Threat Intelligence

ALPHV / BlackCat

Eine der fähigsten RaaS-Gruppen – die sich 2024 nach einem Millionen-Lösegeld mit einem Exit-Scam selbst auflöste.

Kurz erklärt

ALPHV (BlackCat) war eine hochprofessionelle, in Rust geschriebene Ransomware-as-a-Service-Operation (2021–2024). Nach dem Angriff auf Change Healthcare und einem kassierten Millionen-Lösegeld verschwand die Gruppe Anfang 2024 in einem Exit-Scam – zulasten der eigenen Affiliates. Viele dieser Affiliates wechselten anschließend zu RansomHub und anderen.

Typ

Ransomware-as-a-Service (RaaS, Rust)

Status

Inaktiv – Exit-Scam 2024 (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Früher Gesundheitswesen, Industrie, Dienstleister – große Ziele

Taktiken

Rust-Ransomware, Triple Extortion, Data-Leak-Site mit Suchfunktion

Risiko-Einschätzung

Reduziert – Personal in Nachfolgegruppen weiter aktiv

Was Unternehmen jetzt prüfen sollten

  • Unveränderte Grundlagen: MFA, Patch-Management, Offline-Backups
  • Beobachtung der Nachfolge-Operationen (RansomHub u. a.)
  • Erkennung von Exfiltration vor Verschlüsselung

Wie Argos unterstützt

Verhaltensbasierte 24/7-Erkennung im Cyber Defense Center wirkt gegen die TTPs, die ehemalige ALPHV-Affiliates weiter einsetzen.