RansomHub – What You Need to Know About the Rapidly Emerging Threat 

Seit seinem Auftreten Anfang 2024 hat RansomHub erfolgreich über 200 Opfer in verschiedenen Branchen angegriffen, darunter Infrastruktur, Informationstechnologie, Regierungsdienste, Gesundheitswesen, Landwirtschaft, Finanzdienstleistungen, Fertigung, Transport und Kommunikation. 

Diese relativ neue Cyberkriminalitätsgruppe arbeitet als Ransomware-as-a-Service (RaaS)-Agent und hat sich als prominenter Akteur unter den konkurrierenden kriminellen Gruppen etabliert.  

Unser Varonis MDDR Forensik-Team hat kürzlich mehrere Sicherheitsverletzungen untersucht, die dieser Gruppe und ihren verbundenen Unternehmen zugeschrieben werden, und dabei geholfen, aktive Netzwerkbedrohungen einzudämmen und zu beheben. Sollte es in Ihrem Unternehmen einen Datenschutzvorfall gegeben haben, kontaktieren Sie bitte unser Team, um sofortige Unterstützung zu erhalten. 

Lesen Sie weiter, um mehr über RansomHub und die jüngsten Aktivitäten der Gruppe zu erfahren, sowie darüber, wie Ihr Unternehmen sich gegen RaaS verteidigen kann. 

Jüngste Aktivitäten von RansomHub 

Die Aktivitäten von RansomHub haben seit ihrer ersten Entdeckung im Jahr 2024 zugenommen, und sie sind schnell zum Synonym für einen „Großwildjäger“ geworden, was die Auswahl ihrer Ziele angeht. Sie zielen hauptsächlich auf größere Unternehmen ab, die eher bereit sind, Lösegeldforderungen zu zahlen, um die Geschäftskontinuität so schnell wie möglich wiederherzustellen, anstatt lange Ausfallzeiten in Kauf zu nehmen. 

Die weite Verbreitung der Opfer deutet darauf hin, dass es sich um Gelegenheitsangriffe handelt und sie nicht auf bestimmte Branchen oder Sektoren abzielen. Ihr Ansatz beim Erstzugriff verstärkt diese Theorie, da dieser in der Regel die Ausnutzung einer öffentlich zugänglichen Anwendung oder eines vom Opfer gehosteten Dienstes beinhaltet, wie Citrix ADC, FortiOS, Apache ActiveMQ, Confluence Data Center, BIG-IP und andere. 

Aktuelle Geheimdienstinformationen deuten darauf hin, dass die Gruppe ihren Ablegern verbietet, Unternehmen in China, Kuba, Nordkorea und Rumänien sowie Ländern der Gemeinschaft Unabhängiger Staaten, einschließlich Russland, anzugreifen. Diese Art von SOP ist bei Bedrohungsakteuren mit Sitz in China oder Russland üblich, um die Wahrscheinlichkeit von Eigenbeschuss zu verringern, was auf eine gewisse staatliche Verbindung hinweist, oder auf den Wunsch, das Risiko einer Einmischung durch lokale Regierungsstellen zu minimieren. 

Die Gruppe zielt auf Opfer in einer Vielzahl von Branchen ab, wobei prominente Ziele Telekommunikationsunternehmen wie Frontier Communications und Gesundheitseinrichtungen wie Change Healthcare und Rite Aid umfassen. Allein im März 2025 veröffentlichte die Gruppe über 60 neue Opfer auf ihrer Dark-Web-Site ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd[.]onion. 

Darüber hinaus behauptete eine Gruppe namens DragonForce, ab April 2025 die Infrastruktur von RansomHub zu übernehmen. Zusammenschlüsse von Bedrohungsakteuren gab es sicherlich schon früher, doch dies ist aufgrund der relativen Größe und der Anzahl der Opfer, die RansomHub in den vergangenen 12 Monaten ins Visier genommen hat, besonders beachtenswert. Die offizielle RansomHub-Onion-Site ist seit dem 31. März 2025 und dem Veröffentlichungsdatum dieses Artikels nicht verfügbar.  

TrendMicro verfolgt die Gruppe als Water Bakunawa, während CISA feststellt, dass die Variante früher als Cyclops and Knight bezeichnet wurde. Mitglieder der Gruppe und verwandte Partner haben sich durch Zusammenarbeit mit anderen hochkarätigen RaaS-Gruppen wie Scattered Spider und ALPHV vernetzt. 

Die häufig missbrauchten Taktiken, Techniken und Verfahren von RansomHub 

Die Partner von RansomHub sind – wie viele andere RaaS-Anbieter – dafür bekannt, im Rahmen ihrer bösartigen Kampagnen sowohl benutzerdefinierte Malware-Implants als auch gängige IT-Dienstprogramme und LOLBINs einzusetzen. 

Aus IT-Sicht wurden sie bei der Verwendung der folgenden Tools beobachtet, von denen viele in einer Unternehmensumgebung üblich sind: 

• Ngrok – ein Reverse-Proxy-Dienstprogramm, das entwickelt wurde, um einen sicheren Netzwerktunnel zwischen internen Unternehmensgeräten und externen Endpoints zu schaffen, und häufig von Cyber-Bedrohungen zur Persistenz und Datenexfiltration missbraucht wird 
• Remmina – ein Open-Source-RDP-Client, der aufgrund seiner Fähigkeit, auf UNIX-Systemen zu laufen, häufig von Cyberbedrohungen missbraucht wird 
• TailScale VPN – wird häufig für die Initiierung sicherer Tunnel zwischen kompromittierten Geräten und der Infrastruktur des Angreifers genutzt 
• SplashTop Atera, AnyDesk, Connectwise usw. – Software für Fernüberwachung und -verwaltung (RMM), die häufig von Cyber-Bedrohungen eingesetzt wird, um die Kontrolle über Geräte zu behalten 
• Rclone – ein häufig missbrauchtes Dateiverwaltungsprogramm, das oft zur Exfiltration von Daten in großem Umfang an externe Ziele verwendet wird 

Zusätzlich zu IT-fokussierten Tools sind Partner dafür bekannt, maßgeschneiderte Malware einzusetzen, um ihre Ziele zu erreichen, unter anderem mit folgenden Fähigkeiten: 

• Benutzerdefinierte Payloads, die auf Windows-, Linux-, ESXi- und SFTP-Server abzielen 
• Betreiber können Erweiterungen konfigurieren, um zu verschlüsseln, auszuschließen, bestimmte Prozesse zu beenden (z. B. Sicherheitssoftware) und andere Elemente zu bearbeiten 
• Betreiber können ebenfalls bestimmte Hosts auf die Freigabeliste setzen, die sie vom Ransomware-Angriff ausschließen möchten 
• Die Malware ist dafür bekannt, Backups wie Volume Shadow Copies mit vssadmin – einem integrierten Windows-Dienstprogramm – zu löschen und im abgesicherten Modus laufen zu lassen, um bestimmte Sicherheitskontrollen zu umgehen 
• Missbrauch von EDR-Impact-Tools wie EDRKillShifter – ein BYOVD-Angriff (Bring Your Own Vulnerable Driver) 
• Löschen forensischer Beweise wie Ereignisprotokolle 

Schließlich wurde auch beobachtet, dass RansomHub mehrere kritische Sicherheitslücken ausnutzt, um sowohl den Erstzugriff als auch die Privilegienausweitung zu erreichen, einschließlich, aber nicht beschränkt auf folgende: 

• CVE-2023-3519 – Citrix ADC NetScaler RCE 
• CVE-2023-27532 – Veeam Backup & Replication Credential Leak 
• CVE-2023-27997 – FortiOS RCE 
• CVE-2023-48788 – FortiClientEMS RCE 
• CVE-2023-46604 – Apache OpenWire RCE 
• CVE-2023-46747 – F5 BIG-IP RCE 
• CVE-2023-22515 – Atlassian Confluence Admin Creation  
• CVE-2017-0144 – Windows SMB RCE 

Empfehlungen zur Absicherung 

Entlang der Cyber-Kill-Chain gibt es mehrere Möglichkeiten, in Erwartung eines Angriffs durch eine RansomHub-Partnerorganisation oder eine ähnliche Gruppe Ihre Unternehmensabwehr zu verstärken. Wir empfehlen: 

• Das Patchen von extern zugänglichen Systemen – eine der Aufgaben mit der höchsten Priorität, die durchgeführt werden sollten, um sicherzustellen, dass kritische Schwachstellen behoben werden. 

• Aktivieren Sie die Multifaktor-Authentifizierung (MFA) für Remote-Access-Systeme wie VPN, RDP, Citrix NetScaler, Horizon usw., und erlauben Sie keinen Netzwerkzugriff von nicht vertrauenswürdigen Geräten ohne MFA. 

• Die Gewährleistung einer 100%igen EDR-Abdeckung, um die Übertragung von Eingangs-Tools sowie die Ausführung von bösartigen Dateien zu überwachen. 

• Das Blockieren von Tunneling- und RMM-Dienstprogrammen wie Ngrok, Cloudflared, AnyDesk, SplashTop usw. – diese werden häufig von Cyber-Bedrohungen missbraucht und sollten nur mit Genehmigung des Unternehmens ausgeführt werden dürfen. 

• Die Überwachung von Datenplattformen auf anomale Zugriffsmuster und Ransomware-Versuche mit Software wie Varonis oder ähnlichem. Die Lösungen sollten die Möglichkeit bieten, herkömmliche vernetzte Dateifreigaben wie NetApp/Isolons, OneDrive/SharePoint, E-Mails, CRMs, Datenbanken, S3-Buckets usw. zu überwachen, da diese alle potenzielle Extraction-and-Impact-Ziele darstellen. 

Warten Sie nicht, bis es zu einem Verstoß kommt. 

Das Erkennen von Ransomware und den damit verbundenen Taktiken ist ein sich ständig veränderndes Katz-und-Maus-Spiel. Sobald eine Methode blockiert wurde, wechseln die Angreifer sofort zu einer neuen.  

Es ist entscheidend sicherzustellen, dass Ihr Unternehmen die richtige Technologie einsetzt, um Ihre Verteidigungsmaßnahmen so weit wie möglich zu automatisieren, indem Berechtigungen reduziert, der Zugriff eingeschränkt und alle Unternehmensdaten genau überwacht werden. 

Wenn Ihr Unternehmen von einer Sicherheitsverletzung betroffen ist, kontaktieren Sie bitte das Varonis Incident-Response-Team für sofortige Unterstützung.