Die chaotische Welt der Cyberkriminalität

Absurde Geschichten aus der Cybercrime-Welt – und was CISOs daraus lernen können

Fünffach verschlüsselte Unternehmensdaten. Cyberkriminelle, die sich gegenseitig über den Tisch ziehen. Ransomware-Gangs, die ihren Opfern „Sicherheitsberichte“ verkaufen wollen. Was wie Satire klingt, ist bittere Realität.

Sophos XOps hat in den vergangenen Jahren eine ganze Sammlung skurriler Vorfälle dokumentiert – direkt aus Incident-Response-Einsätzen und Beobachtungen im Dark Web. So bizarr viele dieser Geschichten auch sind: Jede einzelne enthält eine ernsthafte Lehre für CISOs und Sicherheitsteams.‑‑Einsätzen und Beobachtungen im Dark Web. So bizarr viele dieser Geschichten auch sind: Jede einzelne enthält eine ernsthafte Lehre für CISOs und Sicherheitsteams.

Denn Cyberkriminalität ist kein geordnetes Lehrbuchproblem. Sie ist chaotisch, menschlich, manchmal grotesk – und genau deshalb noch gefährlicher.

Fall 1: Die Verschlüsselung – Extended Version

Ein Unternehmen, drei Angriffe, zwei davon innerhalb von zwei Stunden. Am Ende waren gleich mehrere bekannte Ransomware-Familien beteiligt: BlackCat, LockBit und Hive. Das Opfer musste jeden Angriff einzeln bewältigen – technisch, organisatorisch und finanziell.

Analysiert wurde der Fall im Sophos-Whitepaper „Multiple Attackers“. Er zeigt eindrücklich, wie fragmentiert und zugleich hochgradig arbeitsteilig das heutige Ransomware-Ökosystem ist.

☝️ Ein Angreifer kommt selten allein

Ransomware ist längst kein Einzelkämpfer-Geschäft mehr. Initial Access Broker verkaufen kompromittierte Zugänge weiter, Leak-Seiten dienen als Datenfundus für Folgeangriffe, und konkurrierende Gruppen stoßen zunehmend auf dieselben verwundbaren Ziele.

Für Verteidiger bedeutet das: Ein abgewehrter Angriff ist kein Entwarnungssignal. Incident Response muss davon ausgehen, dass weitere Akteure bereits im Netzwerk lauern – oder sich in Stellung bringen.

Fall 2: Betrogene Betrüger

Eine besonders aufschlussreiche Nische im Cybercrime-Milieu: Kriminelle, die andere Kriminelle angreifen. Aus gekränkter Eitelkeit, aus Rivalität – oder schlicht aus Streit um Geld.

Sophos-Analysten dokumentierten mehrfach, wie sich solche Konflikte öffentlich in Foren und Marktplätzen entluden. Die Beteiligten wenden sich an vermeintliche „Schiedsstellen“ – und legen dabei unfreiwillig ihre Karten offen.

☝️ Auch Kriminelle machen fatale Fehler, wenn Emotionen ins Spiel kommen

In solchen Auseinandersetzungen verschwinden Vorsicht und Paranoia. Ermittler stoßen plötzlich auf Wallet-Adressen, Transaktions-IDs, E-Mail-Konten, IP-Adressen, Quellcode und Screenshots.

Für Security-Teams ist das eine wichtige Erkenntnis: Cyberkriminelle sind keine anonymen Maschinen. Sie sind Menschen – mit Ego, Frust und schlechter Impulskontrolle. Genau dort entstehen Ansatzpunkte für Attribution, Störung und Strafverfolgung.

Fall 3: Illegale Pentester und dreiste „Sicherheitsberichte“

Ein besonders absurder Trend: Ransomware-Gruppen, die sich selbst als „Pentester“ bezeichnen. Manche liefern ihren Opfern nach Zahlungseingang sogar „Sicherheitsreports“ – vollgepackt mit Rechtschreibfehlern, Beleidigungen und unfreiwilliger Komik.

Sophos X‑Ops ordnet dieses Verhalten als Symptom einer zunehmenden Professionalisierung ein. Ransomware wird kommerzieller – und sucht neue Wege zur Finanzierung.

☝️ RansomwareGruppen sind keine Security-Dienstleister

„Pressemitteilungen“, Leak-Portale, angebliche Audits – all das dient nicht der Aufklärung, sondern der Erpressung. Wer Angreifern narrative Deutungshoheit über Sicherheitslücken überlässt, verliert nicht nur Geld, sondern auch Kontrolle über Kommunikation und Reputation.

Fall 4: Eiscreme, Brandstiftung und E-Liquids für Schüler

Was passiert mit den Gewinnen aus Cyberangriffen? Die Antworten sind ebenso kreativ wie verstörend.

In russischsprachigen Foren eskalierte eine harmlose Frage zur Eröffnung eines Eisstands bis hin zu detaillierten Brandstiftungsplänen. Andere diskutierten ernsthaft, ob man Malware-Entwicklung an Gefängnisinsassen auslagern könne. Ein weiterer Akteur wollte E-Liquids an Schulkinder verkaufen – und wurde dafür ausgerechnet von anderen Hackern wütend moralisch angegangen.

☝️ Nach dem Hack endet die kriminelle Energie nicht

Cybersecurity betrachtet Angriffe oft isoliert – entlang von Kill Chains, TTPs und Abwehrmaßnahmen. Doch wer dem Geld folgt, entdeckt Netzwerke, Motive und Verbindungen weit über den eigentlichen Angriff hinaus.

Forensische Ermittlungen und Threat Intelligence sind aufwendig, liefern jedoch wertvolle Kontextinformationen für Attribution, Priorisierung und strategische Abwehr.

Fazit: Chaos ist Teil der Bedrohung

Die Beispiele zeigen: Viele Angreifer experimentieren, improvisieren und scheitern. Doch auch unerfahrene oder grotesk agierende Cyberkriminelle können erheblichen Schaden anrichten.

Für CISOs zählt am Ende nicht, wie professionell ein Gegner wirkt – sondern welche Werkzeuge, Zugänge und Schwachstellen er ausnutzen kann.

Wirksame Verteidigung entsteht dort, wo Technologie, Threat Intelligence und menschliche Expertise zusammenspielen. Und wo man akzeptiert, dass Cybercrime nicht nur hochentwickelt, sondern oft auch erschreckend absurd ist.