6 Jahre türkische Ransomware-Operation beweist: Kleine Ziele zahlen sich aus

Sechs Jahre sind eine Ewigkeit im Security-Bereich. Die meisten Ransomware-Gruppen überleben keine sechs Monate, bevor Strafverfolgungsbehörden ihre Türen eintreten. Doch jemand hat seit 2020 türkische kleine Unternehmen und Privatpersonen mit Lösegeldforderungen von 200-400 Dollar angegriffen, und niemand hat es bis diese Woche bemerkt.

Die Zahlen erzählen eine Geschichte, die jeder Plattform-Leiter hören muss: laut Dark Reading fand Verizons 2025 Data Breach Investigations Report Ransomware in 88% der KMU-Sicherheitsvorfälle, verglichen mit nur 39% bei größeren Organisationen. Das ist kein Tippfehler. Kleine Unternehmen werden mehr als doppelt so häufig getroffen wie Großunternehmen, während Security-Anbieter weiterhin Tools verkaufen, die für Fortune 500 SOCs entwickelt wurden.

Die Zahlen

Reden wir darüber, was sechs Jahre unentdeckter Betrieb bedeuten. Die meisten Ransomware-Operationen messen ihre Lebensdauer in Quartalen, nicht in Halbjahrzehnten. REvil dauerte zwei Jahre. DarkSide bekam drei Monate, bevor Colonial Pipeline sie zu heiß machte. Diese türkische Operation hat sie alle überdauert, indem sie langweilig blieb.

Die Lösegeldforderungen reichen von 200 bis 400 Dollar pro Opfer. Auf den ersten Blick scheint das wie Kleingeld in einer Ära achtstelliger Lösegeld-Summen. Aber rechnen Sie mal das Volumen durch. Treffen Sie 100 Ziele pro Monat bei durchschnittlich 300 Dollar, und Sie ziehen jährlich 360.000 Dollar ein. Das sind nachhaltige Einnahmen ohne Medienaufmerksamkeit und minimales Strafverfolgungsinteresse.

Die Malware selbst ist eine angepasste Variante von Adwind RAT, einem Java-basierten Remote-Access-Tool, das seit 2012 im Umlauf ist. Keine Zero-Days. Keine Nationalstaaten-Raffinesse. Nur kommerzielle Malware mit einem Ransomware-Plugin namens "JanaWare" aufgesetzt. Die Operation prüft auf türkische Spracheinstellungen und IP-Geolokalisierung vor der Ausführung und hält den Wirkungskreis absichtlich klein.

Meine Einschätzung: So sieht nachhaltiges Cybercrime aus. Nicht die spektakulären Angriffe, die Schlagzeilen machen, sondern die mühsame, methodische Wertextraktion aus weichen Zielen. Santiago Pontiroli von Acronis' Threat Research Unit hat es auf den Punkt gebracht: "Angriffe auf große Unternehmen ziehen tendenziell Medienaufmerksamkeit und Strafverfolgungsdruck an, während kleinere Vorfälle oft nicht gemeldet werden."

Der technische Stack spiegelt diese Philosophie wider. Die Malware deaktiviert Microsoft Defender, blockiert Windows-Updates, unterdrückt Sicherheitsbenachrichtigungen und eliminiert Wiederherstellungsoptionen. Standard-Playbook-Zeug, das funktioniert, weil die meisten KMU mit Standardkonfigurationen laufen. Keine Notwendigkeit für raffinierte Umgehung, wenn Ihre Ziele kein EDR haben.

Diese 88% KMU-Angriffsrate mit Ransomware versus 39% bei Großorganisationen ist nicht nur eine Statistik. Es ist eine Anklage dagegen, wie wir die Sicherheitsindustrie aufgebaut haben. Wir haben optimiert, um die obersten 5% der Organisationen zu schützen, während wir die anderen 95% sich selbst überlassen mit Consumer-Grade-Antivirus und gekreuzten Fingern.

Was tatsächlich neu ist

Die Neuheit liegt nicht in der Malware. Adwind RAT-Varianten wurden öfter recycelt als ich MongoDB-Cluster dem Internet ausgesetzt gesehen habe. Neu ist der Beweis, dass Kleinwild-Jagd im großen Maßstab funktioniert, wenn man sich dazu verpflichtet.

Frühere Annahmen besagten, dass die Ransomware-Ökonomie Betreiber zu größeren Zielen drängt. Warum 300 Dollar Lösegeld sammeln, wenn man 3 Millionen fordern könnte? Diese Kampagne beweist, dass die entgegengesetzte Strategie Beine hat. Pontiroli erklärt es gut: "Es ist einfacher, kleinere Opfer mit skalierbaren Techniken wie Phishing zu kompromittieren, sie haben tendenziell schwächere Abwehr, und sie zahlen oft eher schnell."

Der geografische Fokus stellt eine weitere Abweichung von Standard-Ransomware-Operationen dar. Die meisten Gruppen werfen weite Netze aus und nutzen Affiliate-Modelle, um Ziele global zu treffen. Diese Operation zielt strikt auf die Türkei ab und prüft sowohl IP-Standort als auch Systemspracheneinstellungen vor dem Einsatz. Das ist keine technische Beschränkung; das ist operative Disziplin.

Die unbequeme Lesart: Diese Kampagne war erfolgreich, gerade weil sie Innovation vermied. Während Security-Anbieter KI-gestützte Bedrohungen und Zero-Day-Exploits jagen, bewies jemand, dass man sechs Jahre lang eine Operation mit 14 Jahre alter Malware betreiben kann, wenn man seine Ziele richtig auswählt. Das sollte jeden CISO erschrecken, der sich auf Advanced Persistent Threats konzentriert hat, während er grundlegende Hygiene ignoriert.

Der Persistenzmechanismus allein erzählt die Geschichte. Die Malware registriert sich einfach für den Start beim Hochfahren. Kein Rootkit. Keine Firmware-Implantate. Einfach sich selbst zur Windows-Registry hinzufügen wie 2010. Und es funktionierte sechs Jahre lang, weil KMU keine Security-Teams haben, die Autoruns überprüfen.

Was für Security-Teams eingepreist ist

Security-Teams bei großen Unternehmen wissen bereits, dass KMU weiche Ziele sind. Das ist seit jeher konventionelle Weisheit. Was nicht eingepreist ist, ist der Umfang und die Nachhaltigkeit der ausschließlichen Konzentration auf dieses Marktsegment.

Die meisten Bedrohungsmodelle nehmen an, dass Angreifer von kleinen zu großen Zielen aufsteigen, während sie reifen. Diese Kampagne verbrachte sechs Jahre damit, das Gegenteil zu tun. Sie fanden eine profitable Nische und blieben dort, unsichtbar für Threat Intelligence Feeds, die sich auf Großwild-Jäger konzentrieren.

Die Verwendung Java-basierter Malware war vorhersagbar. Plattformübergreifende Kompatibilität ist wichtig, wenn man diverse KMU-Umgebungen trifft. Was nicht vorhersagbar war, war jemand, der sechs Jahre lang das gleiche grundlegende Toolkit ohne Feature Creep betreibt. Die meisten Malware-Autoren können nicht widerstehen, Fähigkeiten hinzuzufügen. Diese Gruppe behielt Disziplin.

Supply Chain-Risiko ist der Aspekt, über den niemand spricht. Pontiroli deutet darauf hin: "Selbst bei der Zielerfassung kleinerer Einrichtungen kann es nachgelagerte Effekte geben, insbesondere wenn diese Organisationen Teil einer Lieferkette sind oder Dienstleistungen für andere erbringen." Jedes Unternehmen hat Dutzende kleiner Anbieter mit VPN-Zugang. Wie viele laufen türkischsprachiges Windows mit deaktivierten Updates?

Konträre Sicht

Hier ist, was alle übersehen: Vielleicht geht es nicht darum, dass KMU einfache Ziele sind. Vielleicht geht es darum, dass Unternehmen unmögliche sind.

Die Kosten für den Angriff auf ein ordentlich verteidigte Unternehmen sind in die Höhe geschossen. EDR, SIEM, SOC-Teams, Threat Hunting, Zero Trust Architekturen. Der Defensive Stack bei einem Fortune 500 Unternehmen hätte diese Adwind-Variante in Minuten entdeckt. Die Wirtschaftlichkeit funktioniert nicht mehr, es sei denn, Sie sind nationalstaatlich finanziert oder treffen Cyber-Versicherungs-Jackpots.

Diese türkische Operation könnte die Zukunft von Ransomware darstellen: nachhaltig, langweilig, profitabel. Wie E-Mail-Spam funktioniert es im Volumen mit winzigen Margen. Die Industrie bereitet sich weiter auf Stuxnet 2.0 vor, während sie übersieht, dass Cybercrime zu einem Volumengeschäft wird.

Der sechsjährige Lauf könnte auch übertrieben sein. Acronis sagt, die Kampagne "könnte seit mindestens 2020 still gelaufen sein". Das ist abgesicherte Sprache. Wir könnten auf mehrere Operationen mit ähnlichen Tools schauen, nicht einen persistenten Akteur. Der türkische Fokus könnte zufällige Clusterung sein, nicht strategische Wahl.

Wichtige Erkenntnisse

• Volumen schlägt Wert: 200-400 Dollar Lösegeld über Hunderte KMU generierte 6 Jahre lang nachhaltige Einnahmen ohne Strafverfolgungsaufmerksamkeit
• 88% der KMU-Angriffe betreffen Ransomware versus 39% bei großen Unternehmen (Verizon 2025 DBIR). Ihre Lieferketten-Anbieter sind fast sicher kompromittiert
• Geografischer Fokus funktioniert: Die Begrenzung der Ziele nur auf die Türkei vermied internationale Aufmerksamkeit und erschwerte die Zuordnung
• Langweilige Malware besteht: 14 Jahre alte Adwind RAT-Varianten funktionieren immer noch gegen Organisationen ohne Security-Teams
• Die Sicherheitsindustrie hat ein KMU-Problem: Tools und Threat Intelligence konzentrieren sich auf Unternehmensbedrohungen, während 95% der Unternehmen Windows Defender laufen lassen und hoffen

Für Security-Teams ist die Botschaft klar: Prüfen Sie zuerst die kleinsten Anbieter Ihrer Lieferkette. Für KMU, die das lesen: Wenn Sie Standard-Windows-Sicherheitseinstellungen verwenden, sind Sie bereits kompromittiert. Sie wissen es nur noch nicht.