Das US-Justizministerium (DoJ) hat Anklage gegen drei ehemalige Spezialisten für Incident Response und Ransomware-Verhandlungen erhoben, die im Verdacht stehen, als Affiliates der Ransomware-Gruppe BlackCat/ALPHV agiert zu haben. Den Beschuldigten wird vorgeworfen, in die Netzwerke von fünf US-Unternehmen eingedrungen zu sein, Daten zu exfiltrieren, anschließend zu verschlüsseln und mehrmillionenschwere Kryptowährungszahlungen zu fordern.
Hintergrund der Anklage: Personen, Vorwürfe und Strafrahmen
Unter den Angeklagten sind der 28‑jährige Kevin Tyler Martin (Texas), der 33‑jährige Ryan Clifford Goldberg (Georgia) sowie ein nicht namentlich genannter Mitbeschuldigter. Die Anklagepunkte umfassen Verschwörung zur Beeinflussung des zwischenstaatlichen Handels durch Erpressung, tatsächliche Beeinflussung der Handelsaktivitäten sowie vorsätzliche Beschädigung geschützter Computer. Im Fall einer Verurteilung drohen nach US-Bundesrecht kumuliert bis zu 50 Jahre Haft.
Berufliche Herkunft und mutmaßliche Rolle im BlackCat-Ökosystem
Laut Medienberichten waren Martin und der mutmaßliche Mitstreiter zuvor bei DigitalMint tätig und führten Verhandlungen mit Erpressern; Goldberg leitete die Incident-Response-Aktivitäten bei Sygnia. Die Ermittler gehen davon aus, dass die Gruppe im Affiliate-Modell von BlackCat operierte: Initialzugang zu Unternehmensnetzen, Datenexfiltration und Deployment der Ransomware mit anschließender Erpressung.
Betroffene Branchen, geforderte Summen und bekannte Zahlung
Den Gerichtsdokumenten zufolge gehören zu den Opfern ein Medizintechnikhersteller aus Tampa (Florida), ein Pharmaunternehmen aus Maryland, eine Ingenieursfirma und eine medizinische Klinik in Kalifornien sowie ein Drohnenentwickler in Virginia. Die geforderten Lösegelder lagen zwischen 300.000 und 10 Mio. US‑Dollar. Bestätigt ist eine Zahlung in Höhe von 1,27 Mio. US‑Dollar, die das Unternehmen aus Tampa nach einer Attacke im Mai 2023 leistete.
BlackCat/ALPHV und das Ransomware‑as‑a‑Service‑Modell
BlackCat (ALPHV) gilt als eines der aktivsten Ransomware-Ökosysteme der vergangenen Jahre. Laut FBI führten Affiliates der Gruppe in den ersten beiden Jahren ihrer Aktivität über 1.000 Angriffe durch und erpressten mindestens 300 Mio. US‑Dollar. BlackCat setzt auf Ransomware‑as‑a‑Service (RaaS): Entwickler betreiben Infrastruktur und Tooling, während Affiliates die operative Kompromittierung übernehmen und die Einnahmen teilen.
Taktiken und Vorgehensweisen: Was Unternehmen erwartet
Typische Kampagnen folgen einer bekannten Kette: Initialzugang über Phishing oder die Ausnutzung von Schwachstellen am Perimeter, Privilegieneskalation, doppelte Erpressung durch Datenabfluss vor der Verschlüsselung sowie zusätzlicher Druck über drohende Veröffentlichung. Forderungen werden in der Regel in Kryptowährungen gestellt, Fristen sind knapp, und Verhandlungen laufen über abgeschirmte Kanäle. Diese Muster decken sich mit Warnungen von FBI und CISA, die seit Jahren vor der Professionalisierung von RaaS-Ökosystemen und immer effizienteren Initialzugängen warnen.
Risiken und Lehren: Insiderwissen als Verstärker
Der Fall macht deutlich, dass Branchenkenntnis und Incident‑Response‑Expertise von Tätern die Angriffswirkung erhöhen können. Betroffen sind gesundheitsnahe Sektoren, Pharma, Ingenieurwesen und Aerospace – alles Bereiche mit hohem Datenwert und geringer Toleranz für Ausfallzeiten. In solchen Umgebungen steigt der Druck, schnell zu zahlen, was Erpresser strategisch ausnutzen.
Praktische Schutzmaßnahmen mit hoher Wirksamkeit
Organisationen sollten grundlegende Cyberhygiene mit belastbarer Resilienz kombinieren: MFA und Least‑Privilege für strenges Zugriffsmanagement; Netzsegmentierung und Isolierung kritischer Systeme; konsequentes Patch‑Management für externe Dienste und Appliances; EPP/EDR mit Telemetrie und Anomalieerkennung; sowie Backups in offline/immutable-Konfiguration, regelmäßig getestet auf Wiederherstellungszeit und -vollständigkeit. Diese Empfehlungen entsprechen aktuellen Leitlinien von CISA/FBI und haben sich in Vorfällen vielfach bewährt.
Vorbereitung auf den Ernstfall: Prozesse, Recht und Forensik
Vorfälle eskalieren seltener, wenn Tabletop‑Übungen durchgeführt, Rollen und Kommunikationspfade definiert und juristische Rahmenbedingungen – inklusive frühzeitiger Einbindung von Strafverfolgungsbehörden – festgelegt sind. Dokumentierte Richtlinien zu Verhandlungsführung, Log‑Retention und schneller Forensik reduzieren Stillstand und Kosten. Ebenso wichtig ist ein geübter BC/DR‑Plan: Wiederanlaufzeiten wirken dem Erpressungshebel oft stärker entgegen als jede Einzelmaßnahme.
Unternehmen sollten jetzt ihre Sicherheitsgrundlagen prüfen, Patch‑Disziplin und Monitoring schärfen und Wiederherstellungsübungen realitätsnah testen. Wer TTPs von BlackCat und vergleichbaren RaaS‑Akteuren im Blick behält, in Erkennung und Reaktion investiert und klare Entscheidungsprozesse etabliert, senkt das Risiko substantieller Betriebsunterbrechungen – und reduziert den Handlungsspielraum der Erpresser spürbar.
