Secureworks veröffentlicht State of the Threat-Report 2024

Die Ransomware-Gruppen DragonForce und Anubis setzen auf neue, innovative Strategien zur Ausweitung ihrer Aktivitäten und betrachten sich dabei zunehmend als Teil eines Kartells. Trotz erfolgreicher Strafverfolgungsmaßnahmen gegen bekannte Akteure im Bereich Cyberkriminalität zeigen sich Ransomware-Gruppen weiterhin widerstandsfähig und anpassungsfähig. Im Jahr 2025 beobachtete das Secureworks Counter Threat Unit (CTU) – ein Unternehmen von Sophos –, dass DragonForce und Anubis ihre Geschäftsmodelle weiterentwickelten, um neue Affiliates zu gewinnen und ihre Profite zu steigern.

DragonForce: Flexibles Modell mit eigenem Branding

Seit seiner Gründung im August 2023 als klassisches Ransomware-as-a-Service-(RaaS)-Modell hat sich DragonForce deutlich weiterentwickelt. Nach ersten Werbeaktivitäten in Untergrundforen im Februar 2024 verzeichnete die Gruppe bis zum 24. März 2025 insgesamt 136 Opfer auf ihrer Leak-Seite. In einem Beitrag vom 19. März 2025 kündigte DragonForce eine strategische Neuausrichtung an und bezeichnete sich fortan selbst als "Kartell". Zugleich stellte die Gruppe ein verteiltes Partnermodell vor, das es Affiliates erlaubt, unter eigenen Marken aufzutreten.

In diesem System stellt DragonForce zwar weiterhin seine Infrastruktur und Tools bereit, zwingt seine Partner jedoch nicht zur Nutzung der firmeneigenen Ransomware. Zu den angebotenen Services gehören Verwaltungs- und Kundenpanels, Verschlüsselungs- und Verhandlungstools, ein Speichersystem, eine auf Tor basierende Leak-Seite sowie technischer Support.

Mit diesem flexiblen Ansatz zielt DragonForce auf ein breites Spektrum potenzieller Partner – von weniger erfahrenen Akteuren bis hin zu professionellen Kriminellen, die ihre eigene Malware einsetzen wollen, ohne eigene Infrastruktur aufbauen zu müssen. Das geteilte System birgt jedoch auch Risiken: Wird ein Affiliate kompromittiert, könnten auch Daten anderer Partner offengelegt werden.

„Während sich das Ransomware-Ökosystem weiterentwickelt und anpasst, beobachten wir eine größere Experimentierfreude bei unterschiedlichen Geschäftsmodellen“ sagt Rafe Pilling, Director of Threat Intelligence, Counter Threat Unit, Secureworks, ein Unternehmen von Sophos. „LockBit hatte das Affiliate-System perfektioniert, doch nach den Maßnahmen der Strafverfolgung gegen sie ist es nicht überraschend, dass neue Modelle ausprobiert und getestet werden. Diese Beispiele zeigen, wie sich diese Veränderungen im Ökosystem manifestieren. Indem wir verstehen, wie diese Gruppen operieren, ihre Werkzeuge einsetzen und monetarisieren, können wir entscheidende Weichen stellen und geeignete Schutzmaßnahmen für Unternehmen entwickeln.“

Anubis: Drei Modelle der Erpressung

Die Gruppe Anubis verfolgt eine andere Strategie zur Gewinnung von Partnern. Seit Februar 2025 bewirbt sie in Untergrundforen ein dreistufiges Erpressungsmodell:

• RaaS – Klassische Dateiverschlüsselung mit einem Anteil von 80 % für den Affiliate.
• Datenbasierte Erpressung – Erpressung ausschließlich auf Basis gestohlener Daten (60 % Affiliate-Anteil).
• Monetarisierung kompromittierter Zugänge – Unterstützung bei der Ausbeutung bestehender Zugänge (50 % Affiliate-Anteil).

Bei der datenbasierten Erpressung veröffentlicht Anubis einen ausführlichen "Untersuchungsbericht" auf einer passwortgeschützten Tor-Seite, der sensible Daten des Opfers analysiert. Das Opfer erhält Zugriff auf diesen Bericht und einen Link zur Lösegeldverhandlung. Bei ausbleibender Zahlung droht die Veröffentlichung auf der Anubis-Leak-Seite sowie die öffentliche Nennung des Opfers über ein Konto auf X (ehemals Twitter). Zudem kündigt Anubis an, die Kunden der betroffenen Organisation über den Vorfall zu informieren.

Darüber hinaus geht Anubis noch einen Schritt weiter: Laut eigener Aussage sollen bestimmte Vorfälle sogar an Aufsichtsbehörden wie das britische Information Commissioner’s Office (ICO), das US-Gesundheitsministerium (HHS) oder die Europäische Datenschutzbehörde (EDPB) gemeldet werden. Diese Eskalationstaktik ist zwar ungewöhnlich, aber nicht beispiellos. So hatte die Gruppe GOLD BLAZER im November 2023 einen Angriff der Gruppe ALPHV (auch bekannt als BlackCat) an die US-Börsenaufsicht SEC gemeldet, nachdem das Opfer die Zahlung verweigert hatte. Weitere dokumentierte Fälle dieser Art sind jedoch nicht bekannt.

Im dritten Modell, der Monetarisierung kompromittierter Zugänge, liegt der Fokus auf bereits bestehenden Zugriffen. Affiliates erhalten Analysen zu den erbeuteten Daten, um zielgerichtete Erpressungsversuche zu unterstützen. Wie viele andere Gruppen auch, vermeidet Anubis Angriffe auf Organisationen in der ehemaligen Sowjetunion sowie auf Mitglieder der BRICS-Staaten (z. B. Russland, China, Indien). Auch Bildungseinrichtungen, Regierungsstellen und gemeinnützige Organisationen sind ausgenommen – Gesundheitsorganisationen hingegen nicht, was sie zu einem potenziell attraktiven Ziel macht.

Ausblick

Der Secureworks „State of the Threat“-Bericht 2024 macht deutlich: Ransomware bleibt eine erhebliche Bedrohung für Organisationen weltweit. Trotz Störungen durch Strafverfolgung entstehen kontinuierlich neue Geschäftsmodelle. Zwar zeigen externe Berichte einen Rückgang der Lösegeldzahlungen, doch die Zunahme veröffentlichter Opferdaten auf Leak-Seiten deutet auf eine Zunahme kompromittierter Systeme hin. Die finanzielle Motivation führt zu immer ausgeklügelteren Methoden und aggressiveren Taktiken.

Letztlich bleibt die Entscheidung über eine Lösegeldzahlung jedem Unternehmen selbst überlassen – jedoch ist weder die Wiederherstellung von Daten noch der Schutz vor Veröffentlichung garantiert. Experten raten daher zu einem proaktiven Sicherheitsansatz: regelmäßige Sicherheitsupdates, phishing-resistente Multi-Faktor-Authentifizierung, verlässliche Backups, kontinuierliches Monitoring sowie ein erprobter Incident-Response-Plan sind entscheidend, um Ransomware-Angriffe wirksam abzuwehren.