Ende Januar 2026 tauchte mit 0APT eine neue angebliche Ransomware-Gruppe auf, die in kürzester Zeit hunderte kompromittierte Unternehmen weltweit für sich reklamierte. Eine genauere Analyse zeigt jedoch: Hinter den lauten Drohungen steht vor allem ein ausgefeilter Bluff, der Angst vor Datenlecks ausnutzt, ohne diese in vielen Fällen technisch zu untermauern.
0APT: Aggressiver Auftritt und schnelle Widerlegung
Bereits in der ersten Woche ihrer Sichtbarkeit erklärte 0APT, mehr als 200 Organisationen erfolgreich angegriffen zu haben – ein untypisch massiver Einstieg, denn neue Ransomware-Gruppen skalieren üblicherweise schrittweise. Das GuidePoint Research and Intelligence Team (GRIT) überprüfte die Angaben und fand bei einem Großteil der genannten Unternehmen keinerlei Hinweise auf Angriffe, Infrastrukturkompromittierungen oder Datenabflüsse. Die Experten sprechen daher von einer systematischen Übertreibung und Falschdarstellung durch die Gruppe.
Leak-Seite von 0APT: Gefälschte Opferlisten und technischer Theaterdonner
Von über 200 angeblichen Opfern zu wenigen Einträgen
Am 28. Januar 2026 schaltete 0APT eine eigene Leak-Seite, auf der sofort mehr als 200 angebliche Opfer aufgeführt wurden. Nachdem erste Zweifel an der Glaubwürdigkeit publik wurden, ging die Seite am 8. Februar kurz offline und tauchte anschließend mit nur noch etwa 15 verbleibenden Firmen wieder auf. Selbst für einen Teil dieser Namen präsentierte 0APT keinerlei forensische Belege, etwa Datenausschnitte, Hash-Werte oder technische Artefakte. GRIT bewertete die Listen als weitgehend frei erfunden, teils mit Fantasiefirmen, teils mit prominenten Marken.
Scheinbare 20-GB-Leaks per /dev/random
Um den Eindruck großer Datenabflüsse zu verstärken, setzten die Betreiber auf einen simplen, aber wirkungsvollen Trick: Server von 0APT streamten zufällige Daten aus /dev/random direkt in den Browser der Besucher. Das wirkte wie der Download eines rund 20 GB großen, verschlüsselten Archivs. Für technisch weniger versierte Beobachter erscheint dies wie der Beleg riesiger Datenlecks – tatsächlich handelt es sich lediglich um bedeutungslosen Zufallsdatenstrom. Der Vorfall zeigt, wie „technischer Theaterdonner“ gezielt zur psychologischen Einschüchterung eingesetzt wird.
Geschäftsmodell: Wiederholte Erpressung mit alten und fremden Leaks
Obwohl bislang keine groß angelegte, nachweisbare Kompromittierung durch 0APT belegt ist, versucht die Gruppe offenbar dennoch, finanziellen Nutzen zu ziehen. Hinweise deuten auf eine Strategie der „Re-Extortion“ (wiederholte Erpressung) hin: Unternehmen werden mit Daten bedroht, die bereits vor Jahren von anderen Akteuren gestohlen und in Untergrundforen gehandelt wurden. Ähnliche Methoden wurden 2023 der Gruppe RansomedVC zugeschrieben, die alte Datensätze mit Open-Source-Informationen kombinierte und als „neue“ Leaks ausgab.
Für Unternehmen ohne systematische Dokumentation historischer Sicherheitsvorfälle ist die Abgrenzung schwierig: Handelt es sich um eine frische Kompromittierung oder um längst bekannte, öffentlich gewordene Daten? Berichte wie der Verizon Data Breach Investigations Report und der ENISA Threat Landscape Report weisen seit Jahren darauf hin, dass Erpresser zunehmend auf mehrstufige und wiederholte Monetarisierung derselben Datenbestände setzen.
Mogilevich als Blaupause: Betrug an Opfern und an Komplizen
Das Muster von 0APT erinnert stark an die 2024 aufgefallene Gruppe Mogilevich. Diese hatte zunächst einen angeblichen Hack von Epic Games behauptet und später eingeräumt, primär als Betrugskollektiv zu agieren. Unter Berufung auf eine vermeintliche Kompromittierung des Drohnenherstellers DJI soll Mogilevich rund 85.000 US-Dollar in Kryptowährungen von einem „Käufer“ angeblich gestohlener Daten erlangt haben – ohne belastbare Beweise für einen realen Einbruch zu liefern.
0APT geht noch einen Schritt weiter, indem auch andere Cyberkriminelle adressiert werden: Auf frühen Versionen der Leak-Seite wurden interessierte „Partner“ aufgefordert, einen Deposit von 1 Bitcoin zu zahlen, um sich an den Operationen beteiligen zu dürfen. Solche Modelle sind ein typisches Merkmal betrügerischer Ransomware-as-a-Service-Pseudoplattformen, die vor allem das Geld unerfahrener Angreifer anvisieren.
Lehren für Unternehmen: Erpressungsversuche systematisch verifizieren
Der Fall 0APT verdeutlicht, dass sich das Risiko-Szenario für Unternehmen erweitert: Neben technisch ausgefeilten Ransomware-Angriffen entstehen Kampagnen, die primär auf Angst, Unsicherheit und Desinformation basieren. Organisationen benötigen daher etablierte Prozesse, um Erpressungsversuche zu prüfen, statt reflexartig auf Drohungen zu reagieren. Dazu gehören unter anderem der Abgleich angebotener Datenauszüge mit bereits bekannten Leaks, die Einbindung externer Threat-Intelligence-Experten, eine zentrale Historie früherer Sicherheitsvorfälle sowie die Analyse forensischer Artefakte statt bloßer Behauptungen.
Gleichzeitig bleibt eine robuste Cyberhygiene entscheidend: zeitnahe Sicherheitsupdates, belastbare Backup-Strategien, konsequente Multi-Faktor-Authentifizierung, Sensibilisierung der Mitarbeitenden für Erpressungs- und Phishing-Mails sowie vorbereitete Incident-Response-Pläne. Unternehmen, die ihre Vorfälle dokumentieren und ihre Exponierung durch grundlegende Sicherheitsmaßnahmen reduzieren, sind weniger anfällig – sowohl für reale Ransomware-Angriffe als auch für professionell orchestrierten Bluff.
Der Umgang mit 0APT und ähnlichen Akteuren zeigt: Die eigentliche Gefahr liegt nicht nur in der Exfiltration sensibler Daten, sondern ebenso in der Manipulation der Furcht vor dieser Exfiltration. Organisationen, die Erpressungsversuche nüchtern prüfen, ihre Sicherheitslage realistisch einschätzen und vorausschauend in Prävention, Detection und Response investieren, senken das Risiko, Opfer von Cybererpressung zu werden – unabhängig davon, ob diese auf echter Kompromittierung oder bloß auf geschickt inszeniertem Betrug basiert.
