dienstleistern wie Qilin führte. Die Datenleck-Seite von Qilin verzeichnete seit Februar 2025 eine Verdopplung der veröffentlichten Informationen, was die erhöhte Aktivität durch ehemalige RansomHub-Partner unterstreicht. Die technologische Raffinesse von RansomHub trug maßgeblich zu seinem Aufstieg bei.
Mit einem Multi-Plattform-Verschlüsselungstool, welches auf unterschiedlichsten Betriebssystemen wie Windows, Linux, FreeBSD und ESXi sowie auf diversen Hardware-Architekturen lief, konnte die Gruppe eine breite Palette von Opfern angreifen. Bemerkenswerterweise schloss RansomHub Firmen aus dem Commonwealth of Independent States, Kuba, Nordkorea und China von Angriffen aus, vermutlich um Aufmerksamkeit oder Vergeltungsmaßnahmen von Staaten dieser Regionen zu vermeiden. Die Affiliates von RansomHub konnten den Ransomware-Code über eine intuitive Web-Oberfläche konfigurieren und anpassen, was die Angriffe deutlich erleichterte. Ein spezielles Mitglieder-Panel erlaubte es den Partnern, eigene Accounts zu erstellen und den Zugang zum RaaS-Dienst individuell zu verwalten. Zudem gab es zeitweise ein Modul namens "Killer", das im Juni 2024 eingeführt wurde, um Sicherheitssoftware auszuschalten oder zu umgehen.
Dieses Tool wurde jedoch aufgrund einer hohen Detektionsrate schnell wieder eingestellt und zeigte, wie der ständige Wettlauf zwischen Cyberkriminellen und Sicherheitsfirmen zu Anpassungen bei den Angriffstechniken führt. Neben den klassischen Ransomware-Angriffen setzten die RansomHub-affiliierten Gruppen auch zunehmend auf neue Techniken und Malware. Eines der beobachteten Werkzeuge war die JavaScript-Malware SocGholish, die über kompromittierte WordPress-Seiten verteilt wurde. Sie diente dazu, einen Python-basierten Backdoor zu installieren, der die Kontrolle der Angreifer erleichterte. Solche Angriffsketten verdeutlichen die zunehmende Komplexität und Vielschichtigkeit moderner Cyberangriffe.
Interessanterweise publizierte RansomHub im November 2024 eine Anweisung an seine Affiliates, keine Angriffe auf Regierungsinstitutionen durchzuführen. Diese Entscheidung wurde mit einem schlechten Kosten-Nutzen-Verhältnis begründet und zeigt, dass selbst in kriminellen Netzwerken strategische Überlegungen und Risikominderung eine Rolle spielen. Doch trotz dieser Vorsicht kam es nach dem Ausfall im April 2025 zu Unruhe unter den Mitgliedern. Die Gruppe DragonForce nutzte diese Gelegenheit und kündigte auf einer Darknet-Plattform namens RAMP offen an, die Infrastruktur von RansomHub übernommen zu haben und initiierte eine neue Allianz unter dem Namen "DragonForce Ransomware Cartel". Diese Entwicklung setzte einen Wettkampf zwischen den internationalen RaaS-Akteuren in Gang.
Neben DragonForce kooperierte mit der Zeit auch die Gruppe BlackLock mit ihnen, nachdem DragonForce kürzlich deren Datenleck-Seite defaced hatte. Wichtig ist hierbei der Wandel im Geschäftsmodell von DragonForce, das nicht mehr als klassischer RaaS-Operator agiert, sondern Affiliates viel größere Freiheiten einräumt, eigene Marken zu gründen und zu betreiben. Anstatt die Ransomware selbst zu hosten und anzubieten, stellt DragonForce die Infrastruktur sowie administrative Tools zur Verfügung, während die Affiliates ihre eigenen Cybercrime-Operationen mit separatem Schadcode durchführen können. Dieses Konzept soll potentielle Einnahmen maximieren und die Attraktivität für Angreifer erhöhen. PRODAFT, ein führender Anbieter von Bedrohungsanalysen, bestätigte, dass der RansomHub-Verlust zu einem Abwandern zahlreicher Mitglieder geführt habe.
Einige ehemalige Partner gründeten neue Gruppen wie VanHelsing oder nutzen nun andere Ransomware-Varianten. DragonForce wiederum wurde vermehrt als zentrale Plattform gesehen, die verschiedene RaaS-Gruppen zusammenführt oder zumindest hostet, inklusive Projekten wie RansomBay. Während diese Umbrüche die kriminelle Ransomware-Szene neu ordnen, treiben andere Gruppen weiterhin Innovationen voran. Die Gruppe Anubis, die erst Anfang 2025 auftauchte, verfolgt teilweise einen neuen Ansatz, bei dem statt der klassischen Datenverschlüsselung eine "Daten-Erpressung" im Vordergrund steht. Dabei drohen die Angreifer, Inhalte in Form von investigativen Berichten zu veröffentlichen oder Behörden sowie Compliance-Teams zu informieren.
Diese Taktik erzeugt zusätzlichen Druck auf die Opfer und erweitert das Spektrum der Erpressungsstrategien. Parallel dazu wurde mit ELENOR-corp eine neue Variante der Mimic-Ransomware entdeckt, die gezielt im Gesundheitswesen aktiv ist. Forscher stellten fest, dass diese Version über raffinierte Anti-Forensik-Maßnahmen verfügt und Systeme noch effektiver manipuliert, um Wiederherstellungsversuche zu erschweren. Diese Entwicklung unterstreicht die zunehmende Gefährdung kritischer Infrastrukturen durch immer ausgefeiltere Cyberattacken. Insgesamt zeichnet sich ab, dass die Ransomware-Landschaft trotz der zahlreichen Strafverfolgungsmaßnahmen und Durchsuchungen kein statisches Bild abgibt.
Vielmehr beobachten Experten eine Fragmentierung in kleinere, flexiblere Gruppen, die sich häufig umbenennen oder weitere Täuschungsstrategien nutzen, um der Entdeckung zu entgehen. Beispiele dafür sind die Gruppen CrazyHunter, Elysium, FOG oder Hellcat, die jeweils unterschiedliche spezialisierte Techniken und Angriffsmethoden einsetzen. Auch neue Trends wie die Verwendung von sogenannten BYOVD-Techniken (Bring Your Own Vulnerable Driver) werden von mehreren Gruppierungen adaptiert, um Sicherheitsmechanismen zu umgehen. Ebenso kommen verstärkt Social-Engineering-Methoden und die Ausnutzung von VPN-Schwachstellen zum Einsatz. So zeigte die Analyse einer internen Chat-Datenbank der Gruppe Black Basta, wie akribisch das Netzwerk potenzielle Opfer identifiziert und über Telefonanrufe Kontakte zu einflussreichen Personen herstellt.
