Thought Leadership
Nach dem plötzlichen Ende der bekannten Ransomware-Gruppe BlackBasta Anfang 2025 ist die Bedrohung keineswegs verschwunden.
Im Gegenteil: Sicherheitsforscher von Zscaler berichten von neuen Angriffskampagnen, die offenbar von ehemaligen Mitgliedern weitergeführt werden. Eine bislang wenig bekannte Gruppierung namens „Payouts King“ steht dabei im Fokus.
Die Angriffe beginnen häufig nicht mit Schadsoftware, sondern mit gezielter Manipulation von Mitarbeitenden. Die Täter kombinieren verschiedene Methoden wie Spam-Mails, Phishing und Telefonanrufe, um Druck aufzubauen und Vertrauen zu erschleichen.
Typischerweise werden Postfächer zunächst mit Nachrichten überflutet, um Verunsicherung zu erzeugen. Anschließend geben sich die Angreifer als interne IT-Mitarbeitende aus und bieten Hilfe an. In einem nächsten Schritt werden die Betroffenen dazu gebracht, an einem Online-Meeting teilzunehmen und ein Fernwartungstool zu starten. So erhalten die Angreifer direkten Zugriff auf das System.
Versteckte Techniken im Hintergrund
Sobald sich die Angreifer im Netzwerk befinden, setzen sie auf technisch ausgefeilte Methoden, um unentdeckt zu bleiben. Die eingesetzte Schadsoftware verschleiert ihre Funktionen gezielt und erschwert damit die Analyse durch Sicherheitssysteme.
Dazu gehört unter anderem, dass wichtige Programmteile erst während der Ausführung zusammengesetzt werden. Auch Schnittstellen zum Betriebssystem werden nicht direkt sichtbar eingebunden, sondern über verschlüsselte Verfahren angesprochen. Diese Vorgehensweise macht es klassischen Schutzmechanismen deutlich schwerer, die Bedrohung zu erkennen.
Angriff auf Sicherheitslösungen
Besonders auffällig ist der aggressive Umgang mit bestehenden Schutzsystemen. Die Ransomware identifiziert gezielt Sicherheitsprogramme und versucht, diese zu deaktivieren.
Dabei greifen die Angreifer auf Methoden zurück, die tief im Betriebssystem ansetzen und herkömmliche Schutzmechanismen umgehen. Ziel ist es, möglichst ungestört Daten zu verschlüsseln und die Kontrolle über das System zu behalten.
Schnelle Verschlüsselung und gezielte Zerstörung
Ist das System vollständig kompromittiert, beginnt die eigentliche Schadensphase. Die Ransomware verschlüsselt Daten mit starken Verfahren und geht dabei besonders effizient vor, um Zeit zu sparen.
Zusätzlich werden Sicherungskopien gelöscht und Systemprotokolle entfernt, um eine Wiederherstellung zu erschweren. Hinweise auf die Erpressung werden oft erst später sichtbar gemacht, wenn die Angreifer ihre Forderungen platzieren.
Schutz erfordert mehrere Ebenen
Die Analyse zeigt, dass technische Schutzmaßnahmen allein nicht ausreichen. Ein zentraler Faktor bleibt der Mensch: Viele Angriffe beginnen mit Social Engineering und nutzen Unsicherheiten im Umgang mit IT-Systemen aus.
Unternehmen sind daher gefordert, ihre Mitarbeitenden regelmäßig zu sensibilisieren und klare Regeln für den Umgang mit Support-Anfragen und Fernzugriffen festzulegen. Ergänzend dazu sollten mehrstufige Sicherheitskonzepte umgesetzt werden, etwa durch zusätzliche Authentifizierungsverfahren und eine strenge Kontrolle von Zugriffsrechten.
Die aktuelle Entwicklung verdeutlicht, wie schnell sich Cyberkriminalität anpasst. Selbst wenn einzelne Gruppen verschwinden, entstehen neue Strukturen, die bestehende Methoden weiterentwickeln.
Für Unternehmen bedeutet das, ihre Sicherheitsstrategien kontinuierlich zu überprüfen und anzupassen. Nur durch das Zusammenspiel aus Technik, Prozessen und geschulten Mitarbeitenden lässt sich das Risiko nachhaltig reduzieren.
