Ende Januar 2026 haben Strafverfolgungsbehörden eine der sichtbarsten Infrastrukturen der Ransomware-Szene ins Visier genommen: Das Hackerforum RAMP, über Jahre eine der wenigen offenen Plattformen zur Rekrutierung und Vermarktung von Ransomware, wurde abgeschaltet. Sowohl die clearnet‑Domain ramp4u[.]io als auch die Tor‑Instanz zeigen nun ein Beschlagnahmebanner mehrerer Einheiten des US-Justizministeriums.
Operation gegen das Hackerforum RAMP: Vorgehen der US-Strafverfolger
Dem auf der Domain eingeblendeten Hinweis zufolge wurde die Maßnahme in Zusammenarbeit mit der Staatsanwaltschaft des Southern District of Florida sowie der Abteilung für Computerkriminalität und geistiges Eigentum (CCIPS) des US-Justizministeriums durchgeführt. Ein offizielles Presse-Statement lag zum Zeitpunkt der Umleitung noch nicht vor, die technischen Indikatoren entsprechen jedoch dem etablierten Vorgehen bei FBI-Beschlagnahmen.
Auffällig ist insbesondere die Änderung der DNS-Einträge: Die Domain ramp4u[.]io verweist nun auf ns1.fbi.seized.gov und ns2.fbi.seized.gov. Diese Nameserver werden typischerweise für im Rahmen von Strafverfahren eingezogene Domains genutzt. Dadurch können die Behörden zentral ein Seizure Notice ausspielen und zugleich verhindern, dass die Infrastruktur weiterhin für Cyberkriminalität missbraucht wird.
Noch unklar ist, ob die Ermittler vollständigen Zugriff auf die Forendatenbanken erlangen konnten – also auf Nutzerkonten, Private Messages und Handelsverläufe. Solche Daten waren in früheren Fällen häufig Ausgangspunkt für weitere Ermittlungen, Deanonymisierungen und internationale Festnahmen. Die Antwort auf diese Frage wird maßgeblich bestimmen, wie groß der tatsächliche Schaden für die Ransomware-Ökonomie ausfällt.
Rolle des RAMP-Forums in der Ransomware-Ökonomie
Vom Nischenforum zum Drehkreuz der Ransomware-Szene
RAMP startete im Juli 2021, in einer Phase, in der mehrere große russischsprachige Foren nach dem Angriff der Gruppe DarkSide auf Colonial Pipeline öffentlichkeitswirksam jede Werbung für Ransomware verboten. Hintergrund waren massiver politischer Druck und verstärkte Strafverfolgung durch westliche Staaten.
In diesem Umfeld positionierte sich RAMP bewusst als „letztes Refugium“ für Ransomware-Akteure. Während etablierte Foren Ransomware-Angebote unterbanden, erlaubte und förderte RAMP die Rekrutierung von Partnern, das Bewerben neuer Ransomware-Familien und den Austausch über Angriffstechniken. Damit wurde die Plattform schnell zu einem zentralen Anlaufpunkt im vor allem russischsprachigen Cybercrime-Untergrund.
Geschäftsmodell: RaaS, Initial Access und TTP-Austausch
Auf RAMP bündelten sich nahezu alle für moderne Ransomware-Kampagnen relevanten Dienstleistungen:
Ransomware-as-a-Service (RaaS): Entwickler stellten ihre Schadsoftware Partnern (Affiliates) bereit, die die eigentlichen Einbrüche und Erpressungen durchführten. Die Lösegeldzahlungen wurden prozentual zwischen Betreiber und Affiliates aufgeteilt – ein Modell, das laut Berichten von ENISA, Europol und Verizon seit Jahren maßgeblich zur Professionalisierung des Ransomware-Geschäfts beiträgt.
Initial Access Brokerage: Über sogenannte Initial Access Broker wurden fertige Zugänge zu kompromittierten Unternehmensnetzen gehandelt – etwa VPN-Accounts, gekaperte RDP-Zugänge oder Zugangsdaten zu Cloud-Umgebungen. Das verkürzt die Vorbereitungszeit einer Attacke drastisch und senkt die Einstiegshürden für weniger technisch versierte Täter.
Malware, Exploits und Taktiken: Ergänzend wurden Tools für laterale Bewegung in Netzwerken, Exploits für ungepatchte Schwachstellen sowie konkrete TTPS (Tactics, Techniques and Procedures) gehandelt und diskutiert – also erprobte Vorgehensweisen, um Backups zu sabotieren, EDR-Lösungen zu umgehen oder Erkennungsschwellen zu unterlaufen.
Reaktion der Underground-Szene und Risiken für Ex‑Nutzer
Die Beschlagnahme wurde durch einen ehemaligen RAMP-Administrator mit dem Alias Stallman auf dem bekannten Forum XSS bestätigt. Er erklärte, dass RAMP unter Kontrolle der Strafverfolgungsbehörden geraten sei und jahrelange Aufbauarbeit „resetet“ werde. Diese interne Bestätigung ist für die Szene von hoher Bedeutung, weil sie als klares Signal gilt, keine Alt-Infrastruktur mehr zu nutzen.
Aus Sicht ehemaliger RAMP-Nutzer besteht nun das Risiko, dass Kommunikations- und Transaktionsdaten ausgewertet werden. In früheren internationalen Operationen – etwa gegen große Darknet-Märkte – nutzten Behörden Foren- und Marktplatzdaten, um in den folgenden Monaten gezielt Betreiber, Moderatoren, Dienstleister und besonders aktive Händler zu identifizieren. Ob ein ähnliches Szenario hier droht, hängt davon ab, wie vollständig die Datenbanken gesichert werden konnten.
Auswirkungen auf Cybercrime-Markt und Chancen für Unternehmen
Die Abschaltung von RAMP wird Ransomware-Angriffe nicht von heute auf morgen stoppen, erzeugt aber deutliche Reibungsverluste für Täter. Ihnen fehlt kurzfristig ein etablierter Marktplatz, auf dem sie Partner rekrutieren, Zugänge handeln und die Reputation neuer Gruppen bewerten können. Erfahrung aus vergleichbaren Aktionen zeigt, dass Märkte sich danach meist fragmentieren: Akteure weichen in kleinere, geschlossene Foren, private Chats und Einladungsnetzwerke aus.
Diese Fragmentierung reduziert zwar die Transparenz für Ermittler, nimmt den Kriminellen aber zugleich „Skaleneffekte“ – etwa die schnelle Verbreitung neuer Ransomware-Familien oder den massenhaften Zugang zu initialen Zugängen. In Summe steigen dadurch die operativen Kosten für Angreifer, was insbesondere kleinere Gruppen unter Druck setzt.
Für Unternehmen entsteht damit ein Fenster, um die eigene Resilienz zu erhöhen. Branchenberichte von ENISA, Europol und Verizon zeigen seit Jahren, dass Ransomware zu den folgenschwersten Angriffsformen zählt – mit erheblichen Ausfällen, Wiederherstellungskosten und teilweise regulatorischen Konsequenzen.
Organisationen sollten diese Entwicklung nutzen, um grundlegende Sicherheitsmaßnahmen konsequent umzusetzen oder zu überprüfen: regelmäßige Offline‑Backups, Mehrfaktor-Authentifizierung für alle kritischen Zugänge, Netzsegmentierung zur Begrenzung von Seitwärtsbewegungen, Patch- und Schwachstellenmanagement, ein getesteter Incident-Response-Plan sowie Awareness-Schulungen gegen Phishing und Social Engineering. Ergänzend erhöhen moderne Endpoint Detection & Response (EDR)-Lösungen und kontinuierliches Log-Monitoring die Chancen, Angriffe frühzeitig zu erkennen.
Die Beschlagnahme des RAMP-Hackerforums unterstreicht, dass internationale Strafverfolgung die Ransomware-Infrastruktur zunehmend ins Zentrum ihrer Maßnahmen stellt. Gleichzeitig bleibt der Markt anpassungsfähig und professionell organisiert. Unternehmen sollten sich daher nicht auf Erfolge von FBI und Co. verlassen, sondern ihre eigene Cybersicherheitsstrategie aktiv weiterentwickeln – wer jetzt in Prävention, Früherkennung und Reaktionsfähigkeit investiert, reduziert sowohl die Eintrittswahrscheinlichkeit als auch den Schaden eines möglichen Ransomware-Angriffs nachhaltig.
