Threat Intelligence

Sinobi

Sinobi trägt die erprobte Lynx-/INC-Technik weiter – ein schnell aufgestiegener, stealth-orientierter Double-Extortion-Akteur gegen den Mittelstand.

Kurz erklärt

Sinobi (nach dem japanischen „Shinobi“) ist eine Mitte 2025 aufgetauchte Ransomware-Gruppe, die als Ableger von Lynx (und damit von INC Ransom) gilt. Sie wuchs rasch zu einem der aktivsten Akteure, arbeitet mit einem kleinen, eingeladenen Affiliate-Kreis und setzt auf Double Extortion gegen den Mittelstand.

Aktiv

Modell

Geschlossenes, eingeladenes RaaS; Double Extortion

Auch bekannt als

Sinobi; Linie Lynx → INC Ransom

Gegründet

Juli 2025

Entstanden aus

Rebrand/Ableger von Lynx (Linie INC Ransom)

Herkunft

Russisch/osteuropäisch (vermutet, unbestätigt)

Zielsektoren

Fertigung/Industrie (Schwerpunkt), Bau, Business-Services, Finanzwesen, Gesundheitswesen, Bildung

Zielregionen

USA (~75 %), Kanada, UK, Australien; Europa u.a. UK/IT/DK/CH; DE/AT bislang nicht gelistet

Typisches Lösegeld

unbekannt (Zielrevenue ~10–50 Mio. USD)

Opferzahl

274 Opfer (Juli 2026); rasanter Aufstieg 2025/26

File Extensions

.SINOBI

Ransom Note

README.txt (+ Wallpaper-Änderung)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • SonicWall-SSL-VPN patchen und MFA erzwingen – Sinobis Haupteinstieg; Exfiltration (Rclone/WinSCP) prüfen.
  • Backups sofort prüfen und offline sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Entschlüsselung oder Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • SonicWall-/VPN-Appliances nicht ungepatcht oder ohne MFA betreiben.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Keine dubiosen „Entschlüsselungs-Tools“ aus dem Netz einsetzen.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • MSP-/SonicWall-SSL-VPN-Kompromittierung (Aug. 2025, eSentire)
  • Rasanter Aufstieg auf Platz 3 der Gruppen (Okt. 2025)

Angriffstechniken (TTPs)

  • Initial Access: gestohlene VPN-/RDP-Zugänge (IABs), SonicWall-SSL-VPN-Exploits, Phishing.
    • CVE-2024-53704 (SonicWall SSLVPN Auth-Bypass), CVE-2024-40766 (SonicOS)
    • MITRE: T1105, T1134, T1136.001, T1486, T1490
  • Vorgehen: Datenexfiltration vor Verschlüsselung (Rclone, WinSCP), LOLBins, Schattenkopien löschen.

Technologie & Malware

Verschlüsselung: Curve25519 (Donna) + AES-128-CTR (Lynx-/INC-Erbe).

Plattformen: Windows, Linux, ESXi.

Besonderheit: trägt die erprobte Lynx-/INC-Codebasis und -Tradecraft weiter.

Indicators of Compromise (IOCs)

  • File Extension: .SINOBI
  • Ransom Note: README.txt
  • Ausgenutzte CVEs: CVE-2024-53704, CVE-2024-40766 (SonicWall)
  • Tools: Rclone, WinSCP; Krypto Curve25519 + AES-128-CTR

Was Unternehmen jetzt prüfen sollten

  • SonicWall-SSL-VPN patchen (CVE-2024-53704/-40766) und MFA erzwingen
  • Erkennung von Datenexfiltration (Rclone/WinSCP)
  • Least Privilege und Segmentierung
  • Offline-Backups

Wie Argos unterstützt

Angriffsflächen-Management und 24/7-Erkennung im Cyber Defense Center adressieren den SonicWall-VPN-Einstieg und Exfiltration.