Sinobi: Die kleine exklusive Ransomware-Gruppe, die gern ein Ninja wäre
Die Ransomware-Marke Sinobi entstand Mitte 2025 und hat sich schnell durch kalkulierte Eindringversuche, disziplinierte Security und eine professionelle Struktur, die hochqualifizierte und gut vernetzte Betreiber offenbart, ausgezeichnet.
Sinobi ist eine hybride Ransomware-as-a-Service-Organisation (RaaS). Die Kernmitglieder arbeiten mit sorgfältig ausgewählten Partnern zusammen, um eine zentrale Steuerung und eine dezentrale operative Leistungsfähigkeit zu gewährleisten. Die Techniken der Gruppe verbessern sich mit zunehmender Reife der Gruppe. Die Operationen von Sinobi zeichnen sich durch unauffälliges Eindringen, modulare Werkzeuge, selektive Zielsetzung und einen starken Fokus auf Tarnung und Hebelwirkung aus. Die Gruppe ist auch für ihre umfangreiche, ausgeklügelte Verwendung von Living-off-the-Land (LotL) und Living-off-the-Land-Binaries (LOLBINs) bekannt.
Hier ein kurzer Überblick über die Gruppe:
FUNKTION |
Beschreibung |
Bedrohungsart |
Hybride RaaS-Gruppe, die interne Operatoren und überprüfte Partner für gezielte Doppelerpressungsangriffe einsetzt. |
Einzigartige Eigenschaft |
Modulare Intrusionskette, ausgeklügelte LotL-Operationen, die an die Vorgehensweise von Nationalstaaten erinnern. |
Ziele |
Mittelgroße bis große Organisationen aus verschiedenen Sektoren in den Vereinigten Staaten und verbündeten Ländern. |
Erstzugang |
Kompromittierte Zugangsdaten, Angriffe auf Anwendungen und Fernzugriff sowie Kompromittierung der Lieferkette von Drittanbietern. |
Erpressungsmethode |
Datenexfiltration und Verschlüsselung. |
Leck-Website |
„Sinobi“ – Eine einfache, TOR-basierte Leak-Seite, die Opfer, Beispiele gestohlener Daten und einen Countdown-Timer zeigt. Die Gruppe betreibt separate Leak- und Chat-Websites, und beide verfügen über eindeutige Web-Mirror-Links. |
Die Sinobi-Datenleak-Seite, via Ransomware.Live
Name und Standort
Das Wort Sinobi scheint ein bewusst stilisierter Verweis auf „shinobi“ zu sein, was ein früher japanischer Begriff für Ninja ist. Frühe interne Kommunikationen in Darknet-Foren zeigten, dass Partner Phrasen wie „leise rein, leise raus“ verwendeten, was die Annahme bestärkte, dass die Markenidentität ninjaartige Heimlichkeit und Präzision vermitteln soll.
Trotz des japanisch inspirierten Namens deuten die Kommunikationsmuster, sprachlichen Eigenheiten und Aktivitätsfenster auf eine russische und osteuropäische Herkunft hin. Die Gespräche und Verhandlungen zwischen Sinobi finden hauptsächlich auf Russisch und Englisch statt, ohne dass es Anzeichen für eine staatliche Zugehörigkeit gibt. Es handelt sich um eine finanziell motivierte Cybercrime-Gruppe, die in einem vertrauten regionalen Ökosystem operiert. Unabhängige Forschung von Rakesh Krishnan (The Raven File) unterstützt die Lokalisierung von mindestens einer IP-Adresse in Russland:
Unabhängige Forschung von RAKESH KRISHNAN verortet mindestens einen Sinobi-Server in Russland
Sinobi bietet Clearweb-Spiegel seiner Dark-Web-Leaks und Chat-Seiten an, aber der Großteil seiner Infrastruktur basiert weiterhin auf TOR-basierten Ressourcen, Darknet-Foren und verschlüsselten Messaging-Diensten wie Telegram. Dies erschwert das Anzeigen und Erfassen der IP-Adressen von Command-and-Control-Servern (C2).
Viktimologie, Betriebsabläufe und Geschäftsmodell
Sinobi scheint weder mit staatlichen Interessen noch mit einer anderen politischen Ideologie verbunden zu sein. Die Gruppe konzentriert sich auf Organisationen mit sehr geringer Toleranz für Ausfallzeiten oder Datenlecks. Das verarbeitende Gewerbe, Dienstleistungen für Unternehmen, das Gesundheitswesen, Finanzdienstleistungen, das Bildungswesen und andere Sektoren sind allesamt Opfer von Sinobi geworden. Die Gruppe nimmt selten kleinere Unternehmen ins Visier, wahrscheinlich wegen der geringen „(Angriffs-)Rendite“.
Übersicht der Sinobi-Angriffsopfer nach Sektoren, via MOXFIVE
Es gibt keine öffentlich zugänglichen Informationen über „geschützte“ Regionen oder Branchen. Sinobi konzentriert sich jedoch überwiegend auf Unternehmen in den Vereinigten Staaten, mit einem sekundären Schwerpunkt auf Kanada, Australien und verbündeten Ländern. Die Gruppe vermeidet Ziele, die eine politische oder polizeiliche Reaktion hervorrufen könnten, insbesondere Regierungsbehörden, Versorgungsunternehmen und Einrichtungen in der gesamten osteuropäischen Region.
Sinobi unterscheidet sich von offenen RaaS-Programmen, die es Partnern ermöglichen, sich anzumelden oder sich als Partner zu bewerben. Die Gruppe stützt sich auf ein privates und geprüftes Netzwerk von Spezialisten, die der Gruppe bekannt sind oder von vertrauenswürdigen Quellen vorgestellt wurden. Dieser Ansatz ermöglicht es Sinobi, Rekrutierungsaktivitäten wie diese zu vermeiden:
DragonForce RaaS-Rekrutierungs-Anzeige im Untergrundforum, über Specops
Da Sinobi nicht wie andere RaaS-Gruppen rekrutiert, gibt es keine öffentlich zugängliche Liste von Gruppenregeln, Anforderungen an Partner, verbotenen Zielen oder anderen operativen Details. Dies verringert die Exposition der Gruppe gegenüber der Infiltration durch Strafverfolgungsbehörden und begrenzt die verfügbare Open-Source-Intelligence (OSINT).
Forscher gehen davon aus, dass Sinobis Kernbetreiber den Ransomware-Code und die Tor-basierte Infrastruktur pflegen, Verhandlungen führen, Geldwäsche- und Auszahlungsmechanismen verwalten und die Regeln der Gruppe durchsetzen. Die Angriffe werden von den verbundenen Unternehmen durchgeführt, von der Eindringung bis hin zum Einsatz von Ransomware. Diese Aufteilung der Verantwortlichkeiten basiert auf beobachteten Mustern in Sinobi-Operationen, Lösegeldforderungen, Portalstrukturen und Verhandlungsprozessen. Eine öffentliche Bestätigung hierfür gibt es nicht, und die Aufteilung der Einnahmen zwischen Kernmitgliedern und Partnern ist unbekannt.
Angriffskette
Wie bei den meisten Ransomware-Bedrohungsgruppen beginnt die Angriffskette von Sinobi mit dem Erstzugriff auf die Umgebung des Opfers. Die Gruppe wurde beobachtet, wie sie Initial Access Brokers (IAB), Phishing-Angriffe über handelsübliche Phishing-Kits und die Ausnutzung anfälliger VPNs, Firewall-Geräte oder Fernzugriffssysteme wie Citrix oder Fortinet ausnutzte. Sinobi nutzt auch einen kompromittierten Dritten und folgt einer Lieferkette, um ein Opfer zu infiltrieren.
Die Betreiber von Sinobi folgen einer Standard-Angriffskette, die viele der gleichen Muster aufweist, die bei RansomHub, ALPHV/BlackCat und anderen Gruppen seit dem Auftauchen der Conti-Ransomware beobachtet wurden.
Einmal im System, beginnt Sinobi sofort mit einem Intrusion auf der Tastatur , bei dem sowohl benutzerdefinierte Werkzeuge als auch Living-off-the-land (LotL) Missbrauch verwendet werden. Bedrohungsakteure beginnen mit der Eskalation von Privilegien und Sicherheitsumgehungen, einschließlich der Erstellung neuer Administratorkonten, der Anpassung von Berechtigungen und dem Deaktivieren von Sicherheitstools für Endpunkte. Sie beginnen außerdem mit dem Aufbau von Persistenz, indem sie legitime Fernzugriff-Tools konfigurieren.
Sinobi legt dann ein leichtes Aufklärungs-Skript ab, das laterale Bewegungen automatisiert und die Sicherheit immer weiter umgeht. Das Skript ist so konfiguriert, dass es Domäneninformationen auflistet, Dateifreigaben lokalisiert, privilegierte Konten identifiziert und nach Endpunktsicherheitslösungen sucht, die die Ransomware-Angriffe stören könnten.
Die Datenexfiltration beginnt, sobald der Angreifer die Aufklärung abgeschlossen und Rclone, WinSCP oder ein anderes Dateiübertragungstool konfiguriert hat. Die Daten werden an einen Cloud-Speicher oder einen anderen externen Standort gesendet, und die Ransomware-Binärdatei wird ausgeführt, wenn dies abgeschlossen ist.
Es gibt keinen einheitlichen Dateinamen für die Ransomware-Binärdatei, aber es ist in der Regel ein allgemeiner oder verschleierter Name wie "bin.exe". Diese Datei löscht den Papierkorb, verschlüsselt die Dateien, hängt die Dateiendung .SINOBI an und legt die Lösegeldforderung README.txt in jedem Verzeichnis mit verschlüsselten Dateien ab. Anschließend wird das Desktop-Hintergrundbild in ein Bild geändert, das den Text der Lösegeldforderung anzeigt.
Beginn der Sinobi-Lösegeldforderung, via Ransomware.Live
Ende der Sinobi-Lösegeldforderung, über Ransomware.Live
Die Lösegeldforderung enthält Informationen zum Kommunikationsprozess und die URLs der TOR-Leak-Seite. Es enthält auch die URLs zur öffentlichen Clear-Web-Leak-Seite. Die vollständige Lösegeldforderung können Sie hiereinsehen.
An diesem Punkt wird die Sinobi-Tochter die Kerngruppe übernehmen und die Kommunikation, Datenlecks usw. verwalten.
Erpressung und anschließende Verhandlung
Sinobi begann als eine einzelne Erpressungsoperation, wechselte jedoch Ende 2024 zu einem vollständigen doppelten Erpressungsansatz unter Verwendung einer auf Tor gehosteten Leak-Website. Opfer werden in der Regel über die oben erwähnte Lösegeldforderung kontaktiert. Wenn die Opfer nicht kooperieren, eskaliert Sinobi die Maßnahmen, indem es Datenbeispiele veröffentlicht und Mitarbeiter oder Kunden kontaktiert. Die Gruppe droht dem Unternehmen außerdem mit regulatorischen Konsequenzen im Rahmen von Gesetzen wie der DSGVO, HIPAA oder den Offenlegungspflichten der SEC.
Die Verhandlungen werden von einer kleinen Gruppe von Hauptakteuren geführt, die vorgefertigte Kommunikationsmuster und Drucktaktiken verwenden, die auf die Branche des Opfers und die regulatorische Situation zugeschnitten sind. Das Ziel ist immer, Dringlichkeit zu erzeugen, nicht Panik – professionelle Manipulation statt Chaos.
Freunde und Familie
Sinobis Geschichte beginnt Mitte 2023, als ein Bedrohungsakteur namens INC-Ransomware offenbar aus dem Nichts auftauchte. INC gilt als eigenständige Gruppe ohne Verbindung zu anderen Bedrohung-Akteuren. Sie operierte bis Mai 2024 als Ransomware-as-a-Service-Gruppe, dann wurde sie in Untergrundforen zum Verkauf angeboten.
Forenbeitrag, in dem INC-Ransomware zum Verkauf angeboten wird, über SOCRadar
Kurz nach dem (vermuteten) Verkauf wurde das Design der INC-Leak-Website in diesen Stil geändert:
INC-Ransomware-Link-Seite, über Bleeping Computer
Die Aktivitäten der INC ließen nach, und etwa zur gleichen Zeit entstand eine neue Gruppe namens Lynx. Es gibt keine Bestätigung, dass Lynx-Betreiber den INC-Quellcode gekauft haben, aber Lynx ist eindeutig ein Nachfolger von INC.
Bei näherer Betrachtung ... deutet eine erhebliche Überschneidung der gemeinsam genutzten Funktionen stark darauf hin, dass die Entwickler der Lynx-Ransomware einen beträchtlichen Teil der INC-Codebasis übernommen und für die Entwicklung ihrer eigenen bösartigen Software verwendet haben. ÜberUnit42
Lynx war etwa ein Jahr lang eine aktive und aggressive Bedrohung und reduzierte dann Mitte 2025 seine Aktivitäten. Die Gruppe stellt zwar nach wie vor eine Bedrohung dar, aber ihre Aktivität ging um die Zeit zurück, als im Juni 2025 auf einmal Sinobi auftauchte.
Es wird allgemein angenommen, dass es sich bei Sinobi um ein Rebranding, einen Nachfolger oder einen Ableger der Lynx-Ransomware handelt. Die Gestaltung der Lynx-Leckstelle ist nur ein Indiz dafür:
Screenshot der Lynx-Ransomware-Linkseite, über Fortinet
Man kann die Ähnlichkeiten zwischen den Leak-Websites von INC, Lynx und Sinobi erkennen.
Darüber hinaus gibt es Ähnlichkeiten in der Verschlüsselungsroutine, der Opferstrategie, der Doppel-Erpressungsmethodik und den operativen Verfahren.
Sinobi nutzt das volle Bedrohungsökosystem aus. Es kauft regelmäßig Zugangsdaten von IABs, mietet Infrastruktur von ausfallsicheren Hosting-Anbietern, bezieht Zugangsdaten von Darknet-Märkten und arbeitet gelegentlich mit Botnet-Betreibern für die Verbreitung von Phishing-Angriffen zusammen. Ihre Geldwäsche- und Auszahlungspraktiken sind von denen von Qilin und Akira nicht zu unterscheiden.
Wie Sie sich schützen können
Alle Indikatoren deuten darauf hin, dass sich Sinobi auf einem Wachstumskurs befindet. Da sich der Ransomware-Markt immer weiter fragmentiert und weiterentwickelt, ist Sinobi gut aufgestellt, um sein Partnernetzwerk auszubauen, seine Tools zu verbessern und möglicherweise Varianten hinzuzufügen, die auf Linux oder VMware ESXi abzielen. Ihre ruhige Professionalität und moderate Posting-Frequenz deuten auf eine Gruppe hin, die nachhaltiges Einkommen gegenüber explosivem Wachstum bevorzugt, was ihnen möglicherweise hilft, das Schicksal hochkarätiger Gruppen zu vermeiden, die aggressiven Strafverfolgungsdruck auf sich ziehen.
Sinobi steht für eine fortschrittliche und agile Ransomware-Bedrohung. Unternehmen können das Risiko erheblich reduzieren, indem sie sich auf das Zugangsdaten-Management, die Sensibilisierung der Mitarbeiter, proaktive Überwachung und kontinuierliche Investitionen in Backup, Erkennung und Reaktionsabläufe konzentrieren. Prävention und schnelle Reaktion sind derzeit die effektivsten Mittel zur Abwehr dieser Bedrohung.
Barracuda kann helfen
Maximieren Sie Ihren Schutz und Ihre Cyber-Resilienz mit der KI-gestützten Cybersecurity-Plattform von BarracudaONE. Die Plattform schützt Ihre E-Mails, Daten, Anwendungen und Netzwerke und wird durch einen 24/7 verwalteten XDR-Dienst gestärkt, der Ihre Sicherheitsmaßnahmen vereint und tiefgehende, intelligente Bedrohungserkennung und -reaktion bietet. Verwalten Sie die Security Ihres Unternehmens mit Zuversicht, indem Sie fortschrittlichen Schutz, Echtzeitanalysen und proaktive Reaktionsfähigkeiten nutzen. Robuste Berichtstools bieten klare, umsetzbare Einblicke, die Ihnen helfen, Risiken zu überwachen, den ROI zu messen und die betrieblichen Auswirkungen zu demonstrieren. Verpassen Sie nicht die Gelegenheit, eine Demo der Plattform von unseren Cybersecurity-Experten zu erhalten.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
