Threat Intelligence

World Leaks

Der verschlüsselungsfreie Hunters-International-Nachfolger: World Leaks stiehlt Daten und erpresst – Deutschland ist eines der meistbetroffenen Länder.

Kurz erklärt

World Leaks ist der Anfang 2025 gestartete Nachfolger von Hunters International (das wiederum aus Hive hervorging). Die Gruppe verzichtet weitgehend auf Verschlüsselung und setzt auf reine Datenerpressung mit eigener Exfiltrations-Software. Deutschland gehört zu den vier meistbetroffenen Ländern.

Aktiv

Modell

Geschlossenes Affiliate-Programm / Extortion-as-a-Service (ohne Verschlüsselung)

Auch bekannt als

WorldLeaks; Nachfolger von Hunters International (Linie Hive → Hunters International → World Leaks)

Gegründet

1. Januar 2025 (erste Opfer Apr.–Juni 2025)

Entstanden aus

Rebrand von Hunters International; Linie über Hive

Herkunft

Unbekannt; russischsprachige Betreiber (GUS/Israel/Türkei ausgenommen)

Zielsektoren

Gesundheitswesen, Fertigung, Business-Services, Technologie, Energie, Verteidigung

Zielregionen

USA (~91), Deutschland Top-4 (~8), UK, Brasilien, Kanada; GUS ausgenommen

Typisches Lösegeld

unbekannt (Bitcoin, frische Wallet je Opfer)

Opferzahl

173 Opfer (Juli 2026); Tempo zuletzt rückläufig

File Extensions

keine (reine Datenerpressung; Vorgänger Hunters International: .LOCKED)

Ransom Note

keine klassische Note – Kontakt per E-Mail + Tor-Verhandlungsportal (Vorgänger: Contact Us.txt)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • SonicWall-/VPN-Appliances patchen und MFA erzwingen; Datenabfluss eingrenzen – es wird nicht verschlüsselt, Backups schützen nicht vor Veröffentlichung.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Den Datenabfluss nicht unterschätzen – ohne Verschlüsselung droht allein die Veröffentlichung.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • SonicWall-/VPN-Zugänge nicht ohne MFA betreiben.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • Dell (Juli 2025, ~1,3 TB behauptet)
  • Nike (Jan. 2026, ~1,4 TB)
  • L3Harris Technologies (Aug. 2025, US-Rüstung)

Angriffstechniken (TTPs)

  • Initial Access: kompromittierte VPN-Zugänge ohne MFA (Hauptvektor), Exploit von SonicWall SMA 100 (Cluster UNC6148, OVERSTEP-Rootkit), Phishing, RDP-Brute-Force.
    • CVE-2021-20038/-20035/-20039 (SMA100), CVE-2024-38475 (Apache), CVE-2025-32819 (SMA100)
    • MITRE: T1078, T1133, T1190, T1003, T1560, T1567
  • Vorgehen: reine Datenexfiltration ohne Verschlüsselung; proprietäre Exfil-Software, Mimikatz, SOCKS-over-Tor, MEGA.

Technologie & Malware

Kein eigener Encryptor – reine Exfiltration (Windows/Linux).

Vorgänger-Encryptor (Hunters International): Rust, AES-128 (pro Datei) + RSA; Windows/Linux/FreeBSD/SunOS/VMware ESXi.

Bedeutung: Beleg dafür, dass Top-Betreiber Verschlüsselung zugunsten schnellerer, risikoärmerer reiner Datenerpressung aufgeben.

Indicators of Compromise (IOCs)

  • Keine File-Extension (Exfil-only)
  • OVERSTEP-Rootkit: /etc/ld.so.preload, libsamba-errors.so.6
  • Ausgenutzte CVEs: CVE-2021-20038 u.a. (SonicWall SMA100)
  • Vorgänger: .LOCKED / Contact Us.txt (Hunters International)

Was Unternehmen jetzt prüfen sollten

  • VPN-/Edge-Zugänge mit MFA absichern und patchen
  • Erkennung ungewöhnlicher Datenabflüsse (DLP/Monitoring)
  • Datenklassifizierung und Verschlüsselung sensibler Ablagen
  • DSGVO-Meldeprozesse vorbereitet

Wie Argos unterstützt

Leak-/Exfiltrations-Monitoring im Cyber Defense Center, Absicherung von Fernzugängen und forensische Klärung des Datenabflusses im Ernstfall.