FBI zerschlägt zentrale Drehscheibe für Ransomware-Kriminelle

Die US-Bundespolizei FBI hat das berüchtigte Darknet-Forum RAMP beschlagnahmt – eine zentrale Handelsplattform für Erpressungssoftware und Cyberkriminelle. Die Aktion am Mittwoch ist ein schwerer Schlag gegen die international organisierte digitale Erpressung.

Operation „The Only Place“: FBI übernimmt Kontrolle

Bei der koordinierten Aktion übernahmen US-Behörden sowohl den versteckten Tor-Dienst als auch die öffentliche Domain ramp4u.io. Besucher werden seitdem mit einem Beschlagnahmebanner begrüßt, das die Siegel von FBI und Justizministerium zeigt. In einer psychologischen Kampagne zitiert die Seite den eigenen Slogan des Forums – „The Only Place Ransomware Allowed“ – und kombiniert ihn mit einem zwinkernden Bild von Mascha, der Figur aus der russischen Zeichentrickserie Mascha und der Bär.

Die Domain wurde auf Server der Strafverfolger umgeleitet (ns1.fbi.seized.gov). Die Kontrolle über die Backend-Systeme versetzt die Ermittler in eine Schlüsselposition: Sie erhalten wahrscheinlich Zugriff auf Nutzerdatenbanken, private Nachrichten und Transaktionsprotokolle. Solche Informationen dienen oft dazu, anonyme Täter zu identifizieren und deren Netzwerke auch Monate nach der Schließung zu zerschlagen.

Cyberangriffe wie Ransomware bedrohen Unternehmen direkt – besonders wenn Täter Zugangsdaten und Exploits über große Marktplätze handeln. Ein kostenloser Experten-Report fasst aktuelle Bedrohungstrends zusammen, nennt prioritäre Schutzmaßnahmen für kleine und mittlere Unternehmen und liefert eine praxiserprobte Checkliste für IT-Verantwortliche. So reduzieren Sie Angriffsflächen schnell und vermeiden kostspielige Folgeschäden, ohne gleich neues Personal einstellen zu müssen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Administrator bestätigt das Ende

Ein mutmaßlicher Administrator des Forums mit dem Pseudonym „Stallman“ bestätigte die Beschlagnahme auf einem anderen Hacker-Forum. In einer Nachricht an ehemalige Nutzer bedauerte er den Verlust von „Jahren Arbeit“, die innerhalb eines Moments zerstört worden seien. Stallman räumte ein, man habe die Gefahr stets gekannt, aber auf ein anderes Ende gehofft. Ein Wiederaufbau des Forums sei nicht geplant, das Kerngeschäft – der Handel mit Netzwerkzugängen – werde jedoch fortgesetzt.

Der verlorene Safe Haven für Erpresser

RAMP (Russian Anonymous Marketplace) hatte seit 2021 eine einzigartige Stellung im Cybercrime-Ökosystem inne. Als große russischsprachige Foren nach den Angriffen auf Colonial Pipeline und JBS Werbung für Ransomware verboten, sprang RAMP gezielt in diese Lücke. Die Plattform entwickelte sich zur zentralen Anlaufstelle für Ransomware-as-a-Service (RaaS)-Gruppen, Malware-Entwickler und sogenannte Initial Access Broker.

Experten betonen, dass RAMP die Industrialisierung der digitalen Erpressung vorantrieb. Die Plattform bot eine strukturierte Umgebung, in der unabhängige Akteure leicht mit etablierten Banden zusammenarbeiten konnten. Der Wegfall dieses Knotenpunkts zwingt die kriminellen Netzwerke nun zur Fragmentierung – was ihre Rekrutierung und Koordination vorerst erschweren dürfte.

Psychologische Kriegsführung und Folgen

Das zwinkernde Mascha-Bild ist Teil einer bewährten FBI-Strategie, Misstrauen und Paranoia in der Cyberkriminellen-Szene zu säen. Ähnliche Taktiken kamen bereits bei der Zerschlagung der ALPHV/BlackCat-Erpresser und bei der Stilllegung von BreachForums zum Einsatz. Indem Strafverfolger die kulturellen Symbole der Täter gegen sie verwenden, demonstrieren sie ihre tiefe Infiltration und untergraben das Ansehen der Forumsbetreiber.

Die Folgen dieser Aktion reichen über die unmittelbare Störung hinaus. Die von den RAMP-Servern gewonnenen Erkenntnisse könnten eine Welle von Anklagen gegen Mittelsmänner und Zugangshändler auslösen. Dieser „vergiftete Brunnen“-Effekt führt dazu, dass Kriminelle großen, zentralisierten Plattformen immer misstrauischer gegenüberstehen.

Zersplittertes Ökosystem – aber keine Entwarnung

Kurzfristig werden die vertriebenen RAMP-Nutzer voraussichtlich auf verschlüsselte Messenger wie Telegram oder kleinere, private Gruppen ausweichen. Diese dezentralen Kanäle bieten jedoch nicht die Reichweite und das Vertrauensniveau eines großen Marktplatzes, was den Einstieg neuer Akteure in das Ransomware-Geschäft erschwert.

Die Beschlagnahme von RAMP folgt auf weitere erfolgreiche Operationen, wie die Festnahme des Zugangshändlers „r1z“ Anfang Januar. Diese aufeinanderfolgenden Schläge zeigen ein erhöhtes Operationstempo der US-Behörden und ihrer internationalen Partner.

Die Stilllegung von RAMP beendet die Ransomware-Bedrohung nicht, aber sie verteuert das Geschäft für Cyberkriminelle erheblich und entfernt eine tragende Säule ihres Unterstützernetzwerks. Unternehmen sollten wachsam bleiben: Bedrohungsakteure könnten Vergeltungsangriffe starten oder laufende Operationen beschleunigen, bevor die Ermittler die erbeuteten Kommunikationsdaten vollständig auswerten können.

PS: Wenn Täter vermehrt auf verschlüsselte Messenger und dezentrale Kanäle ausweichen, reicht Technik allein nicht. Dieser Gratis-Guide zeigt konkrete, sofort umsetzbare Schritte zur Mitarbeiter-Sensibilisierung, technischen Härtung und zur Vorbereitung auf mögliche Vergeltungsangriffe – praxisorientierte Maßnahmen, die Sie noch heute einführen können, oft ohne große Investitionen. Ideal für Geschäftsführer und IT-Verantwortliche, die ihre Abwehr kurzfristig stärken wollen. Sofort den Anti-Cyber-Guide herunterladen