Threat Intelligence

Crypto24

Crypto24 schaltet mit einem eigenen Tool rund 30 EDR-/AV-Produkte stumm – ein Lehrstück, warum EDR allein nicht reicht.

Kurz erklärt

Crypto24 ist eine seit Ende 2024 aktive Double-Extortion-Gruppe, die durch ein maßgeschneidertes EDR-Bypass-Tool auffiel: Es deaktiviert rund 30 Sicherheitsprodukte, teils indem es sie mit ihren eigenen Werkzeugen deinstalliert. Zuletzt (Mitte 2026) ist die Aktivität stark zurückgegangen.

Geschwächt

Modell

RaaS (Double Extortion)

Auch bekannt als

Crypto24 (nicht der 2024er Infostealer-Scam)

Gegründet

Mitte/Ende 2024 (öffentlich stärker ab 2025)

Entstanden aus

Vermuteter Ableger erfahrener Ex-Ransomware-Betreiber

Herkunft

Unbekannt (RAMP-Forum, russischsprachig)

Zielsektoren

Finanzwesen, Fertigung, Technologie, Entertainment, Gesundheitswesen, Business-Services

Zielregionen

Asien, Europa, USA; DACH: Deutschland (CMS Legal Services), Österreich – je 1 Opfer

Typisches Lösegeld

unbekannt (Kontakt per E-Mail)

Opferzahl

46 Opfer (Mitte 2026); letztes Opfer ~17. April 2026, seither ~78 Tage inaktiv

File Extensions

.crypto24

Ransom Note

Decryption.txt

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • Manipulationsschutz der EDR/AV prüfen und Abschaltungen alarmieren – Crypto24 blendet Sicherheitsprodukte gezielt aus; dormante/Default-Admin-Konten deaktivieren.
  • Backups sofort prüfen und offline sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Sich nicht allein auf EDR verlassen – Crypto24 deaktiviert es gezielt; Abschaltungen müssen alarmieren.
  • Dormante/Default-Admin-Konten nicht offen lassen.
  • Nicht vorschnell Lösegeld zahlen – keine Garantie; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • Generali Group (Italien, Sep. 2025)
  • TransCore ITS (US/UAE, Juli 2025, 200+ GB)
  • Tan Chong Motor (Malaysia, ~300 GB)

Angriffstechniken (TTPs)

  • Initial Access: gültige/gestohlene Konten, reaktivierte dormante Admin-Konten, neue lokale User; hands-on-keyboard außerhalb der Geschäftszeiten.
    • Keine spezifischen CVEs (LOLBins + valid accounts); BYOVD für den EDR-Kill
    • MITRE: T1547, T1098, T1021, T1490, T1562.001
  • Werkzeuge: RealBlindingEDR (deaktiviert ~30 Sicherheitsprodukte), gpscript.exe (missbraucht XBCUninstaller), PsExec, AnyDesk, Keylogger WinMainSvc.dll, Exfil zu Google Drive.

Technologie & Malware

Sprache/Verschlüsselung: unbekannt (nicht offengelegt, nur „starke Verschlüsselung“).

Plattform: Windows.

Besonderheit: custom RealBlindingEDR blendet ~30 EDR/AV aus – teils per Deinstallation über deren eigene Tools.

Indicators of Compromise (IOCs)

  • File Extension: .crypto24
  • Ransom Note: Decryption.txt; Kontakt haowieo2839@proton.me
  • Malware: WinMainSvc.dll (Keylogger), MSRuntime.dll (Loader), RealBlindingEDR
  • Muster: gpscript.exe + XBCUninstaller; Exfil zu Google Drive

Was Unternehmen jetzt prüfen sollten

  • EDR-Manipulationsschutz und Alarme bei Abschaltung von Sicherheitsdiensten
  • Dormante/Default-Admin-Konten deaktivieren
  • Least Privilege und Segmentierung
  • Offline-Backups

Wie Argos unterstützt

24/7-Erkennung im Cyber Defense Center meldet EDR-Manipulation sofort – genau dort, wo Crypto24 ansetzt; Managed XDR und IR.