Crypto24 ist eine seit Ende 2024 aktive Double-Extortion-Gruppe, die durch ein maßgeschneidertes EDR-Bypass-Tool auffiel: Es deaktiviert rund 30 Sicherheitsprodukte, teils indem es sie mit ihren eigenen Werkzeugen deinstalliert. Zuletzt (Mitte 2026) ist die Aktivität stark zurückgegangen.
Geschwächt
RaaS (Double Extortion)
Crypto24 (nicht der 2024er Infostealer-Scam)
Mitte/Ende 2024 (öffentlich stärker ab 2025)
Vermuteter Ableger erfahrener Ex-Ransomware-Betreiber
Unbekannt (RAMP-Forum, russischsprachig)
Finanzwesen, Fertigung, Technologie, Entertainment, Gesundheitswesen, Business-Services
Asien, Europa, USA; DACH: Deutschland (CMS Legal Services), Österreich – je 1 Opfer
unbekannt (Kontakt per E-Mail)
46 Opfer (Mitte 2026); letztes Opfer ~17. April 2026, seither ~78 Tage inaktiv
.crypto24
Decryption.txt
Sprache/Verschlüsselung: unbekannt (nicht offengelegt, nur „starke Verschlüsselung“).
Plattform: Windows.
Besonderheit: custom RealBlindingEDR blendet ~30 EDR/AV aus – teils per Deinstallation über deren eigene Tools.
24/7-Erkennung im Cyber Defense Center meldet EDR-Manipulation sofort – genau dort, wo Crypto24 ansetzt; Managed XDR und IR.