Wie Trend Micro berichtet, wurde vergangenen Donnerstag das IT-Netzwerk der Partei Die Linke Ziel eines Cyberangriffs. In der veröffentlichten Pressemeldung heißt es: „Uns liegen Hinweise vor, dass es sich um einen Ransomware-Angriff der Hackergruppe ‚Qilin‘ handelt. Dabei handelt es sich um eine mutmaßlich russischsprachige Cybercrime-Organisation, deren Aktivitäten sowohl finanziell als auch politisch motiviert sein können.“
Solche Vorfälle zeigen erneut, dass politische Organisationen in Deutschland zunehmend im Fokus professionell agierender Angreifer stehen – nicht nur wegen sensibler personenbezogener Daten, sondern auch wegen des potenziellen Einflusses auf Kommunikation, interne Abläufe und öffentliche Wahrnehmung. Aus Sicht von TrendAI ist dabei entscheidend, frühzeitig zwischen technischem Incident, möglichem Datenabfluss und Folgen für Betroffene zu unterscheiden, und die Krisenprozesse so aufzusetzen, dass belastbare Aussagen schnell verifiziert werden können.
In einem neuen Blogbeitrag beleuchtet TrendAI die Aktivitäten der Gruppierung. Hier eine Zusammenfassung:
„Agenda hat sich in kurzer Zeit zu einer der aktivsten und gefährlichsten Ransomware-Operationen entwickelt und setzt dabei auf fortschrittliche Techniken, plattformübergreifende Varianten sowie Allianzen mit anderen bedeutenden Bedrohungsgruppen. Das aggressive Double-Extortion-Modell und die wachsende Zahl an Opfern in kritischen Branchen machen Agenda zu einem ernsthaften Unternehmensrisiko, das proaktive Erkennung und Abwehrmaßnahmen erfordert.“
- Die Gruppe hat ihre Malware technisch stark weiterentwickelt: von Go-basierten Builds mit Affiliate-„Customizing“ hin zu Rust-Varianten sowie Windows-, Linux- und ESXi-Unterstützung; in jüngeren Kampagnen kamen PowerShell-Tools für Ausbreitung und Deployments in VMware-vCenter/ESXi-Umgebungen hinzu.
- 2024/2025 wurde eine deutliche operative Expansion beobachtet, u.a. durch zusätzliche Loader (SmokeLoader, NETXLOADER) und Defense Evasion wie BYOVD; teils erfolgte die Ausbringung von Linux-Payloads über legitime Remote-Management-Tools, was die Flexibilität der Operation unterstreicht.
- Agenda betreibt eine eigene Tor-basierte Leak-Site zur Beweisführung des Einbruchs und zur Eskalation des Drucks (Countdowns, gestaffelte Datenveröffentlichungen); die Lösegeldforderungen variieren stark und erreichen bei großen Organisationen häufig Millionenhöhen.
- Die Bedrohung ist breit branchenübergreifend, mit auffälligen Schwerpunkten bei Manufacturing, Healthcare und Technology; 2025 wurde Agenda zu einer der produktivsten Ransomware-Operationen mit nahezu 1.400 veröffentlichten Opfern und einem starken YoY-Anstieg gegenüber 2024.
- TrendAI beobachtet zudem eine zunehmende Vernetzung: unter anderem Überschneidungen/Bezüge zu weiteren Akteuren (z.B. Einsatz durch MoonstonsSleet in limitierten Operationen, vermutete Affiliate-Migrationen nach Störungen anderer RaaS, sowie eine angekündigte Allianz mit Dragonforce und Lockbit) – ein Hinweis auf geteilte Ressourcen, Taktiken und Infrastruktur.
- Konsequenz für Unternehmen: Agenda ist ein ernstes Resilienz- und Geschäftsrisiko; erforderlich sind frühe Erkennung, proaktive Härtung (insb. Identitäten, Remote-Tools, VMware-Stacks), sowie IR-Readiness für Szenarien aus Verschlüsselung, Exfiltration und Erpressung.
Info: Trend Micro hat einen umfassenden englischen Blogbeitrag dazu veröffentlicht:
https://www.trendmicro.com/vinfo/de/security/news/ransomware-spotlight/ransomware-spotlight-agenda
#TrendMicro
