Ransomware-as-a-Service (RaaS): Ein neues Geschäftsmodell

24. April 2025

Wie aktuelle Recherchen von Secureworks zeigen, entwickeln zwei Ransomware-Gruppen zunehmend ausgeklügelte Geschäftsstrategien. Sie bieten Ransomware-as-a-Service über verschiedene Affiliate-Modelle an und orientieren sich dabei auffallend stark an den Strukturen und Abläufen legaler Unternehmen.

Neue Affiliate-Modelle beleben das Ransomware-as-a-Service-Geschäft

Das Geschäftsmodell Ransomware-as-a-Service (RaaS) bleibt eine ernstzunehmende Bedrohung, denn es senkt die Einstiegshürden für Cyberkriminelle erheblich. Zwei besonders aktive Bedrohungsakteure – DragonForce und Anubis – treiben die Entwicklung in diesem Bereich nun mit innovativen Partnerprogrammen weiter voran.

Laut einer aktuellen Analyse von Secureworks, einem auf Cybersicherheit spezialisierten Tochterunternehmen von Sophos, setzen die beiden Gruppen auf erweiterte Affiliate-Modelle, die auf den ersten Blick an die Strukturen legitimer Unternehmen erinnern.

Das Prinzip hinter RaaS hat in den vergangenen Jahren stark an Bedeutung gewonnen: Erfahrene Hacker-Gruppen stellen Angriffswerkzeuge und Infrastruktur bereit, während weniger versierte Komplizen – sogenannte Affiliates – die eigentlichen Attacken ausführen. Im Gegenzug erhalten die Betreiber einen prozentualen Anteil an den erpressten Lösegeldern. Dieses arbeitsteilige Modell ermöglicht es, Angriffe im großen Stil durchzuführen – mit relativ geringem Risiko für die Drahtzieher im Hintergrund.

Ransomware-as-a-Service senkt Einstiegshürden für Cyberkriminelle – Durch das RaaS-Modell sind die technischen Einstiegshürden für Cyberkriminelle deutlich gesunken – mit der Folge, dass Unternehmen weltweit zunehmend ins Visier von Angriffen geraten.

DragonForce wird zu „Kartell“ – Neue RaaS-Struktur setzt auf Markenbildung durch Affiliates

Die Ransomware-Gruppe DragonForce trat im August 2023 zunächst als klassisches Ransomware-as-a-Service-Modell in Erscheinung. Spätestens seit Februar 2024, als die Betreiber begannen, ihr Angebot aktiv in Untergrundforen zu bewerben, nahm die Aktivität deutlich zu: Bis zum 24. März 2025 wurden insgesamt 136 Opfer auf der zugehörigen Leak-Seite veröffentlicht.

Am 19. März 2025 kündigte die Gruppe in einem Forumspost eine strategische Neuausrichtung an – samt Namenswechsel: Fortan firmiert DragonForce unter dem Namen „Kartell“. Im selben Zug stellte die Gruppe ein neues, dezentrales Partner-Modell vor, das Affiliates erlaubt, eigene Ransomware-Marken zu etablieren und individuell aufzutreten. Ziel sei es offenbar, die Reichweite zu erhöhen und die Identifizierung der Hauptakteure weiter zu erschweren.

Abbildung 1: Ankündigung von DragonForce zur Umstellung auf ein anpassbares Partnerprogramm. (Quelle: Secureworks)

DragonForce setzt auf flexible Infrastruktur für Affiliate-Angriffe – Zum Angebot gehören unter anderem Verwaltungs- und Kundenportale, Tools für Verschlüsselung und Lösegeldverhandlungen, ein zentrales Dateispeichersystem, eine Tor-basierte Leak-Seite samt .onion-Domain sowie ein technischer Support-Service.

Mit diesem modularen Ansatz unterscheidet sich DragonForce deutlich von klassischen Ransomware-as-a-Service-Angeboten. Die bereitgestellte Infrastruktur und die benutzerfreundlichen Tools machen das Modell besonders attraktiv für technisch weniger versierte Angreifer. Doch auch erfahrene Cyberkriminelle profitieren: Sie können ihre eigene Schadsoftware nutzen, ohne eine eigene Infrastruktur betreiben zu müssen – ein deutlicher Zugewinn an Flexibilität.

Für DragonForce selbst eröffnet die Öffnung für eine breitere Partnerbasis neue Gewinnchancen. Gleichzeitig birgt das geteilte System auch erhebliche Risiken: Wird ein einzelner Partner kompromittiert, könnten übergreifend sensible Betriebs- und Opferdaten offengelegt werden – ein potenzielles Einfallstor für Ermittlungsbehörden und Sicherheitsforscher.

Anubis bietet dreistufiges Erpressungsmodell – vom klassischen RaaS bis zur Eskalation gegenüber Behörden

Die Ransomware-Gruppe Anubis setzt bei der Gewinnung von Partnern auf ein flexibles Erpressungsmodell mit drei klar definierten Optionen. Seit Ende Februar 2025 wirbt die Gruppe in einschlägigen Untergrundforen mit einem dreistufigen System, das sowohl für technisch versierte Angreifer als auch für Einsteiger lukrativ erscheinen dürfte:

Ransomware-as-a-Service (RaaS): Der klassische Ansatz, bei dem Daten verschlüsselt werden. Affiliates erhalten bis zu 80 % des erpressten Lösegelds.
Datenerpressung: Hierbei verzichten die Angreifer auf die Verschlüsselung und setzen stattdessen auf reinen Datendiebstahl. Die Beute: sensible Informationen, deren Veröffentlichung angedroht wird. Affiliates werden mit 60 % am Lösegeld beteiligt.
Monetarisierung bestehender Zugriffe: Bei dieser Option unterstützen die Betreiber ihre Partner dabei, bereits kompromittierte Systeme auszunutzen. Der Affiliate-Anteil liegt bei 50 %.

Besonders ausgefeilt ist der zweite Modus, die Datenerpressung. Anubis erstellt in solchen Fällen einen „Untersuchungsbericht“ über das jeweilige Opfer – inklusive detaillierter Analyse der entwendeten Daten. Dieser Bericht wird auf einer passwortgeschützten Tor-Seite veröffentlicht. Das Opfer erhält Zugang zu dieser Seite sowie eine Verhandlungsoption. Wird das Lösegeld nicht gezahlt, drohen die Angreifer mit der Veröffentlichung auf der öffentlichen Leak-Seite von Anubis.

Zusätzlichen Druck erzeugt die Gruppe über Social Media: Auf einem X-Account (ehemals Twitter) werden die Namen kompromittierter Unternehmen öffentlich gemacht. Darüber hinaus kündigen die Betreiber an, auch die Kunden der Opfer direkt über den Vorfall zu informieren.

Eine Eskalationsstrategie, die für besonderes Aufsehen sorgt: Anubis droht, Verstöße an offizielle Aufsichtsbehörden zu melden – darunter das britische Information Commissioner’s Office (ICO), das US-Gesundheitsministerium (HHS) sowie den Europäischen Datenschutzausschuss (EDPB). Eine bislang selten genutzte, aber nicht ganz neue Taktik: Bereits im November 2023 hatte die Gruppe GOLD BLAZER der US-Börsenaufsicht SEC einen Angriff der ALPHV/BlackCat-Gruppe gemeldet, nachdem das Opfer sich geweigert hatte zu zahlen.

Auch die dritte Option – die Monetarisierung bestehender Zugriffe – zeigt Parallelen zur reinen Datenerpressung. Affiliates erhalten auch hier Zugriff auf sensible Informationen, die gezielt eingesetzt werden können, um Druck auf die Opfer auszuüben und Zahlung zu erzwingen.

Abbildung 2: Werbung für den Dienst „Anubis Accesses Monetization“ (Zugriff auf Monetarisierung). (Quelle: Secureworks)

Anubis schließt bestimmte Länder und Sektoren von Angriffen aus – Gesundheitseinrichtungen nicht ausdrücklich verschont

Wie viele andere Ransomware-Gruppen beschränken auch die Betreiber von Anubis ihre Aktivitäten geografisch – zumindest auf dem Papier. Laut ihrer eigenen Anzeige schließen sie gezielt Organisationen in postsowjetischen Staaten von Angriffen aus. Auch Länder der geopolitischen Allianz BRICS – darunter Brasilien, Russland, Indien, China, Südafrika sowie die neueren Mitglieder Ägypten, Äthiopien, Indonesien, Iran und die Vereinigten Arabischen Emirate – sollen verschont bleiben.

Darüber hinaus betonen die Betreiber, dass Bildungseinrichtungen, Regierungsstellen und gemeinnützige Organisationen nicht Ziel ihrer Kampagnen seien. Auffällig ist jedoch, dass Einrichtungen des Gesundheitswesens in dieser Auflistung nicht erwähnt werden.

Gerade dieser Sektor könnte für Anubis besonders attraktiv sein: Krankenhäuser und medizinische Einrichtungen verwalten hochsensible Daten und unterliegen strengen gesetzlichen Vorschriften – ein Umfeld, das Cybererpressern besonders viel Druckmittel in die Hand gibt. Der gezielte Ausschluss fehlt, der potenzielle Reiz bleibt.

Der Secureworks 2024 State of the Threat Report bestätigt, dass Ransomware weiterhin eine erhebliche Bedrohung für Unternehmen darstellt. Während die Strafverfolgungsbehörden gegen diese Aktivitäten vorgehen, entstehen neue Betrugsmaschen. Unabhängigen Berichten zufolge gehen die Lösegeldzahlungen jedoch zurück. Dieser Trend wird durch die steigende Zahl der Opfer bestätigt, die auf Ransomware-Leak-Seiten veröffentlicht werden, da diese Beiträge Opfer widerspiegeln, die das Lösegeld nicht gezahlt haben. Cyberkriminelle sind auf finanziellen Gewinn aus, daher wenden sie innovative Modelle und aggressive Drucktaktiken an, um den Trend zu ihren Gunsten zu wenden.

Teile diesen Beitrag: