Innerhalb kürzester Zeit ist Ransomhub zu einer der aktivsten Ransomware-Banden aufgestiegen. Erstmals im Februar 2024 beobachtet, hat die Gruppe seither weltweit hunderte Unternehmen und Organisationen attackiert. Dazu gehörten auch Opfer in der Schweiz wie Schneider Software aus Thun und der Westschweizer IT-Dienstleister Ilem. Noch im März führte sie das Security-Unternehmen Check Point in der monatlichen Statistik als die Top-Ransomware-Gruppe auf. Ransomhub sei schnell für aggressive Kampagnen bekannt geworden, die auf verschiedene Systeme wie Windows, MacOS, Linux und insbesondere VMware-Esxi-Umgebungen abzielen.

Jetzt ist die Bande plötzlich verstummt. Das letzte Opfer wurde am 31. März 2025 im Darkweb publiziert. Seither sind die meisten Seiten von Ransomhub offline. Einzig eine Darkweb-Seite ist noch erreichbar, wo man zu einem "neuen Blog" begrüsst wird. Ransomhub laufe jetzt auf Dragonforce-Systemen, heisst es dort. Dragonforce ist eine konkurrierende Ransomware-Gruppe und schreibt: "Ransomhub wir hoffen, dass es Euch gut geht, prüft unser Angebot! Wir sind für alle offen, die unseren Reihen beitreten."

Diese Hinweise würden auf eine potenzielle Fusion oder eine feindliche Übernahme von Ransomhub durch Dragonforce hindeuten, erklärt André Reichow-Prehn, Managing Partner Unit 42 des Security-Unternehmens Palo Alto Networks, gegenüber inside-it.ch. Für Holger Unterbrink, Technical Leader Cisco Talos, ist hingegen das wahrscheinliche Szenario, dass die Bande eine neue Infrastruktur aufbaut. "Wir erwarten nicht, dass Ransomhub verschwindet oder ihr Geschäft für immer einstellt."

Bis jetzt hat es laut Sergey Shykevich, Threat Intelligence Group Manager von Check Point, keine Überschneidungen der beiden Banden gegeben. "Es ist noch zu früh, um eine Aussage zu treffen, aber auch im Darkweb-Forum von Ransomhub ist der Bedrohungsakteur, der dahinter steckt, in den letzten Wochen ruhig geblieben und hat nicht auf Fragen zu den Vorfällen reagiert."

Der Konkurrent Dragonforce tauchte erstmals 2023 auf und war bislang nicht im selben Mass wie Ransomhub aktiv. Die Bande galt mit bis dato rund 150 Opfern eher als Nischen-Player im Ransomware-as-a-Service-Markt (RaaS). "Die Gruppe stammt wohl ursprünglich aus Malaysia und erregte schnell Aufmerksamkeit durch ihr aggressives Vorgehen im Bereich der Cyberkriminalität. Zu Beginn nutzte Dragonforce einen geleakten Lockbit 3.0 Builder, entwickelte jedoch im Laufe des Jahres 2024 eine eigene Ransomware-Variante", erläutert Unterbrink. Ein Teil ihres Erfolgs mache sicherlich aus, dass Affiliates aussergewöhnlich hohe Provisionen erhalten. "Berichten zufolge bis zu 80% der erbeuteten Lösegelder."

Dragonforce habe auch einen der fortschrittlichsten Payload-Builder im Untergrund: das Tool, mit dem die Affiliates die Ransomware kompilieren. "Der Builder ermöglicht unter anderem verschiedene Verschlüsselungsmodi, zeitverzögerte Ausführung, kundenspezifische Dateierweiterungen und erlaubt diverse Netzwerk-Konfigurationen. Die Ransomware ist hochgradig anpassbar", so Unterbrink von Cisco Talos gegenüber inside-it.ch.

Im März 2025 kündigte Dragonforce eine Expansion im Franchise-Stil an. "Dieses Konzept – von der Gruppe selbst als Dragonforce Ransomware Kartell bezeichnet – erlaubt es Affiliates, unter dem Dach von Dragonforce eigene Ransomware-Marken zu gründen", führt der Threat-Spezialist aus.

Ransomware-Gruppen würden häufig um Ressourcen und Partner konkurrieren und sich meist eher feindselig gegenüberstehen, erklärt André Reichow-Prehn. "Daher ist es nicht überraschend, wenn sich Gruppen gegenseitig angreifen." Auf Expansionsgelüste von Dragonforce würde auch hindeuten, dass die Bande im März bereits die Infrastruktur einer anderen rivalisierenden Gruppe kompromittiert habe, während diese sich von Blacklock in Mamona umbenennen wollte.

Alle drei Security-Experten sind sich einig, dass der RaaS-Markt äusserst dynamisch ist. "Wir sehen immer wieder, dass Ransomware-Gruppen sich zusammenschliessen, verdrängt oder übernommen werden", so Reichow-Prehn. Für Sergey Shykevich ist der aktuelle Vorgang trotzdem ungewöhnlich: "Es gibt keine exakten Fälle wie diesen, aber es gab einige Fälle von Verwechslung oder Vermischung zwischen Shame-Blogs und Infrastruktur verschiedener Gruppen. Als Darkside verschwand, wurde ein Teil seiner Infrastruktur von Blackmatter wiederverwendet. Mountlocker verschwand und dann tauchte Astrolocker auf und begann, dieselbe Opfer-Leak-Site zu nutzen."

Unter dem Titel "Dragonforce Ransomware Kartell" schreibt die Bande im Darkweb: "Es ist Zeit für eine Veränderung. Sie müssen nicht mehr unter unserer Marke arbeiten, jetzt können Sie Ihre eigene Marke unter der Schirmherrschaft eines bewährten Partners schaffen!" Die Cyberkriminellen drohen: "Wir befinden uns im globalen Update-Modus! Bitte haben Sie Geduld."