Threat Intelligence

RansomHub: Profil, Vorgehen und Schutzmaßnahmen

Als LockBit und ALPHV wegbrachen, sammelte RansomHub deren Affiliates ein – und wurde binnen Monaten zu einer der aktivsten Ransomware-Operationen.

Kurz erklärt

RansomHub ist eine Ransomware-as-a-Service-Plattform, die 2024 startete und gezielt erfahrene Affiliates zerschlagener Gruppen (LockBit, ALPHV/BlackCat) anwarb – mit ungewöhnlich hohen Gewinnbeteiligungen. Das Ergebnis: professionelle Angreifer, eingespielte Werkzeuge, hohe Schlagzahl über alle Branchen hinweg.

Typ

Ransomware-as-a-Service (RaaS)

Status

Aktiv – seit 2024, Affiliate-Zulauf nach LockBit-/ALPHV-Ende (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Branchenübergreifend – von Gesundheitswesen bis Industrie, alle Unternehmensgrößen

Taktiken

Double Extortion, übernommene TTPs der Ex-Affiliates: Phishing, Schwachstellen-Exploits, gestohlene Credentials

Risiko-Einschätzung

Hoch – erfahrene Angreifer unter neuem Dach

Was Unternehmen jetzt prüfen sollten

  • Grundhygiene konsequent: MFA, Patch-Management, minimale Rechte
  • Erkennung von Datenexfiltration – vor der Verschlüsselung ist der Datenabfluss das Warnsignal
  • EDR-Abdeckung auf allen Endpunkten und Servern, inklusive Alarme außerhalb der Bürozeiten
  • Incident-Response-Plan mit geübten Meldewegen (DSGVO 72h, NIS2 24h)

Wie Argos unterstützt: 24/7-Überwachung im Cyber Defense Center, Managed XDR zur frühen Eindämmung und Incident Response mit ≤ 30 Minuten Reaktionszeit remote.