Thought Leadership
Sicherheitsforscher beobachten ein neues RaaS-Angebot mit flexiblem Geschäftsmodell. Der Gesundheitssektor ist offenbar im Fokus der Angreifer. Die Rede ist von einer neuen Gruppe namens Anubis.
Die IT-Sicherheitslandschaft sieht sich mit einem weiteren Akteur konfrontiert: Eine Gruppe namens „Anubis“ bietet seit kurzem verschiedene Formen von Ransomware-Dienstleistungen an. Wie die Threat-Intelligence-Spezialisten von Kela berichten, ist die Gruppe zwar neu am Markt, zeigt jedoch Anzeichen erheblicher Expertise.
Die Sicherheitsanalysten stießen auf die Aktivitäten durch Monitoring einschlägiger Darkweb-Foren. Ein Nutzer mit dem Pseudonym „superSonic“ warb dort Ende Februar für mehrere Dienste unter der Marke Anubis. Das Portfolio umfasst klassische Ransomware-Dienste, reine Datenerpressung ohne Verschlüsselung sowie die Monetarisierung von Zugängen zu kompromittierten Systemen.
Auffällig: Im Gegensatz zu vielen anderen Gruppen bietet Anubis verschiedene Geschäftsmodelle mit unterschiedlichen Gewinnbeteiligungen an. Kriminelle Partner können zwischen 50 und 80 Prozent der erpressten Summen einstreichen – je nach gewähltem „Dienstleistungspaket“.
Die technische Infrastruktur scheint professionell aufgesetzt. Die Ransomware nutzt moderne Verschlüsselungsverfahren und zielt auf verschiedene Betriebssysteme und Umgebungen ab. Ein Webportal zur Verwaltung der Kampagnen komplettiert das Angebot.
Obwohl die Gruppe erst seit kurzer Zeit aktiv ist, listet sie bereits mehrere Opfer auf ihrem Blog. Bei mindestens zwei davon handelt es sich um Einrichtungen aus dem Gesundheitssektor – ein Indiz dafür, dass Anubis sich möglicherweise auf diese kritische Infrastruktur spezialisieren könnte.
Eines der genannten Opfer, das australische Pound Road Medical Centre, bestätigte einen „Cyber-Vorfall“ im November 2024, bei dem Patientendaten kompromittiert wurden. Die Institution erwähnte jedoch nicht explizit eine Verschlüsselung ihrer Systeme, was die These stützt, dass Anubis auch reine Datenerpressung ohne Ransomware-Einsatz betreibt.
Fachleute gehen davon aus, dass es sich bei den Betreibern um erfahrene Cyberkriminelle handelt, die möglicherweise zuvor bei anderen Ransomware-Gruppen aktiv waren. Die professionelle Umsetzung und das differenzierte Geschäftsmodell deuten auf ein erhebliches Gefahrenpotenzial für Unternehmen und Organisationen im laufenden Jahr hin.
