Thought Leadership
Die Bedrohung durch Ransomware bleibt auch 2024 hoch, doch die Machtverhältnisse innerhalb der Szene verschieben sich. Während frühere Marktführer wie LockBit und BlackCat durch internationale Strafverfolgungsmaßnahmen weitgehend zurückgedrängt wurden, tritt mit RansomHub ein neuer Akteur ins Rampenlicht.
Der IT-Sicherheitsanbieter ESET hat eine detaillierte Analyse zu dieser Gruppierung und deren Methoden veröffentlicht.
RansomHub: Aufstieg in einem destabilisierten Markt
RansomHub konnte sich in kurzer Zeit als führende Ransomware-as-a-Service (RaaS)-Plattform etablieren. Die Gruppe gewann besonders an Einfluss, nachdem etablierte Konkurrenten durch Behördenoperationen stark geschwächt wurden. Dies führte zu einer Umverteilung innerhalb des Cybercrime-Ökosystems.
„2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent“, erklärt ESET-Forscher Jakub Souček. „Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub.“
EDR-Killer: Hochentwickelte Werkzeuge zur Umgehung von Sicherheitssoftware
Ein besonders besorgniserregender Aspekt von RansomHub ist der Einsatz maßgeschneiderter Tools zur Ausschaltung von Sicherheitslösungen. Ein zentrales Werkzeug ist der sogenannte EDRKillShifter – eine Software, die speziell dafür entwickelt wurde, Schutzsysteme auf kompromittierten Rechnern auszuschalten. Dies geschieht durch die gezielte Manipulation eines fehlerhaften Treibers im Betriebssystem des Opfers.
Das Besondere: RansomHub hat diesen EDR-Killer selbst entwickelt und stellt ihn seinen Partnern zur Verfügung. Dies ist ungewöhnlich in der RaaS-Szene, in der oft auf bereits existierende Werkzeuge zurückgegriffen wird. Laut ESET nutzen mittlerweile auch andere Gruppen wie Play, Medusa und BianLian diese Technologie.
„Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung“, so Souček weiter.
Geschäftsmodell: Vertrauensprinzip statt fester Abgaben
Wie jede RaaS-Plattform benötigt auch RansomHub Partner, die ihre Infrastruktur nutzen. Die Rekrutierung der ersten Mitglieder erfolgte Anfang 2024 über das russischsprachige RAMP-Forum. Auffällig ist das ungewöhnliche Geschäftsmodell: Die Partner dürfen die gesamte erpresste Summe behalten und lediglich eine freiwillige Beteiligung von zehn Prozent an die Entwickler entrichten. Dieses Vertrauensprinzip unterscheidet RansomHub von vielen anderen RaaS-Anbietern, die feste Abgaben verlangen.
Ein weiteres bemerkenswertes Detail: Mehrere Mitglieder von RansomHub arbeiten parallel für rivalisierende Gruppen wie Play, Medusa und BianLian. Dies deutet darauf hin, dass die Grenzen zwischen den einzelnen Akteuren in der Szene zunehmend verschwimmen.
Politische Rücksichten und strategische Ausrichtung
Interessanterweise verfolgt RansomHub eine gezielte Auswahl bei seinen Angriffszielen. Unternehmen und Institutionen in Russland, Nordkorea, China und Kuba werden verschont – ein Hinweis darauf, dass politische oder geografische Faktoren eine Rolle spielen.
Laut ESET ist RansomHub nicht nur ein Nachfolger von LockBit, sondern ein eigenständiger Akteur mit neuen Strategien. Die Gruppe kombiniert innovative Werkzeuge mit einer aggressiven Partnerpolitik und zunehmender Sichtbarkeit. Damit stellt sie eine ernstzunehmende Bedrohung für Unternehmen und Behörden weltweit dar.
