Thought Leadership
Die bislang wenig bekannte Ransomware-Gruppe „SatanLock“ hat überraschend das Ende ihrer Aktivitäten bekannt gegeben.
In einem kurzen Beitrag auf ihrem Telegram-Kanal und der mittlerweile nicht mehr erreichbaren Leak-Seite im Darknet verkündete die Gruppierung, dass sie sich auflöst und alle erbeuteten Daten im Netz veröffentlichen werde.
Seit ihrem Auftreten im April 2025 sorgte SatanLock für Aufsehen. Innerhalb kürzester Zeit wurden Dutzende Opfer bekannt – insgesamt listete die Gruppe 67 betroffene Organisationen. Diese Zahl relativiert sich jedoch bei genauerer Betrachtung: Wie die IT-Sicherheitsfirma Check Point in ihrem Malware Spotlight-Bericht im April 2025 festhielt, waren mehr als 65 Prozent dieser Opfer bereits zuvor von anderen Ransomware-Gruppen kompromittiert worden.
Doppelte Opfer – ein Trend mit Strategie?
Das sogenannte „Double-Posting“, also das wiederholte Listen bereits betroffener Organisationen durch verschiedene Gruppen, scheint sich im Cybercrime-Umfeld zu häufen. Laut Check Point ist dies Ausdruck eines zunehmend chaotischen und wettbewerbsorientierten Milieus innerhalb der Ransomware-Szene. Ob hinter dieser Taktik strategische Kooperationen, geteilte Infrastrukturen oder schlichtweg der Versuch stehen, bereits kompromittierte Systeme erneut zu monetarisieren, bleibt unklar.
Hinweise auf mögliche Verflechtungen gibt es dennoch. Die auf Ransomware spezialisierte Firma LockBit Decryptor brachte SatanLock mit anderen bekannten Gruppen wie Babuk-Bjorka und GD Lockersec in Verbindung. Dies deutet darauf hin, dass SatanLock nicht isoliert agierte, sondern Teil eines größeren kriminellen Netzwerks gewesen sein könnte.
Motiv unklar – aber nicht einzigartig
Die Gründe für das plötzliche Ende sind bislang nicht bekannt. Ähnliche Entwicklungen gab es allerdings kürzlich auch bei einer weiteren Gruppe: Hunters International verkündete vor wenigen Tagen ebenfalls ihren Rückzug aus dem Cybercrime-Geschäft. In einer Mitteilung erklärten sie, man habe sich „nach reiflicher Überlegung und angesichts aktueller Entwicklungen“ zur Schließung entschlossen. Im Gegensatz zu SatanLock bot Hunters International ihren Opfern immerhin kostenlose Entschlüsselungsschlüssel an – ein eher ungewöhnlicher Schritt in dieser Szene.
Der Rückzug von SatanLock wirft viele Fragen auf, liefert jedoch auch Einblicke in die derzeitige Dynamik der Ransomware-Landschaft. Machtkämpfe, kurzfristige Allianzen und strategische Übernahmen scheinen das Geschehen zu prägen. Während für die betroffenen Organisationen vor allem die Veröffentlichung gestohlener Daten schwer wiegt, lässt sich eine gewisse Unsicherheit auch auf Seiten der Angreifer erkennen. Ob das ein langfristiger Trend ist oder nur eine Momentaufnahme, bleibt abzuwarten.
