Aktive Crime-Gruppen in Deutschland

Erläuterungen und tabellarische Übersicht
Stand: 22.11.2024

Finanziell motivierte Angreifer zielen auf verschiedensten Wegen auf Vermögenswerte von Betroffenen ab. Von Betrugsmaschen über Diebstahl bis zu Erpressungen beobachtet das BSI tagtäglich neue Angriffskampagnen. Die Erpressung mit Ransomware und Datenleaks stellt dabei nach Einschätzung des BSI gegenwärtig die größte cyberkriminelle Bedrohung für Staat, Wirtschaft und Gesellschaft dar.

In den vergangenen Jahren beobachteten das BSI wie auch nationale und internationale Partner verstärkt sogenanntes Cybercrime-as-a-Service (CCaaS). Dabei werden Bestandteile eines Cyberangriffs an jeweils spezialisierte Angreifergruppen ausgelagert, vergleichbar mit dem Outsourcing von Dienstleistungen. CCaaS erlaubt es einem Angreifer, nahezu jeden Schritt eines Angriffs als Dienstleistung von anderen Cyberkriminellen oder zumindest die dafür notwendige Schadsoftware zu beziehen. Das Bereitstellen von Schadsoftware wird dabei als Malware-as-a-Service (MaaS) bezeichnet. Auf Ransomware spezialisierte MaaS werden Ransomware-as-a-Service (RaaS) genannt.

Angreifer, die Zugänge zu Netzwerken verkaufen, heißen Access Broker und die Dienstleistung Access-as-a-Service (AaaS). Emotet und QakBot sind zwei sehr bekannte Malware-Familien, die wahrscheinlich von Access Brokern eingesetzt wurden. Access Broker zielen darauf ab, sich längerfristig Zugang zu einem Netzwerk zu verschaffen. Dafür laden sie meist über sogenannte Loader weitere Malware nach. Am 30. Mai 2024 wurde die Operation Endgame öffentlich bekannt. In diesem Rahmen wurden zahlreiche Strafverfolgungsmaßnahmen international koordiniert gegen Loader-Malwares, wie sie häufig von Access Brokern genutzt werden, vorgenommen. In der Folge vermutet das BSI, dass Angreifer nun verstärkt auf Infostealer setzen werden, welche ebenfalls weitere Malware nachladen können.

Cyberkriminelle Angreifer werden nach Möglichkeit anhand der eingesetzten Malware und Vorgehensweise in Gruppen zusammengefasst. Folgend werden einige Angreifergruppen hervorgehoben, von denen nach Einschätzung des BSI eine erhöhte Bedrohung für deutsche Organisationen ausgeht. Das BSI beobachtet darüber hinaus weitere Angreifergruppen, die wahrscheinlich auch gegen deutsche Organisationen aktiv sind.

Aktive Crime-Gruppen, die Ziele in Deutschland angreifen:
Gruppenname	Besondere Eigenschaften	Beschreibung
Bitwise Spider (aka Gold Mystic, White Janus, White Dev 66) - Aktivität signifikant abgenommen -	Verantwortlich für zugangsbeschränkte¹RaaS LockBit (aka LockBit 2.0, LockBit 3.0, ABCD) \| Malpedia-Link LockBit Umfasst Varianten LockBit RED, LockBit BLACK, LockBit GREEN, LockBit Linux/ESXi Leak-Seite bekannt Aufgrund einer wahrscheinlich hohen Anzahl an Affiliates variieren die Vorgehensweisen teilweise stark.	RaaS LockBit wahrscheinlich seit September 2019 aktiv. Keine Sektoren generell von Angriffen ausgeschlossen; öffentliche Organisationen werden ausgeschlossen, wenn diese über keinen Umsatz verfügen - Mit Abweichungen ist zu rechnen! Angriffe gegen Organisationen aus Ländern der Gemeinschaft Unabhängiger Staaten (Commonwealth of Independent States) ausgeschlossen. Betreiber der RaaS bieten cyberkriminelles Bug Bounty Programm. Am 19. und 20. Februar 2024 wurden Strafverfolgungsmaßnahmen im Rahmen der Operation Cronos gegen die RaaS LockBit bekannt. Bereits am 24. Februar 2024 wurde eine neue Leak-Seite bekannt. Am 7. Mai 2024 wurden weitere Details aus der Operation Cronos und Sanktionen gegen mindestens ein Mitglied von Bitwise Spider in Großbritannien, den Vereinigten Staaten von Amerika und Australien veröffentlicht.
Brain Spider (aka White Ea)	Verantwortlich für geschlossene² RaaS 8Base (aka EightBase) \| Malpedia-Link 8Base Leak-Seite bekannt	RaaS 8Base wahrscheinlich seit Januar 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Im dritten Quartal von 2024 wurde auf der Leak-Seite keine Aktivität beobachtet. Neue mutmaßlich Betroffene wurden erst im Oktober 2024 wieder festgestellt.
Frozen Spider (aka White Kali)	Verantwortlich für zugangsbeschränkte¹ RaaS Medusa Die Ransomware Medusa sollte nicht mit der ähnlich benannten Ransomware MedusaLocker verwechselt werden Leak-Seite bekannt	RaaS Medusa wahrscheinlich seit Ende 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt.
Graceful Spider (aka ATK103, Chimborazo, DEV-0950, Dudear, FIN11, G0092, Gold Tahoe, Hive0065, Lace Tempest, SectorJ04, Spandex Tempest, TA505, White Austaras)	Verantwortlich für GetAndGo Loader (aka Get2, FRIENDSPEAK) \| Malpedia-Link Get2 SDBBot \| Malpedia-Link SDBbot FlawedGrace (aka GraceWire) \| Malpedia-Link FlawedGrace Clop (aka Ciop, CIop, Cl0p, Ci0p, CI0p) \| Malpedia-Link Clop Leak-Seite bekannt Angreifer missbrauchten wiederholt Zero-Day-Schwachstellen in exponierten Systemen wie File-Sharing-Server Erpressungen häufig ohne Einsatz von Ransomware nur mit gestohlenen Daten	Angreifergruppe wahrscheinlich seit 2016 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Von Ende 2019 bis 2022 regelmäßig Einsatz von Ransomware Clop. Seit 2022 regelmäßig Erpressungen nur mit Datenleaks. In 2024 bisher nur geringe, aber regelmäßige Aktivität beobachtet.
Honey Spider	Verantwortlich für MaaS Shindig (aka Bumblebee) \| Malpedia-Link BumbleBee Shindig wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Shindig folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS Shindig wahrscheinlich seit März 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Shindig war Ziel der Strafverfolgungsmaßnahmen in Operation Endgame. BSI hat mehrere Monate nach Maßnahmen der Operation Endgame Berichte über neue Aktivität erhalten.
Lunar Spider (aka Gold Swathmore, White Khione)	Verantwortlich für MaaS BokBot (aka IcedID) \| Malpedia-Link IcedID Lotus (aka Latrodectus, BlackWidow, IceNova) (Malpedia-Link Latrodectus) Lotus wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Lotus folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS BokBot war wahrscheinlich seit April 2017 bis Ende 2023 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. BokBot basiert auf Banking-Trojaner Neverquest (aka Vawtrak) \| Malpedia-Link Vawtrak BokBot war Ziel der Strafverfolgungsmaßnahmen in Operation Endgame. Der Loader Lotus wird wahrscheinlich seit Oktober 2023 eingesetzt.
Mallard Spider (aka Gold Lagoon, White Horoja) - Keine signifikante Aktivität seit April 2024 beobachtet -	Verantwortlich für MaaS QakBot (aka Oakboat, PinkSlip, Pinkslipbot, Qbot, Quakbot) \| Malpedia-Link Qakbot QakBot wird von verschiedenen Access Brokern verwendet. Einem Angriff mit QakBot folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	Angreifergruppe wahrscheinlich seit Mitte 2009 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Am 29. August 2023 verkündete das FBI eine multinationale Operation gegen QakBot u. a. unter Beteiligung deutscher Strafverfolgungsbehörden. Am 11. Dezember 2023 wurde erneut Aktivität mit QakBot festgestellt.
Mummy Spider (aka Gold Crestwood, TA542, White Taranis) - Keine signifikante Aktivität seit April 2024 beobachtet -	Verantwortlich für MaaS Emotet (aka Geodo, Heodo) \| Malpedia-Link Emotet Emotet wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Emotet folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS Emotet wahrscheinlich seit 2014 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Am 27. Januar 2021 verkündete Europol eine multinationale Operation gegen Emotet u. a. unter Beteiligung deutscher Sicherheitsbehörden. Am 14. November 2021 wurde erstmals seit dem Takedown Anfang 2021 wieder Aktivität mit Emotet beobachtet.
Punk Spider (aka White Lilith)	Verantwortlich für geschlossene² RaaS Akira \| Malpedia-Link Akira Leak-Seite bekannt	RaaS Akira wahrscheinlich seit März 2023 aktiv. Angriffe gegen Regierungsorganisationen ausgeschlossen - Mit Abweichungen ist zu rechnen! Kein Ausschluss von Ländern von Angriffen bekannt. Akira basiert wahrscheinlich auf dem im Februar 2022 geleakten Quellcode der inaktiven RaaS Conti \| Malpedia-Link Conti.
Recess Spider (aka White Peryton)	Verantwortlich für die geschlossene² RaaS Play (aka PlayCrypt) \| Malpedia-Link PLAY Leak-Seite bekannt	RaaS Play wahrscheinlich seit Juni 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Erpressungsverhandlungen laufen teilweise per Mail ab.
Scattered Spider (aka 0ktapus, Dev0671, Dev0875, Dev0971, Muddled Libra, Octo Tempest, Oktapus, Roasted 0ktapus, Scatter Swine, Scattered Swine, StarFraud, Storm-0875, UNC3944, White Dev 146)	Verantwortlich für MaaS BlackLotus \| Malpedia-Link BlackLotus War Affiliate der RaaS Alphv (siehe Alpha Spider) Eher wahrscheinlich Affiliate der RaaS Qilin (siehe White Kore) Wahrscheinlich Affiliate der RaaS RansomHub (siehe White Enbarr) Wiederholt Einsatz von SIM-Swapping und Social Engineering gegen Helpdesk-Mitarbeiter zur Übernahme von validen Accounts Angreifer interagiert gezielt mit Cloud-Ressourcen von Betroffenen Registriert zum Beispiel eigene Identitätsprovider, um sich als beliebigen validen Account anmelden zu können	Affiliate-Gruppe wahrscheinlich seit März 2022 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. Scattered Spider setzte seit mindestens April 2023 Ransomware Alphv ein. Erstmals im April 2024 Hinweis auf möglichen Wechsel zur RaaS Qilin. Seit Mitte 2024 wahrscheinlich Affiliate bei RaaS RansomHub.
Vice Spider (aka White Nefas, DEV-0832, Vanilla Tempest, Vice Society)	Wahrscheinlich verantwortlich für Ransomware Rhysida \| Malpedia-Link Rhysida Alternativ Affiliate von geschlossener² RaaS Rhysida Berichte aus viertem Quartal 2024 deuten Nutzung von neuer Ransomware InterLock an	Affiliate-Gruppe wahrscheinlich seit April 2021 aktiv. Vice Spider nutzte über die Jahre eine Vielzahl verschiedener RaaS: DeathKitty (aka HelloKitty, Fivehands, Wacatac), Zeppelin (aka Buran), Hive, Quantum, Alphv, RedAlertLocker, LockBit Vice Spider etablierte die eigene Präsenz ursprünglich unter dem Namen Vice Society. RaaS Rhysida wahrscheinlich seit Mai 2023 aktiv. Ransomware InterLock erstmals im Oktober 2024 beobachtet.
White Dev 115 (aka Blackbasta, UNC3973)	Verantwortlich für zugangsbeschränkte¹ RaaS BlackBasta (aka no_name_software) \| Malpedia-Link Black Basta Leak-Seite bekannt	RaaS BlackBasta wahrscheinlich seit April 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Ein am 27. Dezember 2023 veröffentlichtes Entschlüsselungstool von SRLabs für BlackBasta ist nicht mehr effektiv. Im November 2023 wurden Samples der Ransomware bekannt, welche für die hier genutzte Schwäche in der Verschlüsselung nicht mehr verwundbar waren. In der zweiten Jahreshälfte 2024 nahm die beobachtete Aktivität ab.
White Enbarr	Verantwortlich für zugangsbeschränkte¹ RaaS RansomHub Leak-Seite bekannt	RaaS RansomHub wahrscheinlich seit Februar 2024 aktiv. Betreiber sollen Quellcode von RaaS Cyclops gekauft haben. Die ESXi-Version von RansomHub weist technische Überschneidungen mit der ESXi-Version von Cyclops (aka Knight) und Babuk \| Malpedia-Link Babuk auf. Affiliates der RaaS Alphv wechselten wahrscheinlich zu RansomHub.
White Fenrir	Verantwortlich für zugangsbeschränkte¹ MaaS DarkGate (aka Meh, MehCrypter) \| Malpedia-Link DarkGate Verantwortlich für Crypter-as-a-Service (CaaS) DarkGateCrypter Verantwortlich für Service DarkGate AutoIt Converter DarkGate wird von verschiedenen Access Brokern verwendet. Einem Angriff mit DarkGate folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS DarkGate wahrscheinlich seit 2017 aktiv, im Mai 2023 erstmals auf Untergrundforen beworben. Kein Ausschluss von Sektoren von Angriffen bekannt. Angriffe gegen Organisationen aus Russland und Moldawien ausgeschlossen. Ende 2023 hat die Betreibergruppe zum einem geschlossenen² Betriebsmodus gewechselt. Zuvor wurde die MaaS bis zu 30 Affiliates angeboten. Im November 2024 wurde DarkGate wieder als zugangsbeschränkte¹ MaaS angeboten
White Kore	Verantwortlich für RaaS Qilin (aka AgendaCrypt, Agenda) \|Malpedia-Link AgendaCrypt Leak-Seite bekannt Angreifer weisen starken Fokus auf Gesundheitssektor auf.	RaaS Qilin wahrscheinlich seit August 2022 aktiv. Samples wurden zeitweise mit Dateinamen `Agenda` verteilt, daher auch als Agenda bekannt. Mutmaßlicher Rebrand zu MichaelKors im April 2023 wurde nicht abschließend vollzogen.
White Veles (aka DEV-0504, Velvet Tempest)	Verantwortlich für ExMatter (aka Sender2) \| Malpedia-Link ExMatter	Affiliate-Gruppe wahrscheinlich seit August 2021 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. War auch Affiliate bei RaaS LockBit (siehe Bitwise Spider) und RaaS BlackMatter (siehe White Dev 115) Seit Ende Dezember 2021 Affiliate bei RaaS Alphv (siehe Alpha Spider) Aktuelle Aktivität als Affiliate bei einer anderen RaaS derzeit unbekannt.
White Yama	Verantwortlich für RaaS HuntersInternational Leak-Seite bekannt.	RaaS HuntersInternational wahrscheinlich aktiv seit Oktober 2023. HuntersInternational basiert wahrscheinlich auf Quellcode der RaaS Hive, welche seit Januar 2023 inaktiv ist.

Fussnoten:

¹ Als zugangsbeschränkte MaaS werden diejenigen MaaS bezeichnet, welche offen um neue Affiliates werben und Affiliates zum Beispiel einen Bewerbungsprozess durchlaufen lassen, bevor diese Zugriff auf den Service erhalten.

² Als geschlossene MaaS werden diejenigen MaaS bezeichnet, welche nicht offen um neue Affiliates werben. Der Service steht einer beschränkten Gruppe an Affiliates zur Verfügung und neue Affiliates kommen eher durch Einladungen hinzu.

Leak-Opfer-Statistik:

Seit 2021 gehen Ransomware-Angriffe in der Regel mit einem Datenleak einher. Die Erpressung mit Datenleaks ist gleichsam die digitale Form der Schweigegeld-Erpressung. Die kombinierte Erpressung mit Datenverschlüsselung durch Ransomware und Datenveröffentlichung durch Datenleaks wird als Double Extortion bezeichnet. Die Leak-Opfer-Statistik des BSI gibt Aufschluss über letzteres, d.h. die Opfer von Schweigegeld-Erpressungen. Zu diesem Zweck beobachtet das BSI sogenannte Leak-Seiten, auf denen Angreifer die Namen und die erbeuteten Daten von Opfern ihrer Ransomware-Angriffe veröffentlichen, wenn diese der Cybererpressung nicht nachgeben.

Über diese Leak-Seiten lassen sich also mutmaßliche Opfer erfassen, denen mit der Veröffentlichung ihrer Daten gedroht wurde. Die Leak-Opfer-Statistik ist insoweit keine Statistik über Ransomware-Angriffe, sondern über Opfer von Schweigegeld-Erpressungen. Daher wird auch von mutmaßlichen Opfern gesprochen, denn die Nennung auf einer Leak-Seite unter Kontrolle eines Angreifers bedeutet nicht zwingend, dass es tatsächlich auch zu einem Angriff kam. In einigen Fällen nennen Angreifer Namen auch nur zum Zwecke der Erpressung, ohne dass tatsächlich ein Angriff stattgefunden hat.

Mit der Beobachtung von Leak-Seiten wird nur ein Teil der Ransomware-Opfer erfasst. So werden in der Regel nur diejenigen Organisationen auf Leak-Seiten genannt und veröffentlicht, die die Zahlung eines Löse- oder Schweigegelds verweigern. Auch verwenden nicht alle Ransomware-Angreifer eine Leak-Seite. Ein großes Dunkelfeld an Ransomware-Opfern verbleibt daher. Deshalb gibt diese Erfassung auch keinen Aufschluss darüber, wie viele der tatsächlichen Opfer sich zur Zahlung eines Löse- oder Schweigegeldes entscheiden. Zudem gibt der Zeitpunkt der Veröffentlichung keinen Aufschluss über den Zeitpunkt des Ransomware-Angriffs, der bereits lange zuvor stattgefunden haben kann. Die Kategorisierung der so erfassten mutmaßlichen Opfer nach Ländern ist darüber hinaus nur eine Annäherung, da sie in der Regel nach dem Standort der Hauptniederlassung des mutmaßlichen Opfers erfolgt. Das angegriffene Netzwerksegment kann sich daher insbesondere bei global agierenden Unternehmen auch in anderen Teilen der Welt befunden haben.

Die Indizes aus der Abbildung messen das Nennen von mutmaßlichen Opfern auf Leak-Seiten. Dabei wird der Durchschnitt des Jahres 2021 als Grundlage herangezogen.

Statistik von viertem Quartal 2021 bis drittem Quartal 2024 — Quelle: BSI

Der Index für Deutschland lag im dritten Quartal 2024 bei 102 Punkten. Das bedeutet, dass die Zahl der beobachteten mutmaßlichen Opfer, die im dritten Quartal 2024 auf Leak-Seiten genannt wurden, 1,02-mal so hoch war, wie im Jahresdurchschnitt 2021. Der Vergleichsindex weltweit lag im dritten Quartal 2024 bei 175 Punkten. Im Jahresverlauf kann zum Jahresanfang eine wiederkehrende Tendenz beobachtet werden. Besonders Angreifer, die in Russland vermutet werden, reduzieren zu dieser Zeit ihre Aktivität. Vermutlich pausieren diese über das orthodoxe Weihnachten am 6. bzw. 7. Januar.

Die ersten Cyberangriffe mit Schweigegeld-Erpressung und Leak-Seiten wurden 2019 beobachtet. Im ersten Quartal 2019 griff die sich selbst Team Snatch nennende cyberkriminelle Gruppe einige Opfer an. Im vierten Quartal 2019 begann die cyberkriminelle Gruppe hinter der RaaS Maze Ransomware-Angriffe mit Leaks zu kombinieren. Im Jahr 2020 setzte sich diese Vorgehensweise bei verschiedenen cyberkriminellen Gruppen durch, worüber das BSI als Proliferation cyberkrimineller Vorgehensweisen berichtete (vgl. Die Lage der IT-Sicherheit in Deutschland 2022). Mit dem Jahr 2021 wurden Double-Extortion-Angriffe zur Regel bei einem Ransomware-Angriff. Diese Entwicklung zeigte sich in der stetigen Zunahme bis ins vierte Quartal 2021.

Die Spitze im zweiten Quartal 2022 könnte darauf zurückgehen, dass die Angreifer kurz vor Beendigung einer häufig genutzten RaaS versuchten, von möglichst vielen ihrer Opfer noch Lösegelds zu erhalten. Um den Druck zu erhöhen, wird dazu das Opfer auf der Leak-Seite genannt oder gestohlene Daten veröffentlicht, auch wenn der Betroffene aktiv in Verhandlungen eingetreten ist.

Die Anzahl an beobachteten mutmaßlichen Opfern nahm in 2023 verglichen zu den Vorjahren signifikant zu. In 2023 wurde weltweit wie auch für Deutschland im Einzelnen fast das 1,7fache des Jahresdurchschnitts 2021 beobachtet. Weltweit bedeutet das einen Anstieg von 2022 auf 2023 um nahezu 50 %, respektive für Deutschland um nahezu 30 %.

Wesentliche Faktoren für diesen Anstieg sind wahrscheinlich eine anhaltend hohe bis sehr hohe Aktivität der bedrohlichsten Akteure sowie eine Zunahme der Aktivität über alle beobachteten Leak-Seiten hinweg. Weiter beobachtete das BSI mehrere Leak-Seiten, welche nur kurze Zeit aktiv waren oder durch einzelne Kampagnen viele mutmaßlich Betroffene nannten.

Hinzu kommt möglicherweise auch eine sich ändernde Zahlungsmoral. Auf Leak-Seiten werden in der Regel nur diejenigen mutmaßlichen Opfer erfasst, die eine Löse- oder Schweigegeldzahlung hinauszögern oder verweigern. Wenn Angriffe nicht abnehmen aber mehr Opfer eine Zahlung verweigern, dürfte sich dies in der Leak-Opfer-Statistik durch eine Zunahme niederschlagen.