Sinobi
Sinobi ist eine ransomware , die Mitte 2025 auftauchte und aufgrund ihrer disziplinierten Vorgehensweise und technischen Reife schnell Aufmerksamkeit erregte.
Der Ursprung von Sinobi
Der Name der Gruppe ist eine stilisierte Anspielung auf den japanischen Begriff „Shinobi“ („Ninja“) und spiegelt die Betonung auf Heimlichkeit und Präzision bei Einbrüchen wider. Trotz dieses thematischen Brandings werden die Betreiber von Sinobi aufgrund sprachlicher Artefakte, Aktivitätsmuster und Zielvermeidungsverhalten in der Bedrohungsanalyse russischer oder osteuropäischer Herkunft zugeordnet.
Sinobi arbeitet nach einem geschlossenen, hybriden Ransomware(RaaS). Ein kleines Kernteam kümmert sich um die ransomware , die Infrastruktur, die Verhandlungsportale und die finanziellen Abläufe, während eine sorgfältig ausgewählte Gruppe von Partnern die Angriffe durchführt. Im Gegensatz zu offenen RaaS-Ökosystemen rekrutiert Sinobi keine Partner öffentlich, sondern legt mehr Wert auf operative Sicherheit und Vertrauen als auf schnelle Expansion.
Mehrere technische und infrastrukturelle Überschneidungen deuten darauf hin, dass Sinobi wahrscheinlich ein Rebranding oder direkter Nachfolger der ransomware ist, die selbst Code von der früheren ransomware übernommen hat. Der Sinobi-Verschlüsseler verwendet dasselbe von Babuk abgeleitete kryptografische Design (Curve25519 ECDH kombiniert mit AES-128-CTR), was auf die Wiederverwendung von Code und erfahrene Entwickler hindeutet. Insgesamt handelt es sich bei Sinobi eher um eine finanziell motivierte, aber hochprofessionelle ransomware als um einen staatlich geförderten Akteur.
Von Sinobi ins Visier genommene Länder
Die meisten bekannten Opfer befinden sich in den Vereinigten Staaten, weitere Aktivitäten wurden in Kanada, Großbritannien, Australien, Israel und Teilen der Region Asien-Pazifik beobachtet. Sinobi meidet konsequent Opfer in Russland und Osteuropa, eine gängige Strategie zur Selbsterhaltung unter russischsprachigen Cyberkriminellen.
Von Sinobi angesprochene Branchen
Sinobi zielt in erster Linie auf Unternehmen aus den Bereichen Fertigung und industrielle Produktion ab, gefolgt von Bauwesen, Ingenieurwesen, Finanzdienstleistungen, Gesundheitswesen und Bildung. Diese Branchen wurden aufgrund ihrer geringen Toleranz gegenüber Ausfallzeiten und der regulatorischen oder rufschädigenden Folgen einer Datenoffenlegung ausgewählt. Die Gruppe meidet sehr kleine Unternehmen, wahrscheinlich aufgrund des begrenzten Lösegeldpotenzials.
Sinobis Opfer
Die Opfer sind in der Regel mittelständische bis große Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen US-Dollar. Bis zum dritten Quartal 2025 wurden etwa 40 bestätigte Opfer auf der Leak-Infrastruktur von Sinobi veröffentlicht. Es gibt keine Hinweise auf geschützte Branchen, aber staatliche Stellen und kritische nationale Infrastrukturen werden in der Regel gemieden, um die Aufmerksamkeit der Strafverfolgungsbehörden zu begrenzen.
Sinobis Angriffsmethode
Sinobi verschafft sich zunächst Zugang, indem es gültige Anmeldedaten missbraucht, meist VPN- oder RDP-Anmeldungen, die von Initial-Access-Brokern gekauft oder durch frühere Kompromittierungen erlangt wurden. Sinobi führt auch phishing durch, um Anmeldedaten zu stehlen oder malware zu verbreiten malware nutzt aktiv Schwachstellen in internetfähigen Infrastrukturen aus, darunter SonicWall SSL-VPN-Geräte und andere nicht gepatchte Perimeter-Geräte. In einigen Fällen nutzt Sinobi den Zugang vertrauenswürdiger Dritter oder MSPs, um in die Umgebungen der Opfer vorzudringen.
Sinobi erweitert seine Berechtigungen kurz nach dem ersten Zugriff, indem es die integrierten Windows-Administrationsfunktionen missbraucht. Sinobi erstellt häufig neue lokale Administratorkonten oder erweitert die Berechtigungen bestehender Konten, um uneingeschränkte Kontrolle über kompromittierte Systeme zu erlangen.
Sinobi wehrt sich aktiv gegen die Erkennung, indem es endpoint deaktiviert, Firewall-Konfigurationen ändert, Protokolle löscht und Backups entfernt. Sinobi beeinträchtigt außerdem Wiederherstellungsmechanismen, indem es Schattenkopien entfernt und die Sichtbarkeit der Angreiferaktivitäten einschränkt.
Sinobi sammelt Anmeldedaten von kompromittierten Systemen, um die laterale Bewegung zu erleichtern. Obwohl nicht immer spezifische Tools beobachtet werden, stützt sich Sinobi stark auf die Wiederverwendung von Anmeldedaten und bereits in der Umgebung vorhandene Administratorrechte.
Sinobi führt mithilfe benutzerdefinierter Skripte und nativer Systembefehle umfangreiche interne Erkundungen durch. Sinobi listet Active Directory auf, identifiziert privilegierte Benutzer, ordnet Netzwerkfreigaben zu, lokalisiert Sicherheitstools und identifiziert hochwertige Server wie Dateiserver, Mailserver und Backup-Systeme.
Sinobi bewegt sich mithilfe von RDP und SMB seitlich durch das Netzwerk und authentifiziert sich mit gestohlenen oder wiederverwendeten Anmeldedaten. Sinobi bevorzugt Living-off-the-Land-Techniken, bei denen böswillige Aktivitäten mit legitimem administrativem Datenverkehr vermischt werden, um keine Warnmeldungen auszulösen.
Sinobi sammelt vor der Verschlüsselung sensible Daten, darunter Dokumente, Datenbanken, E-Mail-Archive und Backups. Sinobi priorisiert Informationen, die die Erpressungsmöglichkeiten erhöhen, wie geistiges Eigentum, Kundendaten und regulierte Aufzeichnungen.
Sinobi führt die ransomware manuell oder über eine skriptgesteuerte Bereitstellung aus, sobald ausreichender Zugriff und Datenerfassung abgeschlossen sind. Die Ausführung erfolgt in der Regel außerhalb der Geschäftszeiten, um die Erkennung und Reaktion zu verzögern.
Sinobi exfiltriert gestohlene Daten mithilfe legitimer Tools wie Rclone oder sicheren FTP-Clients. Sinobi überträgt Daten über verschlüsselte Kanäle und nutzt dabei häufig Tor-basierte Infrastrukturen oder anonymisierte Webdienste, um die Ziele zu verschleiern.
Sinobi verschlüsselt Dateien mit starker Kryptografie, hängt eine benutzerdefinierte Erweiterung an, löscht Volumenschattenkopien, beendet kritische Dienste und hinterlässt Lösegeldforderungen in der gesamten Umgebung. Sinobi ändert außerdem die Desktop-Hintergrundbilder, um die Sichtbarkeit des Angriffs sicherzustellen, und initiiert eine doppelte Erpressung, indem es mit der Veröffentlichung öffentlicher Daten droht, wenn keine Zahlung erfolgt.
Sinobi verschafft sich zunächst Zugang, indem es gültige Anmeldedaten missbraucht, meist VPN- oder RDP-Anmeldungen, die von Initial-Access-Brokern gekauft oder durch frühere Kompromittierungen erlangt wurden. Sinobi führt auch phishing durch, um Anmeldedaten zu stehlen oder malware zu verbreiten malware nutzt aktiv Schwachstellen in internetfähigen Infrastrukturen aus, darunter SonicWall SSL-VPN-Geräte und andere nicht gepatchte Perimeter-Geräte. In einigen Fällen nutzt Sinobi den Zugang vertrauenswürdiger Dritter oder MSPs, um in die Umgebungen der Opfer vorzudringen.
Sinobi erweitert seine Berechtigungen kurz nach dem ersten Zugriff, indem es die integrierten Windows-Administrationsfunktionen missbraucht. Sinobi erstellt häufig neue lokale Administratorkonten oder erweitert die Berechtigungen bestehender Konten, um uneingeschränkte Kontrolle über kompromittierte Systeme zu erlangen.
Sinobi wehrt sich aktiv gegen die Erkennung, indem es endpoint deaktiviert, Firewall-Konfigurationen ändert, Protokolle löscht und Backups entfernt. Sinobi beeinträchtigt außerdem Wiederherstellungsmechanismen, indem es Schattenkopien entfernt und die Sichtbarkeit der Angreiferaktivitäten einschränkt.
Sinobi sammelt Anmeldedaten von kompromittierten Systemen, um die laterale Bewegung zu erleichtern. Obwohl nicht immer spezifische Tools beobachtet werden, stützt sich Sinobi stark auf die Wiederverwendung von Anmeldedaten und bereits in der Umgebung vorhandene Administratorrechte.
Sinobi führt mithilfe benutzerdefinierter Skripte und nativer Systembefehle umfangreiche interne Erkundungen durch. Sinobi listet Active Directory auf, identifiziert privilegierte Benutzer, ordnet Netzwerkfreigaben zu, lokalisiert Sicherheitstools und identifiziert hochwertige Server wie Dateiserver, Mailserver und Backup-Systeme.
Sinobi bewegt sich mithilfe von RDP und SMB seitlich durch das Netzwerk und authentifiziert sich mit gestohlenen oder wiederverwendeten Anmeldedaten. Sinobi bevorzugt Living-off-the-Land-Techniken, bei denen böswillige Aktivitäten mit legitimem administrativem Datenverkehr vermischt werden, um keine Warnmeldungen auszulösen.
Sinobi sammelt vor der Verschlüsselung sensible Daten, darunter Dokumente, Datenbanken, E-Mail-Archive und Backups. Sinobi priorisiert Informationen, die die Erpressungsmöglichkeiten erhöhen, wie geistiges Eigentum, Kundendaten und regulierte Aufzeichnungen.
Sinobi führt die ransomware manuell oder über eine skriptgesteuerte Bereitstellung aus, sobald ausreichender Zugriff und Datenerfassung abgeschlossen sind. Die Ausführung erfolgt in der Regel außerhalb der Geschäftszeiten, um die Erkennung und Reaktion zu verzögern.
Sinobi exfiltriert gestohlene Daten mithilfe legitimer Tools wie Rclone oder sicheren FTP-Clients. Sinobi überträgt Daten über verschlüsselte Kanäle und nutzt dabei häufig Tor-basierte Infrastrukturen oder anonymisierte Webdienste, um die Ziele zu verschleiern.
Sinobi verschlüsselt Dateien mit starker Kryptografie, hängt eine benutzerdefinierte Erweiterung an, löscht Volumenschattenkopien, beendet kritische Dienste und hinterlässt Lösegeldforderungen in der gesamten Umgebung. Sinobi ändert außerdem die Desktop-Hintergrundbilder, um die Sichtbarkeit des Angriffs sicherzustellen, und initiiert eine doppelte Erpressung, indem es mit der Veröffentlichung öffentlicher Daten droht, wenn keine Zahlung erfolgt.