LockBit zerschlagen, BlackCat kassierte das Geld, RansomHub füllte die Lücke — Wie Ransomware sich 2024 neu erfunden hat

Operation Cronos legte LockBits Infrastruktur im Februar 2024 lahm, ALPHV/BlackCat implodierte wochen später in einem 22-Millionen-Dollar-Exit-Scam, und RansomHub absorbierte die vertriebenen Affiliates, um zum produktivsten Ransomware-Betreiber des Jahres 2024 zu werden. Die Erfolge der Strafverfolgungsbehörden haben die Bedrohung nicht verkleinert — sie haben sie in etwas Volatileres und Schwerer Verfolgbares umgeformt und damit den Grundstein für ein fragmentiertes, KI-gestütztes Ökosystem gelegt, das bis Mitte 2026 weiter eskaliert.

Operation Cronos: Anatomie einer massiven Störung

Am 19. Februar 2024 führte eine Koalition aus zehn Ländern unter Führung der britischen National Crime Agency (NCA) und des FBI die Operation Cronos gegen LockBit durch — die seit mindestens 2022 dominierende Ransomware-Gruppe. Die Behörden beschlagnahmten 34 Server in mehreren Jurisdiktionen, schlossen LockBits Dark-Web-Leaksite, sperrten 14.000 illegale Konten, froren 200 Kryptowährungs-Wallets ein und erlangten über 1.000 Entschlüsselungsschlüssel. Zwei Personen wurden in Polen und der Ukraine verhaftet. Die russischen Staatsangehörigen Artur Sungatov und Ivan Kondratyev (Alias «Bassterlord») wurden in den Vereinigten Staaten angeklagt.

Die psychologische Komponente der Operation war ebenso bedeutsam wie die technische. Die Behörden nutzen LockBits eigene Leaksite, um die internen Abläufe der Gruppe offenzulegen, Affiliate-Identitäten zu veröffentlichen und personalisierte Nachrichten an Mitglieder zu schicken, die sich in ihre Kontrollpanels einloggten. Der mutmaßliche Anführer, Dmitry Yuryevich Khoroshev (Alias «LockBitSupp»), wurde öffentlich identifiziert, und das US-Außenministerium setzte eine Belohnung von 10 Millionen Dollar auf sachdienliche Hinweise zu seiner Ergreifung aus. Er wurde anschließend von den wichtigsten Cyberkriminalitätsforen ausgeschlossen, was seine Rekrutierungs- und Kommunikationskanäle abschnitt.

Die Störung war real, aber nicht dauerhaft. Innerhalb weniger Tage behauptete LockBitSupp, die Systeme wiederhergestellt zu haben. Bis Mitte 2025 hatte die Gruppe sich als LockBit 4.0 neu positioniert, ihre hybride AES-256 + RSA-2048-Verschlüsselung durch ChaCha20-Poly1305 ersetzt, ein föderiertes Hosting-Modell eingeführt und ihr Affiliate-Programm reformiert. Check Point Research bestätigte im September 2025 aktive LockBit 4.0-Erpressungskampagnen gegen Organisationen in Windows-, Linux- und ESXi-Umgebungen in Europa, Amerika und Asien.

BlackCats Exit-Scam: Ein Verrat für 22 Millionen Dollar

Während die Strafverfolgungsbehörden den LockBit-Schlag feierten, orchestrierte ALPHV/BlackCat einen der dreistesten Verräte in der Geschichte der Ransomware. Im Februar 2024 kompromittierte ein BlackCat-Affiliate Change Healthcare — eine Tochtergesellschaft von UnitedHealth Group, die jährlich 15 Milliarden Gesundheitstransaktionen abwickelt und jeden dritten US-Patientendatensatz berührt. Der initiale Angriffsvektor war ein Citrix-Fernzugriffsportal ohne Multi-Faktor-Authentifizierung.

Change Healthcare erkannte den Einbruch am 21. Februar 2024 und schaltete seine Systeme ab. UnitedHealth Group-CEO Andrew Witty bestätigte später, dass das Unternehmen ein Lösegeld von 22 Millionen Dollar in Bitcoin an BlackCat gezahlt hatte, um die Veröffentlichung von Patientendaten zu verhindern. Es half nichts. Ein verärgerter Affiliate beschuldigte die BlackCat-Betreiber öffentlich, die gesamte Zahlung einbehalten zu haben, ohne die vereinbarte Provision auszuschütten — und noch immer 4 Terabyte gestohlene Daten in Besitz zu halten. Als BlackCat im März 2024 eine gefälschte Beschlagnahmungsmeldung von Strafverfolgungsbehörden auf seiner Leaksite postete, identifizierten Forscher, darunter Fabian Wosar, Ransomware-Forschungsleiter bei Emsisoft, sie schnell als Fälschung. DOJ, Europol und NCA verneinten jede Beteiligung. BlackCat hatte seine eigenen Affiliates betrogen und den Betrieb eingestellt.

Die Kollateralschäden waren enorm. Der Angriff störte die Schadensabwicklung, Anspruchsberechtigung-Verifizierung, Zahlungsabwicklung und Apothekentransaktionen landesweit. Die American Hospital Association bezeichnete ihn als «den bedeutsamsten und folgenreichsten Vorfall dieser Art gegen das US-Gesundheitssystem in der Geschichte». UnitedHealth Group meldete Verluste von über 870 Millionen Dollar allein im ersten Quartal 2024, mit Gesamtkosten für die Reaktion von geschätzt zwischen 2,3 und 2,45 Milliarden Dollar. Die Daten von rund 190 Millionen Menschen — mehr als die Hälfte der US-Bevölkerung — wurden kompromittiert. Als weiteren Affront behauptete RansomHub anschließend, ebenfalls im Besitz der gestohlenen Change Healthcare-Daten zu sein, und forderte ein zweites Lösegeld von UnitedHealth Group.

RansomHub: Der Lückenfüller

RansomHub startete im Februar 2024 — im selben Monat wie der Change Healthcare-Angriff — und das Timing war kein Zufall. Forscher bei mehreren Unternehmen bewerten es als mögliches Rebranding oder Derivat der Knight (Cyclops) Ransomware, oder dass seine Betreiber Knights Quellcode erworben haben. Sein Geschäftsmodell war explizit darauf ausgelegt, Affiliates anzuziehen, die durch die Störungen von LockBit und BlackCat geschädigt worden waren: Affiliates verwalten Lösegeldzahlungen direkt und überweisen nur eine Provision von 10 % an die Kerngruppe, verglichen mit den für konkurrierende Plattformen typischen 20-30 %.

Die Wachstumszahlen sind eindeutig. RansomHub beanspruchte 531 neue Opfer im Jahr 2024, was 9,8 % aller weltweit erfassten Ransomware-Fälle entspricht, und wurde damit die dominierende Gruppe des Jahres. Sein Angriffsvolumen stieg im zweiten Halbjahr 2024 um 66 %. Allein im September 2024 listete RansomHub 66 Opfer in einem einzigen Monat und war für 16 % aller Ransomware-Angriffe im dritten Quartal verantwortlich. Zu den Zielen zählten Wasser- und Abwassersysteme, Regierungseinrichtungen, das Gesundheitswesen, kritische Fertigung, Finanzdienstleistungen, Transport und Kommunikationsinfrastruktur. Zu den hochkarätigen Opfern gehörten Frontier Communications, das britische Auktionshaus Christie's und Halliburton.

RansomHubs Dominanz erwies sich als kurzlebig. Am 31. März 2025 ging seine Onion-Site offline und das Kundenportal folgte am nächsten Tag. Rapid7 bestätigte Anfang April 2025 die vollständige Einstellung des Betriebs, wobei Affiliates zu DragonForce und LockBit migrierten. DragonForce behauptete anschließend, RansomHubs Infrastruktur übernommen zu haben.

Die Fragmentierungsphase und die neue Konsolidierung

Die seriellen Zusammenbrüche von LockBit, BlackCat und RansomHub erzeugten einen chaotischen Affiliate-Markt. Die Zahl öffentlich bekannter Ransomware-Gruppen wuchs von 79 im April 2023 auf 96 bis April 2025, wobei 52 neue Gruppen in einem einzigen Jahr auftauchten. Bis 2025 wurden rekordmäßig 124 verschiedene benannte Gruppen in freier Wildbahn beobachtet. Kleinere Gruppen sind schwerer zu stören: Sie benennen sich schnell um, Zuschreibung wird schwierig, und kein einzelner Schlag erzielt überproportionale Wirkung.

Zwei Gruppen drangen entschlossen in das Machtvakuum vor. Qilin (auch als Agenda erfasst), seit 2022 aktiv mit plattformübergreifenden Builds in Golang und Rust für Windows, Linux und VMware ESXi, verzeichnete im Laufe des Jahres 2025 einen Anstieg der Angriffe um 408 % und wurde im Juni 2025 zur führenden Ransomware-Gruppe. Affiliates verdienen 80-85 % der Lösegelderträge. Zu den bekannten Affiliates zählen FIN12 und Scattered Spider (Octo Tempest). Nach RansomHubs Abschaltung im April 2025 migrierten erhebliche Teile seiner Affiliates zu Qilin. Die Gruppe führte sogar einen internen «Journalisten»-Service für die Blog-Beiträge ihrer Leaksite ein — weithin als LLM-generiert eingeschätzt — sowie eine Affiliate-Supportfunktion namens «Call Lawyer».

DragonForce, seit August 2023 aktiv und über den geleakten Conti v3-Quellcode mit LockBit Green verwandt, rebrandete sich im März 2025 als «Kartell». Sein Modell erlaubt Affiliates, unter ihren eigenen Markennamen zu operieren und dabei DragonForces Infrastruktur, Tools und Support zu nutzen. Die Gruppe bietet Affiliates 80 % der Erlöse und hat über 200 Opfer im Einzelhandel, bei Fluggesellschaften, Versicherungen und Managed-Service-Providern gelistet. Sie arbeitet mit Scattered Spider zusammen und greift aktiv die Infrastruktur rivalisierender Gruppen an, um ihre Dominanz zu festigen.

Im ersten Quartal 2026 stellte Check Point Research einen Konsolidierungstrend fest, der die Fragmentierung umkehrt: Die Top-10-Gruppen begannen, einen größeren Anteil der erfassten Opfer auf sich zu vereinen, wobei Qilin, Akira und LockBit 4.0/5.0 vertriebene Affiliates in großem Maßstab absorbierten. Bei den aktuellen Raten werden die weltweiten Ransomware-Vorfälle 2026 voraussichtlich 12.000 übersteigen.

Empfehlungen für Verteidiger

• MFA auf jedem Fernzugriffsportal erzwingen, ohne Ausnahme. Die Change Healthcare-Verletzung begann mit einem Citrix-Endpunkt ohne MFA. Dieser einzige Kontrollfehler kostete UnitedHealth Group über 2 Milliarden Dollar und kompromittierte 190 Millionen Patientendatensätze.
• Nicht davon ausgehen, dass die Abschaltung einer Gruppe ihre Bedrohung beseitigt. LockBit hat sich nach großen Störungen zweimal wieder aufgebaut. Affiliates von BlackCat und RansomHub wechselten innerhalb von Wochen zu neuen Plattformen. Threat-Intelligence-Abonnements müssen Affiliate-Migration verfolgen, nicht nur benannte Gruppen.
• Backup-Integrität kontinuierlich segmentieren und testen. Sowohl RansomHub als auch Qilin zielen speziell auf ESXi-Hosts, um virtualisierte Backups zu zerstören. Luftgespaltene, getestete Recovery-Verfahren bleiben die wirksamste einzelne Maßnahme gegen Ransomware.
• Das Kartell-Modell im Blick behalten. DragonForces Affiliate-Branding-System bedeutet, dass Angriffe, die unbekannten Marken zugeschrieben werden, möglicherweise Infrastruktur, Tooling und Taktiken mit gut dokumentierten Betreibern teilen. Unbekannte Ransomware-Namen als möglicherweise kartell-assoziiert behandeln, bis das Gegenteil bewiesen ist.
• Drittparteien-Konzentrationsrisiko ist jetzt eine Vorstandsfrage. Change Healthcares Rolle bei der Verarbeitung eines Drittels aller US-Patientendatensätze verwandelte eine einzige Ransomware-Infektion in eine nationale Gesundheitskrise. Supply-Chain-Mapping und Anforderungen an die Lieferanten-Resilienz sind für kritische Infrastruktursektoren nicht mehr optional.