Aktive Crime-Gruppen in Deutschland

Erläuterungen und tabellarische Übersicht
Stand: 23.05.2024

Finanziell motivierte Angreifer zielen auf verschiedensten Wegen auf Vermögenswerte von Betroffenen ab. Von Betrugsmaschen über Diebstahl bis zu Erpressungen beobachtet das BSI tagtäglich neue Angriffskampagnen. Die Erpressung mit Ransomware und Datenleaks stellt dabei nach Einschätzung des BSI gegenwärtig die größte cyberkriminelle Bedrohung für Staat, Wirtschaft und Gesellschaft dar.

In den vergangenen Jahren beobachteten das BSI wie auch nationale und internationale Partner verstärkt sogenanntes Cybercrime-as-a-Service (CCaaS). Dabei werden Bestandteile eines Cyberangriffs an jeweils spezialisierte Angreifergruppen ausgelagert, vergleichbar mit dem Outsourcing von Dienstleistungen. CCaaS erlaubt es einem Angreifer, nahezu jeden Schritt eines Angriffs als Dienstleistung von anderen Cyberkriminellen oder zumindest die dafür notwendige Schadsoftware zu beziehen. Das Bereitstellen von Schadsoftware wird dabei als Malware-as-a-Service (MaaS) bezeichnet. Auf Ransomware spezialisierte MaaS werden Ransomware-as-a-Service (RaaS) genannt.

Angreifer, die Zugänge zu Netzwerken verkaufen, heißen Access Broker und die Dienstleistung Access-as-a-Service (AaaS). Emotet und QakBot sind zwei sehr bekannte Malware-Familien, die wahrscheinlich von Access Brokern eingesetzt wurden. Im vierten Quartal 2023 beobachtete das BSI verstärkt den Einsatz von PikaBot und DarkGate bei initialen Infektionen. Kompromittierungen mit diesen Malware-Familien resultieren häufig in Ransomware-Vorfälle.

Cyberkriminelle Angreifer werden nach Möglichkeit anhand der eingesetzten Schadsoftware und Vorgehensweise in Gruppen zusammengefasst. Folgend werden einige Angreifergruppen hervorgehoben, von denen nach Einschätzung des BSI eine erhöhte Bedrohung für deutsche Organisationen ausgeht. Das BSI beobachtet darüber hinaus weitere Angreifergruppen, die wahrscheinlich auch gegen deutsche Organisationen aktiv sind.

Aktive Crime-Gruppen, die Ziele in Deutschland angreifen:
Gruppenname	Besondere Eigenschaften	Beschreibung
Alpha Spider (a.k.a. White Dev 101) - in dieser Form nicht mehr aktiv -	War verantwortlich für zugangsbeschränkte¹ RaaS Alphv (a.k.a. Alphv-ng, BlackCat, Noberus) Malpedia-Link BlackCat Leak-Seite bekannt Erpressungen werden wiederholt von Telefonanrufen begleitet, welche zu Verhandlungen auffordern.	RaaS Alphv war wahrscheinlich seit November 2021 bis März 2024 aktiv. Keine Sektoren von Angriffen ausgeschlossen. Angriffe gegen Organisationen aus Ländern der Gemeinschaft Unabhängiger Staaten (Commonwealth of Independent States) ausgeschlossen. Am 19. Dezember 2023 wurden öffentlich Strafverfolgungsmaßnahmen bestätigt. Anfang März 2024 vollzogen die Betreiber einen Exit-Scam. Die RaaS Alphv ist in der Form nicht mehr aktiv. Es liegen noch keine gesicherten Erkenntnisse über einen Rebrand vor.
Bitwise Spider (a.k.a. Gold Mystic, White Janus, White Dev 66)	Verantwortlich für zugangsbeschränkte¹RaaS LockBit (a.k.a. LockBit 2.0, LockBit 3.0, ABCD) Malpedia-Link LockBit Umfasst Varianten LockBit RED, LockBit BLACK, LockBit GREEN, LockBit Linux/ESXi Leak-Seite bekannt Aufgrund einer wahrscheinlich hohen Anzahl an Affiliates variieren die Vorgehensweisen teilweise stark.	RaaS LockBit wahrscheinlich seit September 2019 aktiv. Keine Sektoren generell von Angriffen ausgeschlossen; öffentliche Organisationen werden ausgeschlossen, wenn diese über keinen Umsatz verfügen - Mit Abweichungen ist zu rechnen! Angriffe gegen Organisationen aus Ländern der Gemeinschaft Unabhängiger Staaten (Commonwealth of Independent States) ausgeschlossen. Betreiber der RaaS bieten cyberkriminelles Bug Bounty Programm. Am 19. und 20. Februar 2024 wurden Strafverfolgungsmaßnahmen im Rahmen der Operation Cronos gegen die RaaS LockBit bekannt. Bereits am 24. Februar 2024 wurde eine neue Leak-Seite bekannt. Am 7. Mai 2024 wurden weitere Details aus der Operation Cronos und Sanktionen gegen mindestens ein Mitglied von Bitwise Spider in Großbritannien, den Vereinigten Staaten von Amerika und Australien veröffentlicht.
Brain Spider (a.k.a. White Ea)	Verantwortlich für geschlossene² RaaS 8Base (a.k.a. EightBase) Malpedia-Link 8Base Leak-Seite bekannt	RaaS 8Base wahrscheinlich seit Januar 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt.
Graceful Spider (a.k.a. ATK103, Chimborazo, DEV-0950, Dudear, FIN11, G0092, Gold Tahoe, Hive0065, Lace Tempest, SectorJ04, Spandex Tempest, TA505, White Austaras)	Verantwortlich für GetAndGo Loader (a.k.a. Get2, FRIENDSPEAK) Malpedia-Link Get2 SDBBot Malpedia-Link SDBbot GraceWire (a.k.a. FlawedGrace) Malpedia-Link FlawedGrace Clop (a.k.a. Ciop, CIop, Cl0p, Ci0p, CI0p) Malpedia-Link Clop Leak-Seite bekannt Angreifer missbrauchten wiederholt Zero-Day-Schwachstellen in exponierten Systemen wie File-Sharing-Server Erpressungen häufig ohne Einsatz von Ransomware nur mit gestohlenen Daten	Angreifergruppe wahrscheinlich seit 2016 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Seit Ende 2019 verstärkt Einsatz von Ransomware Clop. Seit 2022 verstärkt Erpressungen nur mit Datenleaks.
Honey Spider	Verantwortlich für MaaS Shindig (a.k.a. Bumblebee) Malpedia-Link BumbleBee Shindig wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Shindig folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS Shindig wahrscheinlich seit März 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt.
Lunar Spider (a.k.a. Gold Swathmore, White Khione)	Verantwortlich für MaaS BokBot (a.k.a. IcedID) Malpedia-Link IcedID Verantwortlich für Lotus (a.k.a. Latrodectus, BlackWidow, IceNova) (Malpedia-Link Unidentified 111) BokBot wird von verschiedenen Access Brokern verwendet. Einem Angriff mit BokBot folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS BokBot wahrscheinlich seit April 2017 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. BokBot basiert auf Banking-Trojaner Neverquest (a.k.a. Vawtrak) Malpedia-Link Vawtrak Der Loader Lotus wird wahrscheinlich seit Oktober 2023 eingesetzt.
Mallard Spider (a.k.a. Gold Lagoon, White Horoja)	Verantwortlich für MaaS QakBot (a.k.a. Oakboat, PinkSlip, Pinkslipbot, Qbot, Quakbot) Malpedia-Link Qakbot QakBot wird von verschiedenen Access Brokern verwendet. Einem Angriff mit QakBot folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	Angreifergruppe wahrscheinlich seit Mitte 2009 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Am 29. August 2023 verkündete das FBI eine multinationale Operation gegen QakBot u. a. unter Beteiligung deutscher Strafverfolgungsbehörden. Am 11. Dezember 2023 wurde erneut Aktivität mit QakBot festgestellt.
Mummy Spider (a.k.a. Gold Crestwood, TA542, White Taranis)	Verantwortlich für MaaS Emotet (a.k.a. Geodo, Heodo) Malpedia-Link Emotet Emotet wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Emotet folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS Emotet wahrscheinlich seit 2014 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Am 27. Januar 2021 verkündete Europol eine multinationale Operation gegen Emotet u. a. unter Beteiligung deutscher Sicherheitsbehörden. Am 14. November 2021 wurde erstmals seit dem Takedown Anfang 2021 wieder Aktivität mit Emotet beobachtet.
Punk Spider (a.k.a. White Lilith)	Verantwortlich für geschlossene² RaaS Akira Malpedia-Link Akira Leak-Seite bekannt	RaaS Akira wahrscheinlich seit März 2023 aktiv. Angriffe gegen Regierungsorganisationen ausgeschlossen - Mit Abweichungen ist zu rechnen! Kein Ausschluss von Ländern von Angriffen bekannt. Akira basiert wahrscheinlich auf dem im Februar 2022 geleakten Quellcode der inaktiven RaaS Conti.
Recess Spider (a.k.a. White Peryton)	Verantwortlich für die geschlossene² RaaS Play (a.k.a. PlayCrypt) Malpedia-Link PLAY Leak-Seite bekannt	RaaS Play wahrscheinlich seit Juni 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Erpressungsverhandlungen laufen teilweise per Mail ab.
Scattered Spider (a.k.a. 0ktapus, Dev0671, Dev0875, Dev0971, Muddled Libra, Octo Tempest, Oktapus, Roasted 0ktapus, Scatter Swine, Scattered Swine, StarFraud, Storm-0875, UNC3944, White Dev 146)	Verantwortlich für MaaS BlackLotus Malpedia-Link BlackLotus War Affiliate der RaaS Alphv (Siehe Alpha Spider) Eher wahrscheinlich Affiliate der RaaS Qilin (a.k.a. AgendaCrypt, Agenda) (Malpedia-Link AgendaCrypt) Wiederholt Einsatz von SIM-Swapping und Social Engineering gegen Helpdesk-Mitarbeiter zur Übernahme von validen Accounts Angreifer interagiert gezielt mit Cloud-Ressourcen von Betroffenen Registriert zum Beispiel eigene Identitätsprovider, um sich als beliebigen validen Account anmelden zu können	Affiliate-Gruppe wahrscheinlich seit März 2022 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. Scattered Spider setzte seit mindestens April 2023 Ransomware Alphv ein. Erstmals im April 2024 Hinweis auf möglichen Wechsel zur RaaS Qilin.
White Kali (a.k.a. Frozen Spider)	Verantwortlich für zugangs- beschränkte¹ RaaS Medusa Die Ransomware Medusa sollte nicht mit der ähnlich benannten Ransomware MedusaLocker verwechselt werden Leak-Seite bekannt	RaaS Medusa wahrscheinlich seit Ende 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt.
White Dev 115 (a.k.a. Blackbasta, UNC3973)	Verantwortlich für zugangsbeschränkte¹ RaaS BlackBasta (a.k.a. no_name_software) Malpedia-Link Black Basta Leak-Seite bekannt	RaaS BlackBasta wahrscheinlich seit April 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Ein am 27. Dezember 2023 veröffentlichtes Entschlüsselungstool von SRLabs für BlackBasta ist nicht mehr effektiv. Im November 2023 wurden Samples der Ransomware bekannt, welche für die hier genutzte Schwäche in der Verschlüsselung nicht mehr verwundbar waren.
White Fenrir	Verantwortlich für geschlossene² MaaS DarkGate (a.k.a. Meh, MehCrypter) Malpedia-Link DarkGate DarkGate wird von verschiedenen Access Brokern verwendet. Einem Angriff mit DarkGate folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS DarkGate wahrscheinlich seit 2017 aktiv, im Mai 2023 erstmals auf Untergrundforen beworben. Kein Ausschluss von Sektoren von Angriffen bekannt. Angriffe gegen Organisationen aus Russland und Moldawien ausgeschlossen. Ende 2023 hat die Betreibergruppe zum einem geschlossenen² Betriebsmodus gewechselt. Zuvor wurde die MaaS bis zu 30 Affiliates angeboten.
White Veles (a.k.a. DEV-0504, Velvet Tempest)	Verantwortlich für ExMatter (a.k.a. Sender2) Malpedia-Link ExMatter	Affiliate-Gruppe wahrscheinlich seit August 2021 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. War auch Affiliate bei RaaS LockBit (siehe Bitwise Spider) und RaaS BlackMatter Seit Ende Dezember 2021 Affiliate bei RaaS Alphv (siehe Alpha Spider) Aktuelle Aktivität als Affiliate bei einer anderen RaaS derzeit unbekannt.

Fussnoten:

¹ Als zugangsbeschränkte MaaS werden diejenigen MaaS bezeichnet, welche offen um neue Affiliates werben und Affiliates zum Beispiel einen Bewerbungsprozess durchlaufen lassen, bevor diese Zugriff auf den Service erhalten.

² Als geschlossene MaaS werden diejenigen MaaS bezeichnet, welche nicht offen um neue Affiliates werben. Der Service steht einer beschränkten Gruppe an Affiliates zur Verfügung und neue Affiliates kommen eher durch Einladungen hinzu.

Leak-Opfer-Statistik:

Seit 2021 gehen Ransomware-Angriffe in der Regel mit einem Datenleak einher. Die Erpressung mit Datenleaks ist gleichsam die digitale Form der Schweigegeld-Erpressung. Die kombinierte Erpressung mit Datenverschlüsselung durch Ransomware und Datenveröffentlichung durch Datenleaks wird als Double Extortion bezeichnet. Die Leak-Opfer-Statistik des BSI gibt Aufschluss über letzteres, d.h. die Opfer von Schweigegeld-Erpressungen. Zu diesem Zweck beobachtet das BSI sogenannte Leak-Seiten, auf denen Angreifer die Namen und die erbeuteten Daten von Opfern ihrer Ransomware-Angriffe veröffentlichen, wenn diese der Cybererpressung nicht nachgeben.

Über diese Leak-Seiten lassen sich also mutmaßliche Opfer erfassen, denen mit der Veröffentlichung ihrer Daten gedroht wurde. Die Leak-Opfer-Statistik ist insoweit keine Statistik über Ransomware-Angriffe, sondern über Opfer von Schweigegeld-Erpressungen. Daher wird auch von mutmaßlichen Opfern gesprochen, denn die Nennung auf einer Leak-Seite unter Kontrolle eines Angreifers bedeutet nicht zwingend, dass es tatsächlich auch zu einem Angriff kam. In einigen Fällen nennen Angreifer Namen auch nur zum Zwecke der Erpressung, ohne dass tatsächlich ein Angriff stattgefunden hat.

Mit der Beobachtung von Leak-Seiten wird nur ein Teil der Ransomware-Opfer erfasst. So werden in der Regel nur diejenigen Organisationen auf Leak-Seiten genannt und veröffentlicht, die die Zahlung eines Löse- oder Schweigegelds verweigern. Auch verwenden nicht alle Ransomware-Angreifer eine Leak-Seite. Ein großes Dunkelfeld an Ransomware-Opfern verbleibt daher. Deshalb gibt diese Erfassung auch keinen Aufschluss darüber, wie viele der tatsächlichen Opfer sich zur Zahlung eines Löse- oder Schweigegeldes entscheiden. Zudem gibt der Zeitpunkt der Veröffentlichung keinen Aufschluss über den Zeitpunkt des Ransomware-Angriffs, der bereits lange zuvor stattgefunden haben kann. Die Kategorisierung der so erfassten mutmaßlichen Opfer nach Ländern ist darüber hinaus nur eine Annäherung, da sie in der Regel nach dem Standort der Hauptniederlassung des mutmaßlichen Opfers erfolgt. Das angegriffene Netzwerksegment kann sich daher insbesondere bei global agierenden Unternehmen auch in anderen Teilen der Welt befunden haben.

Die Indizes aus der Abbildung messen das Nennen von mutmaßlichen Opfern auf Leak-Seiten. Dabei wird der Durchschnitt des Jahres 2021 als Grundlage herangezogen.

Statistik von 2019 bis Ende 2023 — Quelle: BSI

Der Index für Deutschland lag im vierten Quartal 2023 bei 152,5 Punkten. Das bedeutet, dass die Zahl der beobachteten mutmaßlichen Opfer, die im vierten Quartal 2023 auf Leak-Seiten genannt wurden, 1,525-mal so hoch war, wie im Jahresdurchschnitt 2021. Der Vergleichsindex weltweit lag im vierten Quartal 2023 bei 167,9 Punkten. Im Jahresverlauf kann zum Jahresanfang eine wiederkehrende Tendenz beobachtet werden. Besonders Angreifer, die in Russland vermutet werden, reduzieren zu dieser Zeit ihre Aktivität. Vermutlich pausieren diese über das orthodoxe Weihnachten am 6. bzw. 7. Januar.

Die ersten Cyberangriffe mit Schweigegeld-Erpressung und Leak-Seiten wurden 2019 beobachtet. Im ersten Quartal 2019 griff die sich selbst Team Snatch nennende cyberkriminelle Gruppe einige Opfer an. Im vierten Quartal 2019 begann die cyberkriminelle Gruppe hinter der RaaS Maze Ransomware-Angriffe mit Leaks zu kombinieren. Im Jahr 2020 setzte sich diese Vorgehensweise bei verschiedenen cyberkriminellen Gruppen durch, worüber das BSI als Proliferation cyberkrimineller Vorgehensweisen berichtete (vgl. Die Lage der IT-Sicherheit in Deutschland 2022). Mit dem Jahr 2021 wurden Double-Extortion-Angriffe zur Regel bei einem Ransomware-Angriff. Diese Entwicklung zeigte sich in der stetigen Zunahme bis ins vierte Quartal 2021.

Die Spitze im zweiten Quartal 2022 könnte darauf zurückgehen, dass die Angreifer kurz vor Beendigung einer häufig genutzten RaaS versuchten, von möglichst vielen ihrer Opfer noch Lösegelds zu erhalten. Um den Druck zu erhöhen, wird dazu das Opfer auf der Leak-Seite genannt oder gestohlene Daten veröffentlicht, auch wenn der Betroffene aktiv in Verhandlungen eingetreten ist.

Die Anzahl an beobachteten mutmaßlichen Opfern nahm in 2023 verglichen zu den Vorjahren signifikant zu. In 2023 wurde weltweit wie auch für Deutschland im Einzelnen fast das 1,7fache des Jahresdurchschnitts 2021 beobachtet. Weltweit bedeutet das einen Anstieg von 2022 auf 2023 um nahezu 50 %, respektive für Deutschland um nahezu 30 %.

Wesentliche Faktoren für diesen Anstieg sind wahrscheinlich eine anhaltend hohe bis sehr hohe Aktivität der bedrohlichsten Akteure sowie eine Zunahme der Aktivität über alle beobachteten Leak-Seiten hinweg. Weiter beobachtete das BSI mehrere Leak-Seiten, welche nur kurze Zeit aktiv waren oder durch einzelne Kampagnen viele mutmaßlich Betroffene nannten.

Hinzu kommt möglicherweise auch eine sich ändernde Zahlungsmoral. Auf Leak-Seiten werden in der Regel nur diejenigen mutmaßlichen Opfer erfasst, die eine Löse- oder Schweigegeldzahlung hinauszögern oder verweigern. Wenn Angriffe nicht abnehmen aber mehr Opfer eine Zahlung verweigern, dürfte sich dies in der Leak-Opfer-Statistik durch eine Zunahme niederschlagen.

Navigation und Service

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Suche

Häufig gesucht

Aktive Crime-Gruppen in Deutschland

Leak-Opfer-Statistik:

Ähnliche Themen