Wer bei einem Double Extortion Ransomware-Angriff das Lösegeld bezahlt, dessen Eintrag wird auf der Blog-Seite der Täter gelöscht und man erhält einen Decryptor zum Entschlüsseln der Daten. Wer bezahlt, bekommt was versprochen wurde. Im besten Fall wird so professionell verhandelt, dass man als Opfer nicht einmal gepostet wird und der Weltöffentlichkeit verborgen bleibt. So die Theorie. Doch wie ist es um diese unausgesprochenen Verhaltensnormen bestellt? Gilt dieser Ehrenkodex noch?
Bei den Tätern handelt es ich um hochprofessionelle Cyberkriminelle – somit ist alles möglich, jedes Szenario ist denkbar. Wer sich auf Versprechungen der Täter vollumfassend „verlässt“ ist generell schlecht beraten. Auch wenn die Kommunikation während der Verhandlungen sachlich, korrekt und höflich abläuft – die Täter sind Kriminelle; und als solche grundsätzlich unberechenbar und nicht vertrauenswürdig. Ransomware-Angriffe sind beinhart und gnadenlos. Dass Täter nur in ihrem Sinne handeln, steht dabei außer Frage.
Die einzigen Normen, die immer gelten, sind folgende:
- Die Täter wollen so viel Geld als möglich aus dem Incident herausschlagen.
- Double-Extortion-Angriffe kennen kein Entgegenkommen und keine Nachsicht.
Die Gründe
Im Rahmen der Darknet-Analyse stellt die Agentur Cyberschutz immer wieder fest, dass Blog-Einträge, deren Countdown abgelaufen ist, gepostet bleiben – und zwar unverändert. Aus einem „View Data“ wird kein „Download Data“; oder der Download-Button wird nicht aktiviert. Der Blog-Eintrag wirkt wie eingefroren. Was steckt hinter dieser Art von Einträgen?
Szenario A: Das Opfer hat das Lösegeld bezahlt, die Täter geben aber auf den Ehrenkodex nicht viel und das Opfer bleibt samt den Beweismitteln online – wenigstens ohne Downloadmöglichkeit der sensiblen Daten. Auf Ewig zur Schau gestellt und der Reputation der Täter dienend, aber dennoch mit einem blauen Auge davongekommen.
Szenario B: Es wurde kein Lösegeld bezahlt. Der Hackerangriff war wenig erfolgreich. Die extrahierten Daten sind überschaubar und belanglos. Damit der Impact der Gruppierung trotzdem steigt, lässt man das Opfer mit wenigen Beweismitteln online – ohne Downloadmöglichkeit, um die schlechte Qualität der Datenpakete zu verschleiern.
Szenario C: Die Bearbeitung der Opfereinträge ist abhängig vom Affiliate. Egal ob Lösegeld bezahlt wurde oder nicht – der betreffende Affiliate lässt die Opfereinträge aus Prinzip online und die Beweismittel einsehbar. Ein weiterer Verkauf der Gesamtdaten an Dritte ist ihm zu aufwendig. Somit gibt es keine Downloadmöglichkeit.
Die Analyse
Besonders auffallend ist das Phänomen der unveränderten Opfereinträge bei den Tätergruppierungen Safepay und Qilin. Bei beiden handelt es sich um große Player in der Double-Extortion-Szene des deutschsprachigen Raumes.
Tätergruppe Qilin
Das Opfer januschke.at wurde am 19. Juni 2025 gepostet. Der Countdown wurde mit 12 Tagen festgelegt und endete am 01.07.2025. Beweismittel sind vorhanden und nach wie vor einsehbar. Es gibt jedoch keine Dateien, die downloadbar wären.

Abbildung 1: Die Abbildung zeigt einen Screenshot des Eintrages des Opfers Januschke Rechtsanwalt der Tätergruppe Qilin. Nach Ablauf des Countdowns wird die Downloadmöglichkeit nicht aktiviert. Die 12 Fotos als Beweismittel bleiben einsehbar.
Gleiches gilt für das Opfer Golf-Schoenenberg.ch. Der Eintrag wurde am 05.06.2025 gepostet. Der Countdown wurde auf 11 Tage festgelegt und endete am 16.06.2025. Die Größe des Datenpaketes ist mit 75 GB beziffert und kann nicht geöffnet oder downgeloaded werden. Nach Ablauf des Countdowns kann keine Veränderung am Eintrag festgestellt werden. Er wird bis dato weder bearbeitet noch gelöscht.

Abbildung 2: Die Abbildung zeigt einen Screenshot des Eintrages des Opfers Schönenberg Golf und Country Club der Tätergruppe Qilin. Nach Ablauf des Countdowns wird die Downloadmöglichkeit nicht aktiviert. Die 5 Fotos als Beweismittel bleiben einsehbar.
Tätergruppe Safepay
Im Fall der Tätergruppe Safepay sind mehrere Opfereinträge seit Wochen unverändert. Es handelt sich beispielsweise um die Einträge von
Frapack GmbH
Georg Eichele Bauunternehmung GmbH
Gebrüder Förster GmbH
Gemeinde Kirkel
Getriebetechnik Magdeburg GmbH
Stadt Heilbronn
Hurst + Schroeder GmbH
Heinrich + Steinhardt GmbH Architekten und Ingenieure
Diese Einträge wurden am 16.04. gepostet und sollten bis zum 20.04. laufen. In keinem Fall gibt es nach Ablauf des Countdowns Änderungen. Nach wie vor können über den Eintrag „View Data“ der Filetree aufgerufen und die Dateien eingesehen werden. Eine Gesamtdownload-Möglichkeit gibt es nicht.

Abbildung 3: Die Abbildung stellt den Opfereintrag der Frapack GmbH im zeitlichen Kontext gegenüber. Die Screenshots wurden von der Täterseite der Gruppierung Safepay angefertigt. Die linke Spalte zeigt die Einträge mit laufendem Countdown vom 16.04.2025. Die rechte Spalte zeigt die Ansicht der Einträge nach Ablauf des Countdowns.
Der Benefit der Täterkenntnis
Diese Analyse zeigt, dass im Falle eines Hackerangriffs die Täterkenntnis eine zentrale Rolle spielt. Nur wer sein Gegenüber einschätzen kann, kann der Einschätzung entsprechend handeln. Die internen Strukturen, die bevorzugte Vorgehensweise und die Bearbeitungsroutine der Blog-Seite skizziert ein Bild des Gegenübers, dessen Kenntnis dem Verhandlungsführer im Falle eines Incidents entscheidende Vorteile bringt. Auf die Besonderheiten und Eigenheiten von Tätergruppierungen wird bei Bedarf im Zuge der Verhandlungen Rücksicht genommen. Das Incident Response Team kann täterangepasste Exit-Strategien ohne Verzögerungen aufzeigen.
Die Analysten der Agentur Cyberschutz bringen diese Expertise mit. Sie steuern im Falle eines Incidents tagesaktuell die Tätercharakteristika dem Krisenstab des Incident Response Teams bei. Auf diese Weise ist sofort klar, um wen es sich beim Gegenüber handelt. Unter Beachtung sämtlicher incidentspezifischer Einflussfaktoren wird die optimalste Exit-Strategie erarbeitet und verfolgt. Denn: Hacker haben keine Ehre.
HIER geht’s zu den Informationen des Incident Response Service der Agentur Cyberschutz