Qilin-Ransomware drängt mit „Call-a-Lawyer“-Funktion in die Cybercrime-Oberschicht

Analysen von Qualys und anderen Sicherheitsforschenden zeigen: Qilin ist kein klassisches Ransomware-Kartell mehr, sondern ein vollwertiges Cybercrime-Ökosystem. Die Gruppe bietet:

• Ransomware-Payloads in Rust und C mit ausgefeilten Tarnmechanismen,
• Loader mit Evasion-Funktionalitäten,
• Tools für Safe-Mode-Ausführung, Netzwerkausbreitung und Logbereinigung,
• Automatisierte Verhandlungswerkzeuge und nun auch
• juristische Scheinunterstützung.

Dazu kommt ein breites Zusatzangebot: SPAM-Dienste, DDoS-Funktionalität, journalistische Kommunikationshilfen, Petabyte-große Dateninfrastruktur zur Lagerung gestohlener Informationen – kurz: eine Cybercrime-Plattform mit Service-Garantie.

Mehr als Malware: Qilin als vollumfängliche Dienstleistungsplattform für Erpresser

Die jüngsten Ergänzungen im Partnerportal zeigen klar die Strategie: Qilin will nicht nur technische Tools liefern, sondern eine komplette Serviceumgebung für Cyberkriminelle schaffen. So wurden neue Features integriert, darunter:

• Ein Tool zur gezielten SPAM-Bombardierung von E-Mail-Adressen und Telefonnummern der Opferunternehmen,
• Eine Funktion für koordinierte DDoS-Angriffe,
• Ein internes „Presseteam“, das Erpressungsnachrichten medial aufbereitet,
• Und eben: das „Call Lawyer“-System, das die psychologische Belastung der Opfer erhöhen soll.

Auf einem einschlägigen Forum beschreibt die Gruppe selbst das neue Tool mit folgenden Worten: „Wenn du juristischen Rat zu deinem Ziel brauchst, klicke einfach auf den ‚Call lawyer‘-Button im Interface. Unser Team wird dich kontaktieren und qualifizierte Unterstützung leisten.“ Die angebliche Anwaltskommunikation verfolgt dabei ein klares Ziel: Unternehmen sollen durch die Andeutung rechtlicher Auseinandersetzungen eingeschüchtert werden und schneller sowie höher zahlen.

Tool-Recycling als Ausdruck technischer Gruppen-Kooperationen

Die Entwicklung erfolgt vor dem Hintergrund neuer Erkenntnisse von Intrinsec, wonach mindestens ein Affiliate der Rhysida-Ransomware-Gruppe damit begonnen hat, ein Open-Source-Tool namens Eye Pyramid C2 einzusetzen. Dabei handelt es sich vermutlich um ein Post-Exploitation-Werkzeug, das genutzt wird, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten und zusätzliche Schadsoftware nachzuladen.

Eye Pyramid C2 ist kein neues Tool – es basiert auf Python und wurde bereits im vierten Quartal 2024 von Akteuren aus dem Umfeld der RansomHub-Gruppe eingesetzt. Sein Einsatz durch Rhysida-Affiliates deutet auf eine Wiederverwertung bekannter Spionage-Backdoors hin, höchstwahrscheinlich Ergebnis von technischen Überschneidungen zwischen einzelnen Ransomware-Gruppen.

Leak enthüllt Rolle eines Ransomware-„Kreativdirektors“

Parallel dazu bringt eine neue Analyse der geleakten Chatprotokolle der Ransomware-Gruppe Black Basta weitere Details über einen bislang anonymen Akteur mit dem Alias „tinker“ ans Licht. Laut Informationen des Sicherheitsunternehmens Intel 471 war tinker ein enger Vertrauter des Gruppenleiters „tramp“ und übernahm eine besondere Rolle innerhalb der kriminellen Struktur: Er fungierte als kreativer Direktor für Erpressung und Social Engineering.

Tinker hatte offenbar Erfahrung im Aufbau und Betrieb von Callcentern – unter anderem für das inzwischen aufgelöste Conti-Kartell – und war zeitweise auch als Verhandlungsführer für die Gruppe BlackSuit (auch bekannt als Royal) tätig.

Die Chatverläufe zeigen, dass tinker eine Schlüsselfigur bei der Auswahl und Ansprache von Opfern war. Seine Aufgaben umfassten:

• Analyse der finanziellen Lage von Unternehmen auf Basis durchsuchter interner Daten,
• Bewertung der Zahlungsbereitschaft, um gezielte Forderungen zu formulieren,
• Recherche von Kontaktdaten hochrangiger Führungskräfte für gezielte Erpressung via Telefon oder Messaging,
• Verfassen maßgeschneiderter Phishing-E-Mails, um initialen Zugang zu Netzwerken zu erlangen.

Ein besonders perfides Beispiel war die von ihm entworfene Phishing-Kampagne über Microsoft Teams: Hier gaben sich Angreifer als Mitarbeiter der IT-Abteilung aus und warnten die Zielperson vor einem angeblichen Spam-Angriff. Anschließend forderten sie die Installation eines Fernwartungsprogramms wie AnyDesk – mit dem Versprechen, das System absichern zu wollen.

Sobald die Fernwartungssoftware installiert war, wurde die Zielperson mit einem angeblichen Penetrationstester der Gruppe verbunden. Dieser erledigte dann die technische Übernahme des Netzwerks und die Einrichtung dauerhafter Zugänge.

Zwischen dem 18. Dezember 2023 und dem 16. Juni 2024 soll tinker laut den geleakten Informationen mindestens 105.000 US-Dollar in Kryptowährungen erhalten haben – offenbar als Gegenleistung für seine umfangreichen Beiträge zu Black Bastas Operationen.

Allerdings ist derzeit unklar, für welche Gruppe tinker aktuell tätig ist, oder ob er möglicherweise zu einer anderen Ransomware-as-a-Service-Organisation gewechselt ist. Die professionellen Fähigkeiten und das kreative Vorgehen lassen vermuten, dass Akteure wie tinker nicht an eine einzelne Gruppe gebunden sind – sondern als Dienstleister innerhalb des Cybercrime-Ökosystems agieren.

Internationale Ermittlungen setzen Cybercrime unter Druck

Die jüngsten Fortschritte bei der Strafverfolgung von Cyberkriminellen verdeutlichen, wie intensiv der globale Kampf gegen Ransomware-Akteure geworden ist. Gleich mehrere koordinierte Einsätze in der Ukraine und Thailand haben zur Festnahme und Auslieferung mutmaßlicher Mitglieder krimineller Netzwerke geführt – darunter ein Schlüsselfigur aus dem Umfeld der Ryuk-Ransomware-Gruppe.

Ein 33-jähriger Mann wurde im April 2025 in Kyiv festgenommen und auf Antrag der US-Behörden an die Vereinigten Staaten ausgeliefert. Ihm wird vorgeworfen, als sogenannter Initial Access Broker (IAB) tätig gewesen zu sein – also als Vermittler, der durch das Ausnutzen von Schwachstellen Zugang zu Unternehmensnetzwerken verschaffte.

Laut der Nationalen Polizei der Ukraine war der Verdächtige für das gezielte Auffinden von Sicherheitslücken in Unternehmensinfrastrukturen zuständig. Die so gewonnenen Informationen wurden dann von Komplizen genutzt, um Ransomware-Angriffe zu planen und durchzuführen.

Die Ermittlungen konnten auf forensische Analysen von Geräten zurückgreifen, die bereits im November 2023 bei einer Razzia gegen Mitglieder der Ransomware-Familien LockerGoga, MegaCortex und Dharma beschlagnahmt worden waren. Die technische Auswertung führte schließlich zur Identifikation des nun festgenommenen Ryuk-Mitglieds.

Ransomware-Zentrale in thailändischem Hotel entdeckt

Zeitgleich berichten thailändische Behörden von einem weiteren Schlag gegen ein international agierendes Ransomware-Netzwerk: In einem Hotel in Pattaya wurde ein provisorisches Büro entdeckt, das sowohl als illegaler Glücksspielbetrieb als auch als Basis für Cybererpressung diente.

Im Fokus standen sechs chinesische Staatsangehörige, die mutmaßlich für eine organisierte Cybercrime-Bande arbeiteten. Ihre Aufgabe bestand laut Ermittlern darin, präparierte Links an Unternehmen zu verschicken, um diese mit Ransomware zu infizieren. Lokale Medien berichten, dass sich die Angriffe insbesondere gegen chinesische Firmen richteten und die Täter für ihre Arbeit bezahlt wurden, ähnlich einem „Crime-as-a-Service“-Modell.

Unabhängig davon meldete Thailands Central Investigation Bureau (CIB) den Erfolg von „Operation Firestorm“. Dabei wurden mehr als ein Dutzend ausländische Verdächtige festgenommen, die eine Anlagebetrugsmasche betrieben haben sollen. Sie kontaktierten gezielt Opfer in Australien und überzeugten sie telefonisch, in angeblich hochverzinsliche Anleihen zu investieren. In Wahrheit handelte es sich um eine betrügerische Online-Investmentplattform.

Die parallelen Ermittlungen in Europa und Südostasien zeigen deutlich: Die Ära grenzenloser Cyberkriminalität neigt sich dem Ende zu. Initial Access Broker, Erpressungsdienstleister und Ransomware-Betreiber geraten weltweit unter Druck.

Professionalisierung der Erpressungsindustrie schreitet voran

Die Entwicklungen bei Qilin & Co zeigen, wie sich Ransomware-Gruppen von technischen Akteuren zu kriminellen Dienstleistungsplattformen wandeln – inklusive psychologischer Kriegsführung, juristischer Inszenierung und Kommunikationssteuerung. Der Trend zur vollständigen „Cybercrime-as-a-Service“-Struktur verschärft die Bedrohungslage: Angriffe werden gezielter, aggressiver und manipulativer.

Für Unternehmen bedeutet das: Neben Prävention, schneller Reaktion, Krisenkommunikation und Schulung der Mitarbeiter muss zunehmend auch juristische Vorbereitung Teil der Abwehrstrategie sein. Denn der nächste Angriff kommt möglicherweise mit Anwaltsbrief – zumindest im Chatfenster.