FBI zerschlägt Ransomware-Marktplatz Ramp

US-Behörden haben den berüchtigten Cybercrime-Marktplatz „Ramp“ stillgelegt – einen zentralen Dreh- und Angelpunkt für digitale Erpresser. Die Aktion versetzt dem globalen Ransomware-Ökosystem einen schweren Schlag.

Die Domains des Forums zeigen nun eine Beschlagnahmungsmitteilung des Federal Bureau of Investigation (FBI). Die Behörden übernahmen sowohl die öffentlich zugänglichen als auch die im Tor-Netzwerk gehosteten Seiten. Die Operation wurde mit der Staatsanwaltschaft in Florida und dem US-Justizministerium koordiniert.

Ein Marktplatz für Erpressungssoftware

„Ramp“ – kurz für „Russian Anonymous Marketplace“ – hatte sich seit 2021 zum wichtigsten Online-Forum für Ransomware-Aktivitäten entwickelt. Nachdem andere große Hacker-Foren den Handel mit Erpressungssoftware verboten, wurde Ramp zum letzten offenen Marktplatz. Hier rekrutierten kriminelle Gruppen wie Nova oder DragonForce Partner, verkauften Schadsoftware und handelten Zugänge zu gehackten Firmennetzwerken.

Passend zum Thema Ransomware und kompromittierte Serverzugänge: Viele Unternehmen unterschätzen, wie schnell Angreifer nach solchen Marktplatz-Zerschlagungen Nachfolger-Methoden nutzen, um erneut zuzuschlagen. Ein kostenloses E-Book fasst aktuelle Cyber-Security-Trends zusammen und erklärt praxisnah, welche technischen Kontrollen und organisatorischen Schritte sofort die größte Wirkung erzielen. Mit Prioritätenliste, Checkliste für IT-Verantwortliche und Tipps zur Mitarbeitersensibilisierung. Gratis Cyber-Security-Leitfaden jetzt sichern

Gegründet wurde die Plattform vom gesuchten Cyberkriminellen Mikhail Matveev, auch bekannt als „Wazawaka“. Zum Zeitpunkt der Zerschlagung wurde sie vom Administrator „Stallman“ geleitet.

Ironischer Slogan als Abschiedsgruß

Die Übernahme wurde am 28. Januar sichtbar. Die FBI-Server leiteten die Domain auf eine Beschlagnahmeseite um. In einer ironischen Geste verwendeten die Ermittler den eigenen Werbeslogan des Forums – „THE ONLY PLACE RANSOMWARE ALLOWED!“ – und versahen ihn mit einem zwinkernden Cartoon-Charakter.

Aus der Untergrundszene bestätigte „Stallman“ den Schlag auf einem konkurrierenden Forum. Er beklagte den Verlust „jahrelanger Arbeit“, kündigte aber an, sein Geschäft mit Netzwerkzugängen fortzusetzen. Bislang gab es keine offizielle Stellungnahme des FBI.

Datenfund als größter Erfolg

Sicherheitsexperten sehen in der Aktion eine massive Störung der kriminellen Infrastruktur. Der zentrale Marktplatz fällt weg, was kleinere Akteure besonders trifft. Sie müssen nun auf abgeschottete Telegram-Gruppen oder neue Foren ausweichen.

Der wertvollste Coup könnte jedoch die beschlagnahmte Serverdatenbank sein. Sie enthält potenziell IP-Adressen, E-Mails und private Nachrichten der Nutzer. Diese Daten könnten in den kommenden Monaten zu einer Welle weiterer Identifizierungen und Verhaftungen führen – ähnlich wie nach der Zerschlagung von „BreachForums“.

Anpassungsfähige Bedrohung

Trotz des Erfolgs warnen Analysten vor zu viel Optimismus. Das Ransomware-Geschäft hat sich stets als anpassungsfähig erwiesen. Gruppen tauchen unter neuem Namen wieder auf, die Kommunikation verlagert sich in verschlüsselte Kanäle.

Für Unternehmen weltweit bleibt die Bedrohung akut. Die Zahl der Angriffe stieg 2025 trotz ähnlicher Polizeiaktionen weiter an. Die jetzt gewonnenen Erkenntnisse bieten den Behörden jedoch eine seltene Chance, tief in die Strukturen der Erpresserszene vorzudringen und weitere Netzwerke zu zerschlagen.

PS: Unternehmen, die sich nach solchen Einsätzen schnell besser schützen wollen, finden in diesem kostenlosen Leitfaden klare, sofort umsetzbare Maßnahmen – von einfachen technischen Kontrollen bis zu Schulungs-Vorlagen für Mitarbeiter. Das E-Book zeigt, welche vier Schritte heute den größten Schutz bieten und enthält Checklisten, die IT-Leiter direkt einsetzen können. Gratis Cyber-Security-Leitfaden anfordern