ZURÜCK ZU NACHRICHTEN
ForschungHoch

Scattered Lapsus Shiny Hunters: Warum Lösegeldzahlungen Cybererpressung eskalieren lassen

4 Min. LesezeitQuelle: Krebs on Security
Cybercriminal in hoodie using laptop with ransomware extortion messages and Telegram logos on screen

Die Cybererpressergruppe SLSH setzt auf psychologische Kriegsführung, um Opfer zur Zahlung zu drängen. Erfahren Sie, warum Experten von Verhandlungen abraten und wie Unternehmen sich schützen können.

SLSH eskaliert Ransomware-Taktiken mit psychologischer Kriegsführung

Eine berüchtigte Cybererpressergruppe, bekannt als Scattered Lapsus Shiny Hunters (SLSH), hat ein aggressives Vorgehen entwickelt, um Opfer zur Zahlung von Lösegeldern zu drängen. Dabei kombiniert die Gruppe Datenklau, Belästigung, Swatting und Medienmanipulation. Im Gegensatz zu traditionellen Ransomware-Banden setzt SLSH auf persönliche Drohungen gegen Führungskräfte und deren Familien, koordinierte DDoS-Angriffe und regulatorische Meldungen, um den Druck zu erhöhen. Obwohl einige Opfer angeblich zahlen – entweder um gestohlene Daten einzudämmen oder eskalierende Angriffe zu stoppen – warnen Cybersicherheitsexperten, dass jede Form der Kooperation über eine klare „Keine-Zahlung“-Haltung hinaus weitere Übergriffe fördert.

Technische Analyse: Wie SLSH operiert

Die Taktiken von SLSH weichen in mehreren Punkten von herkömmlichen Ransomware-Operationen ab:

  • Erster Zugriff: Die Gruppe verschafft sich Zugang durch telefonbasiertes Phishing, bei dem sie sich als IT-Mitarbeiter ausgibt, um Mitarbeiter zur Preisgabe von SSO-Anmeldedaten und MFA-Codes zu bewegen. Googles Mandiant berichtete, dass SLSH in jüngsten Angriffen (Januar 2026) opferspezifische Websites zur Abfrage von Anmeldedaten nutzte, um Authentifizierungsinformationen zu stehlen.

  • Eskalation der Erpressung: Opfer erfahren von einem Angriff, wenn SLSH sie öffentlich auf Telegram nennt, oft begleitet von:

    • Swatting-Angriffen (gefälschte Bombendrohungen oder Geiselnahmen, um bewaffnete Polizeieinsätze auszulösen).
    • E-Mail/SMS/Anruf-Flooding, um die Kommunikation zu überlasten.
    • Negativen PR-Kampagnen durch Medienkontakte.
    • Regulatorischen Beschwerden, um den Rufschaden zu verstärken.

  • Psychologische Kriegsführung: SLSH zielt auf Familien von Führungskräften ab, bedroht Vorstandsmitglieder und manipuliert Journalisten, um einen dauerhaften Krisenzustand zu erzeugen. Allison Nixon, Director of Research bei Unit 221B, stellt fest, dass die Strategie der Gruppe Sextortion-Schemata ähnelt, bei denen Compliance ohne Nachweis der Datenlöschung gefordert wird.

Warum sich SLSH von traditionellen Ransomware-Gruppen unterscheidet

Im Gegensatz zu disziplinierten russischen Ransomware-Affiliates (z. B. LockBit, ALPHV) agiert SLSH als flexibles, englischsprachiges Kollektiv ohne konsistente operative Sicherheit. Wichtige Unterschiede sind:

  • Unzuverlässige Zusagen: SLSH hat keine Erfolgsbilanz bei der Einhaltung von Lösegeldvereinbarungen, wie etwa der Löschung gestohlener Daten. Nixon warnt, dass Zahlungen lediglich den Wert gestohlener Datensätze bestätigen, die später für Betrug genutzt werden könnten.

  • Interne Dysfunktion: Mitglieder stammen aus The Com, einem auf Cyberkriminalität spezialisierten Discord/Telegram-Ökosystem, das für Streitigkeiten, Verrat und Drogenmissbrauch bekannt ist. Diese Instabilität untergräbt SLSHs Fähigkeit, skalierbare, professionelle Ransomware-Operationen durchzuführen.

  • Medienmanipulation: SLSH sucht aktiv Medienaufmerksamkeit, indem es sogar Todesdrohungen gegen Forscher (einschließlich Nixon und den Journalisten Brian Krebs) ausspricht, um Hype zu erzeugen und Opfer unter Druck zu setzen.

Risikoanalyse: Gefahren der Zusammenarbeit mit SLSH

Die Forschung von Unit 221B zeigt die Risiken von Verhandlungen mit SLSH auf:

  • Eskalierende Belästigung: Zahlungen motivieren zu weiteren Angriffen, einschließlich physischer Drohungen gegen Mitarbeiter und Familien.

  • Keine Garantien: SLSH kann die Löschung von Daten nicht nachweisen, und gestohlene Datensätze könnten später in Betrugsoperationen wieder auftauchen.

  • Langfristige Folgen: Opfer, die zahlen, ermutigen die Gruppe, während diejenigen, die sich weigern, mit der Zeit eine Abnahme der Belästigung erleben.

Empfehlungen für betroffene Organisationen

Sicherheitsexperten raten zu folgenden Schritten, falls eine Organisation von SLSH angegriffen wird:

  1. Nicht verhandeln: Vermeiden Sie Gespräche über Zahlungen und nehmen Sie eine klare „Keine-Zahlung“-Haltung ein, um SLSH keine Hebelwirkung zu geben.
  2. Indikatoren für Kompromittierungen (IoCs) überwachen:
    • Achten Sie auf beleidigende Erwähnungen von Forschern (z. B. Allison Nixon, Brian Krebs) oder Sicherheitsfirmen (z. B. Unit 221B) in Kommunikationen.
    • Verfolgen Sie SLSHs Telegram-Kanäle auf öffentliche Drohungen oder Datenlecks.
  3. Incident Response:
    • Isolieren Sie betroffene Systeme und widerrufen Sie kompromittierte Anmeldedaten.
    • Informieren Sie Strafverfolgungsbehörden (z. B. FBI, CISA) über Swatting-Drohungen oder physische Belästigung.
    • Bereiten Sie sich auf Medienanfragen mit einer vorab genehmigten Stellungnahme vor, um Rufschäden zu minimieren.
  4. Rechtliche und PR-Vorbereitung:
    • Koordinieren Sie mit Rechtsberatern, um regulatorische Meldungen zu bearbeiten.
    • Informieren Sie Führungskräfte und Familien über mögliche Belästigungstaktiken.

Fazit: Der einzige Gewinn liegt im Nicht-Spielen

SLSHs unberechenbares, belästigungsgetriebenes Erpressungsmodell stellt eine gefährliche Weiterentwicklung der Ransomware-Taktiken dar. Im Gegensatz zu traditionellen Banden, die auf Verschlüsselung und Entschlüsselungsschlüssel setzen, basiert SLSHs Ansatz rein auf Psychologie und nutzt Angst, Mediendruck und physische Drohungen, um Zahlungen zu erzwingen. Nixons Rat ist eindeutig: Die Weigerung zu zahlen ist der effektivste Weg, um die Hebelwirkung der Gruppe zu neutralisieren und sowohl Daten als auch persönliche Sicherheit zu schützen.

Weitere Details finden Sie im Mandiant-Bericht vom Januar 2026 zu SLSHs jüngsten Angriffen.

Teilen

TwitterLinkedIn