Eine umtriebige Erpressergruppe, die sich **Scattered Lapsus ShinyHunters** (SLSH) nennt, verfolgt eine besondere Strategie, wenn sie versucht, von Opferfirmen Zahlungen zu erpressen: Sie belästigt, bedroht und "swattet" Führungskräfte und deren Familien, während sie gleichzeitig Journalisten und Regulierungsbehörden über das Ausmaß des Eindringens informiert. Einige Opfer zahlen Berichten zufolge – vielleicht ebenso sehr, um die gestohlenen Daten einzudämmen, wie um die eskalierenden persönlichen Angriffe zu stoppen. Ein führender SLSH-Experte warnt jedoch davor, dass jede Reaktion über eine "Wir zahlen nicht"-Antwort hinaus die weitere Belästigung nur ermutigt, und merkt an, dass die sprunghafte und unzuverlässige Geschichte der Gruppe bedeutet, dass der einzige Weg zum Erfolg darin besteht, nicht zu zahlen.  Im Gegensatz zu traditionellen, stark reglementierten, in Russland ansässigen Ransomware-Affiliate-Gruppen ist SLSH eine ungestüme und etwas fluide, englischsprachige Erpressergruppe, die kein Interesse daran zu haben scheint, sich einen Ruf für konsistentes Verhalten aufzubauen, bei dem Opfer ein gewisses Vertrauen haben könnten, dass die Kriminellen ihr Wort halten, wenn sie bezahlt werden. Das sagt **Allison Nixon**, Direktorin für Forschung bei der in New York ansässigen Sicherheitsberatung **Unit 221B**. Nixon verfolgt die kriminelle Gruppe und einzelne Mitglieder genau, während sie zwischen verschiedenen Telegram-Kanälen wechseln, die zur Erpressung und Belästigung von Opfern genutzt werden. Sie sagt, SLSH unterscheide sich von traditionellen Datenerpressungsgruppen in anderen wichtigen Punkten, die gegen ein Vertrauen in ihre Zusagen sprechen – wie z. B. die Zerstörung gestohlener Daten. # Eskalierende Taktiken: Mehr als nur Datenlecks Wie SLSH haben viele traditionelle russische Ransomware-Gruppen hochdrucktaktiken angewandt, um die Zahlung im Austausch für einen Entschlüsselungsschlüssel und/oder die Zusage zur Löschung gestohlener Daten zu erzwingen, wie z. B. die Veröffentlichung eines "Shaming-Blogs" im Dark Web mit Beispielen gestohlener Daten neben einem Countdown-Timer oder die Benachrichtigung von Journalisten und Vorstandsmitgliedern des Opferunternehmens. Nixon sagt jedoch, dass die Erpressung durch SLSH schnell weit darüber hinausgeht – zu Drohungen mit körperlicher Gewalt gegen Führungskräfte und deren Familien, DDoS-Angriffen auf die Website des Opfers und wiederholten E-Mail-Flutkampagnen. # Phishing für den ersten Zugriff SLSH ist bekannt dafür, sich Zugang zu Unternehmen zu verschaffen, indem sie Mitarbeiter am Telefon phishen und den erlangten Zugang nutzen, um sensible interne Daten zu stehlen. In einem Blogbeitrag vom 30. Januar sagte **Googles** Forensikfirma **Mandiant**, dass die jüngsten Erpressungsangriffe von SLSH auf Vorfälle von Anfang bis Mitte Januar 2026 zurückzuführen seien, als SLSH-Mitglieder sich als IT-Mitarbeiter ausgaben und Mitarbeiter in den Zielorganisationen anriefen und behaupteten, das Unternehmen aktualisiere die MFA-Einstellungen. "Der Bedrohungsakteur leitete die Mitarbeiter zu Phishing-Seiten mit dem Branding des Opfers weiter, um deren SSO-Anmeldedaten und MFA-Codes zu erfassen und registrierte dann ihr eigenes Gerät für MFA", erklärte der Blogbeitrag. # Psychologische Kriegsführung Opfer erfahren oft zuerst von dem Einbruch, wenn ihr Markenname in einem beliebigen, flüchtigen neuen öffentlichen Telegram-Chat erwähnt wird, den SLSH nutzt, um ihre Beute zu bedrohen, zu erpressen und zu belästigen. Laut Nixon ist die koordinierte Belästigung auf den SLSH-Telegram-Kanälen Teil einer gut orchestrierten Strategie, die Opferorganisation zu überwältigen, indem Demütigung erzeugt wird, die sie über die Schwelle zur Zahlung drängt. Nixon sagte, mehrere Führungskräfte in Zielorganisationen seien "swatting"-Angriffen ausgesetzt gewesen, bei denen SLSH eine gefälschte Bomben- oder Geiseldrohung an die Adresse des Ziels übermittelte, in der Hoffnung, eine stark bewaffnete Polizeireaktion zu provozieren. "Ein großer Teil dessen, was sie mit den Opfern machen, ist der psychologische Aspekt, wie die Belästigung der Kinder von Führungskräften und die Bedrohung des Vorstands des Unternehmens", sagte Nixon gegenüber KrebsOnSecurity. "Und während diese Opfer Erpressungsforderungen erhalten, erhalten sie gleichzeitig Anfragen von Medien, die sagen: 'Hey, haben Sie Kommentare zu den schlechten Dingen, die wir über Sie schreiben werden?'" # The Com: Ein Brutkasten für Chaos In einem heutigen Blogbeitrag argumentiert Unit 221B, dass niemand mit SLSH verhandeln sollte, da die Gruppe gezeigt hat, dass sie bereit ist, Opfer auf der Grundlage von Versprechungen zu erpressen, die sie nicht einzuhalten beabsichtigt. Nixon weist darauf hin, dass alle bekannten Mitglieder von SLSH aus **The Com** stammen, kurz für eine Konstellation von Cybercrime-fokussierten Discord- und Telegram-Communities, die als eine Art verteiltes soziales Netzwerk dienen, das die sofortige Zusammenarbeit erleichtert. Nixon sagte, Com-basierte Erpressergruppen neigten dazu, Feindschaften und Dramen zwischen Gruppenmitgliedern zu schüren, was zu Lügen, Verrat, glaubwürdigkeitszerstörendem Verhalten, Hinterhältigkeit und Sabotage führe. "Bei dieser Art von anhaltendem Fehlverhalten, oft verstärkt durch Substanzmissbrauch, sind diese Bedrohungsakteure oft nicht in der Lage, mit dem Kernziel einer erfolgreichen, strategischen Ransom-Operation vorzugehen", schrieb Nixon. "Sie verlieren ständig die Kontrolle mit Ausbrüchen, die ihre Strategie und operative Sicherheit gefährden, was ihre Fähigkeit, ein professionelles, skalierbares und ausgeklügeltes kriminelles Organisationsnetzwerk für fortlaufende erfolgreiche Ransom-Operationen aufzubauen, stark einschränkt – im Gegensatz zu anderen, etablierteren und professionelleren kriminellen Organisationen, die sich ausschließlich auf Ransomware konzentrieren." Eindringlinge von etablierten Ransomware-Gruppen konzentrieren sich typischerweise auf Verschlüsselungs-/Entschlüsselungs-Malware, die meist auf dem betroffenen Rechner verbleibt. Im Gegensatz dazu, so Nixon, ist die Erpressung durch eine Com-Gruppe oft ähnlich strukturiert wie gewalttätige Sextortion-Schemata gegen Minderjährige, bei denen Mitglieder von The Com schädliche Informationen stehlen, drohen, diese zu veröffentlichen, und "verspechen", sie zu löschen, wenn das Opfer zustimmt, ohne Garantie oder technischen Beweis, dass sie ihr Wort halten werden. Sie schreibt: Eine Schlüsselkomponente der Bemühungen von SLSH, Opfer zur Zahlung zu bewegen, so Nixon, besteht darin, die Medien zu manipulieren, um die von dieser Gruppe ausgehende Bedrohung zu überhöhen. Dieser Ansatz leiht sich auch eine Seite aus dem Repertoire von Sextortion-Angriffen, so Nixon, die Raubtiere ermutigt, die Ziele kontinuierlich einzubinden und sich Sorgen über die Konsequenzen der Nichteinhaltung zu machen. "An Tagen, an denen SLSH keinen substanziellen kriminellen 'Sieg' zu verkünden hatte, konzentrierte sie sich auf die Ankündigung von Todesdrohungen und Belästigungen, um Strafverfolgungsbehörden, Journalisten und Cybersicherheitsfachleute auf diese Gruppe aufmerksam zu machen", sagte sie.  # Zielgerichtete Forscher Nixon weiß aus eigener Erfahrung, wie es ist, von SLSH bedroht zu werden: Seit mehreren Monaten sind die Telegram-Kanäle der Gruppe voller Drohungen mit körperlicher Gewalt gegen sie, gegen Yours Truly und gegen andere Sicherheitsforscher. Diese Drohungen, so sagt sie, sind nur eine weitere Methode der Gruppe, um Medienaufmerksamkeit zu erregen und einen Anschein von Glaubwürdigkeit zu erlangen. Sie sind jedoch nützlich als Indikatoren für Kompromittierung, da SLSH-Mitglieder dazu neigen, Sicherheitsforscher in ihren Kommunikationen mit Opfern zu nennen und zu verunglimpfen. "Achten Sie auf die folgenden Verhaltensweisen in ihren Kommunikationen an Sie oder ihren öffentlichen Erklärungen", heißt es in der Beratung von Unit 221B. "Wiederholte beleidigende Erwähnungen von Allison Nixon (oder "A.N."), Unit 221B oder Cybersicherheitsjournalisten – insbesondere Brian Krebs – oder anderen Mitarbeitern oder Unternehmen im Bereich Cybersicherheit. Jegliche Drohungen mit Tötung, Terrorismus oder Gewalt gegen interne Mitarbeiter, Cybersicherheitsmitarbeiter, Ermittler und Journalisten." Unit 221B sagt, dass der Druckfeldzug während eines Erpressungsversuchs zwar für Mitarbeiter, Führungskräfte und deren Familienmitglieder traumatisch sein kann, aber dass langwierige Verhandlungen mit SLSH die Gruppe dazu anregen, das Ausmaß des Schadens und Risikos zu erhöhen, was auch die physische Sicherheit von Mitarbeitern und ihren Familien einschließen könnte. "Die kompromittierten Daten werden nie wieder so sein, wie sie waren, aber wir können Ihnen versichern, dass die Belästigung enden wird", sagte Nixon. "Ihre Entscheidung zu zahlen sollte also eine separate Angelegenheit von der Belästigung sein. Wir glauben, dass Sie, wenn Sie diese Probleme trennen, objektiv sehen werden, dass der beste Kurs zum Schutz Ihrer Interessen, sowohl kurz- als auch langfristig, darin besteht, die Zahlung zu verweigern."