Die Ransomware-Landschaft verändert sich ständig. Neue Gruppen entstehen, während ältere Gruppen verschwinden oder sich reorganisieren. Doch nur wenige dieser neuen Akteure schaffen es, sich innerhalb kurzer Zeit einen Namen zu machen. Eine dieser Gruppen ist BravoX, die Anfang 2026 erstmals öffentlich in Erscheinung trat und bereits kurz darauf an mehreren Vorfällen beteiligt war. Unter anderem an Cyberangriffen, die wir von Oneconsult betreuen durften.
In diesem Blogartikel teilen wir unsere Einblicke zu dieser neuen Ransomware-Gruppe – was sie auszeichnet, wie sie vorgeht und wie sich Unternehmen schützen können.
Inhaltsverzeichnis
- BravoX – der neue Stern am Ransomware-Himmel
- Welche Merkmale zeichnen BravoX aus?
- Welche Unternehmen sind im Visier?
- Deep Dive: Einblicke in einen Ransomware-Angriff von BravoX
- Wie Unternehmen sich vor BravoX-Angriffen schützen können
- Fazit: Eine neue Gruppe, aber kein neues Muster
- Unterstützung durch Cybersecurity-Spezialisten im Ernstfall
BravoX – der neue Stern am Ransomware-Himmel
BravoX wurde erstmals im Januar 2026 öffentlich sichtbar. Erste Hinweise auf die Gruppe lassen sich jedoch bereits bis in den September 2025 zurückführen, als die Akteure ihre «Leak-Seite» in einem Forum ankündigten.
Wie viele moderne Ransomware-Gruppen betreibt BravoX eine Leak-Seite, auf der Daten von Opfern veröffentlicht werden, die sich weigern, das geforderte Lösegeld zu zahlen (siehe Abbildung 1).

Der Blog wurde am 17. Januar 2026 auf der Darknet-Seite von BravoX angekündigt (siehe Abbildung 2) und bereits wenige Tage später, am 20. Januar 2026, wurden erste Opfer veröffentlicht.

Welche Merkmale zeichnen BravoX aus?
Die Gruppe setzt dabei auf das mittlerweile etablierte Prinzip der «Double Extortion» (Doppelerpressung). Daten werden nicht nur verschlüsselt, sondern bereits im Vorfeld exfiltriert. Wird kein Lösegeld gezahlt, drohen die Angreifer mit der Veröffentlichung sensibler Informationen. Ein funktionierendes Backup bietet zwar Schutz vor den Folgen der Verschlüsselung, kann aber die Veröffentlichung der Daten und die damit einhergehenden Imageschaden oder den Verlust von Betriebsgeheimnissen nicht verhindern.
BravoX operiert zudem nach dem Modell Ransomware-as-a-Service (RaaS). Dabei konzentrieren sich die Betreiber der Gruppe primär auf die Infrastruktur, die Leak-Seite, die Entwicklung von Schadsoftware und Verhandlungen, während die eigentlichen Angriffe von sogenannten Affiliates durchgeführt werden. Auffällig dabei ist, dass BravoX aktiv neue Partner rekrutiert, jedoch mit hohen Eintrittshürden. Interessenten müssen unter anderem bereits Zugriff auf wertvolle Daten nachweisen (siehe Abbildung 3).
Ein weiteres typisches Merkmal ist, dass die Gruppe keine Ziele in den CIS-Staaten angreift («Commonwealth of Independent States»), da die Betreiber selbst aus diesen Regionen stammen. Solche Regeln sind auch bei anderen Ransomware-Gruppen wie Conti, LockBit oder BlackCat zu beobachten.

Diese Merkmale zeigen bereits ein klares Bild: Die Gruppe versucht von Anfang an strukturiert und professionell aufzutreten.
Welche Unternehmen sind im Visier?
Zum Zeitpunkt der Veröffentlichung dieses Beitrags listet BravoX nur eine begrenzte Anzahl von Opfern auf ihrer Leak-Seite. Die ersten Opfer stammten aus Nordamerika, insbesondere aus den Bereichen Gesundheitswesen und Einzelhandel.
Mittlerweile zeigt sich eine klare Entwicklung: Die Gruppe richtet ihren Fokus zunehmend auf Europa, darunter auch Unternehmen in der Schweiz. Betroffen sind unter anderem Organisationen aus den Bereichen Finanzen und Legal.
Diese Entwicklung ist wenig überraschend. Unternehmen in der DACH-Region gelten aufgrund ihrer hohen Digitalisierung, wirtschaftlichen Stärke und oft kritischen Geschäftsprozesse seit Jahren als attraktive Ziele für Cyberkriminelle.
Deep Dive: Einblicke in einen Ransomware-Angriff von BravoX
Das Computer Security Incident Response Team (CSIRT) von Oneconsult war bei einem BravoX-Vorfall als Incident-Response-Partner involviert und konnte dabei direkte Einblicke in das Vorgehen der Täterschaft gewinnen.
Auch wenn die vollständige Angriffskette je nach Vorfall variieren kann, zeigt sich insgesamt ein bekanntes Bild: BravoX nutzt keine neuen Techniken, sondern setzt altbekannte Techniken effizient und zielgerichtet ein.
Auffällig sind insbesondere die klare Struktur und die Geschwindigkeit der Angriffe. Von der Verschlüsselungsphase bis zur Veröffentlichung der Daten auf der Leak-Seite vergehen rund 2,5 Wochen. Die Ankündigung eines Opfers auf der Leak-Seite erfolgt dabei etwa eine Woche vor der eigentlichen Datenveröffentlichung, wodurch zusätzlicher Druck aufgebaut wird.
Die Ransom Note
Im Zuge der Verschlüsselung wird auf den betroffenen Systemen eine Ransom Note abgelegt, und zwar als Datei 00_Recovery_notes.txt mit folgendem Inhalt:
WARNING! YOUR DATA HAS BEEN STOLEN AND ENCRYPTED.
The size of the stolen data is <redacted>GB.
To restore your data and prevent a leak, contact us by following the instructions below.
We are not interested in politics, we only care about money, and we always fulfill our commitments.
You have the chance to recover your files and avoid reputational damage if we reach an agreement.
You have 4 days to make a decision and start negotiations.
WHAT WE WILL DO FOR YOU:
1. Decrypt 3 of any files for free as proof.
2. Provide an effective decryptor for the entire network.
3. Confidentially delete all your data from our servers.
4. Give recommendations for closing the vulnerabilities.
TO MINIMIZE LOSSES, PLEASE FOLLOW THESE INSTRUCTIONS:
1. Do not use third-party or public decryption programs — they may damage the files. Only we can recover the data.
2. Do not turn off or restart the system — this may lead to file corruption.
3. Do not contact third parties for negotiations (e.g., recovery services, the police, or others) — they are not concerned with how much money and reputation you will lose. Contact us as soon as possible to begin negotiations.
WHAT WILL HAPPEN IF YOU IGNORE US:
1. Your data will be published on the dark web, leading to a breach of confidential information.
2. You may face fines from clients, the government, as well as lawsuits, resulting in increased financial losses.
3. Personal data of employees and clients may be used for unauthorized loans or online purchases.
4. Bank account details and passport information may be used to create fake invoices, launder money, and engage in other illegal activities.
5. Your reputation will be destroyed.
CONTACT OUR SUPPORT IN THE PRIVATE CHAT FOR NEGOTIATIONS:
1. Download and install Tor Browser: hXXps://torproject[.]org
2. Open one of the links in Tor Browser: hXXp://private<redacted>[.]onion
3. Create an account; to do this, click the "Sign up" button, specify your Email, generate or come up with a password, insert the token, and then click the "Submit" button.
4. Your token: <redacted>
5. For the next login, you will need your email and password, so make sure to save them.
OUR OFFICIAL BLOG:
hXXp://bravoxxtrmqeeevhl7gdh2yzvlrjxajr66d33c7ozosrccx4cz7cepad[.]onion
DO NOT COMPLICATE THE SITUATION! WE DO NOT LIKE WAITING, CONTACT US AS SOON AS POSSIBLE TO BEGIN NEGOTIATIONS.
Im untersuchten Fall kontaktierten die Angreifer das Opfer zusätzlich mehrfach per E-Mail über zufällig generierte Gmail-Adressen. Während die E-Mail primär Anweisungen zur Kontaktaufnahme mit den Angreifern enthielt, beinhaltete die lokal abgelegte Ransom Note weitere konkrete Drohungen.
Teilweise wurden diesen E-Mails bereits Screenshots gestohlener Daten als Beweis für die Kompromittierung beigefügt (siehe Abbildung 4) mit dem Ziel, den Druck zur Kontaktaufnahme und letztlich zur Zahlung weiter zu erhöhen. Diese Form der direkten und wiederholten Kommunikation ist charakteristisch für moderne Ransomware-Angriffe und ein zentrales Element der Erpressungsstrategie.

Initialzugriff und Vorgehensweise
Im analysierten Vorfall erfolgte der Initialzugriff von BravoX über kompromittierte Zugangsdaten, insbesondere für den Virtual-Private-Network(VPN)-Zugang. Die Zugriffe stammen von IP-Adressen, die Hosting-Anbietern zugeordnet werden können – ein übliches Vorgehen zur Verschleierung der Herkunft. Darüber hinaus wurde ein neues Konto mit Domain-Admin-Rechten erstellt.
Aufgrund einer flachen Netzwerkstruktur konnte über den VPN-Zugang direkt auf interne Systeme zugegriffen werden. Anschliessend nutzten die Angreifer Remote-Desktop-Protocol(RDP)-Verbindungen innerhalb dieses Netzbereichs, um sich weiter in der Umgebung zu bewegen und zusätzliche Systeme zu erreichen. Derartige Zugriffskombinationen gehören nach wie vor zu den häufigsten Mustern bei Ransomware-Angriffen.
Innerhalb der kompromittierten Umgebung nutzten die Angreifer sowohl eigene Tools als auch legitime Software («Living off the Land»), darunter Netscan und ProtonVPN. Diese Werkzeuge wurden insbesondere zur Erkundung des Netzwerks sowie zur Verschleierung der Aktivitäten eingesetzt. Diese Werkzeuge wurden in temporären oder wenig überwachten Verzeichnissen abgelegt, etwa unter C:\temp\.
Zur Umgehung von Schutzlösungen wurden zudem Dienste in diesem Ordner erstellt, die Endpoint-Detection-and-Response(EDR)-Komponenten deaktivieren sollten (sogenannte «EDR-Killer»). Diese Aktivitäten wurden jedoch durch die eingesetzte Schutzlösung erkannt.
Glück im Unglück
Am selben Tag wurde die Ausführung der Ransomware erkannt und durch das Security Operations Center (SOC) erfolgreich unterbunden, sodass die Systeme nicht verschlüsselt wurden. Das Opfer hatte trotz allem Glück im Unglück.
Analyse des Cyberangriffs
Im betreuten Fall war die Analyse aufgrund fehlender Logdaten deutlich erschwert. Es standen keine Firewall-Logs zur Verfügung und auch die VPN-Logs und die Windows Event Logs der betroffenen Systeme reichten nicht weit genug zurück. Dadurch fehlten entscheidende Informationen, sodass beispielsweise der genaue Zeitpunkt des Initialzugriffs nicht mehr rekonstruiert werden konnte, eine Situation, die wir in der Praxis leider häufig beobachten. Dieser Fall unterstreicht einmal mehr, wie entscheidend eine ausreichende Log-Sammlung und -Aufbewahrung für die effektive Analyse und Aufklärung von Sicherheitsvorfällen ist.
Indicators of Compromise (IOCs)
Neben diesen allgemeinen Angriffsmustern konnten im analysierten Fall auch Indicators of Compromise (IOCs) identifiziert werden, die für die Erkennung und Analyse von Angriffen genutzt werden können. Die nachfolgende Tabelle zeigt die beobachteten IOCs.
| IOC | SHA256-Hashwert |
| «MalDriver»-Dienst (verwundbarer Treiber): C:\temp\vulndriver.sys | ff5dbdcf6d7ae5d97b6f3ef412df0b977ba4a844c45b30ca78c0eeb2653d69a8 |
| «eb»-Dienst (EDR-Killer): C:\temp\UnknownKiller.sys | 97bd65e98cdc4e93d49edd4ea905d43a61244df0fd3323e6649330de3b1be091 |
| «Syslk3dt6»-Dienst (EDR-Killer): C:\Users\<User>\AppData\Local\Temp\umdaau99.sys | 47ec51b5f0ede1e70bd66f3f0152f9eb536d534565dbb7fcc3a05f542dbe4428 |
| Ransomware: C:\temp\k1.exe | 88979970b579d42bb9c29051ee3abe6272ddfa49f32dbcfd4751dd4f30b51372 7235e8a5ada2a27a11fc91ea168dc73d2fc3edee53ddb867c272d7d1e2c39127 Bemerkung: Es handelt sich hier um die Hashes der ausgeführten Prozesse der Ransomware. |
Bemerkung: Die IP-Adressen werden nicht aufgeführt, da es sich um kurzfristige Indikatoren handelt. Zwischen dem Angriff und der Veröffentlichung dieses Blogbeitrags ist bereits so viel Zeit vergangen, dass diese nicht mehr als verlässlich gelten.
Für SOC- und Incident-Response-Teams bieten die aufgeführten IOCs konkrete Anhaltspunkte, um bestehende Detection Use Cases zu erweitern und gezielt nach BravoX-Aktivitäten zu suchen. Dabei sollten diese Indikatoren jedoch stets im Kontext betrachtet und durch verhaltensbasierte Erkennungsansätze ergänzt werden.
Wie Unternehmen sich vor BravoX-Angriffen schützen können
Auch wenn BravoX eine neue Ransomware-Gruppe ist, unterscheiden sich die zugrunde liegenden Angriffsmethoden kaum von denen anderer Ransomware-Gruppen. Entsprechend bleiben die grundlegenden Schutzmassnahmen entscheidend:
- Auf technischer Ebene sollten insbesondere externe Zugriffspunkte wie VPN- und RDP-Zugänge abgesichert werden, beispielsweise durch den konsequenten Einsatz von Multi-Faktor-Authentifizierung und eine Einschränkung des Zugangs. Darüber hinaus sollten nur die tatsächlich benötigten Dienste, Ports und Systeme erreichbar sein und öffentlich exponiert werden, um die Angriffsfläche möglichst klein zu halten.
- Gleichzeitig bleibt ein strukturiertes Patch-Management essenziell, um bekannte Schwachstellen zeitnah zu schliessen. Ergänzend sollten Active-Directory-Umgebungen gehärtet, privilegierte Konten regelmässig überprüft sowie starke Passwortrichtlinien durchgesetzt werden.
- Darüber hinaus trägt eine konsequente Netzwerksegmentierung entscheidend dazu bei, die Ausbreitung von Angreifern innerhalb der Umgebung zu begrenzen. Gerade bei Angriffen wie denen von BravoX kann so verhindert werden, dass sich die Angreifer nach dem Initialzugang ungehindert lateral bewegen und weitere Systeme kompromittieren können.
- Ein zentrales Logging sowie die kontinuierliche Überwachung von durch Schutzlösungen(z. B. EDR) generierten Warnungen und verdächtigen Aktivitäten sind entscheidend, um Angriffe frühzeitig zu erkennen. Dazu gehören insbesondere auch Auffälligkeiten in Logdaten, wie beispielsweise ungewöhnliche Anmeldeaktivitäten über VPN-Zugänge.
- Neben technischen Massnahmen spielt auch die organisatorische Vorbereitung eine zentrale Rolle. Unternehmen sollten über einen klar definierten Incident-Response-Plan verfügen, der Verantwortlichkeiten, Abläufe und Entscheidungswege im Ernstfall festlegt.
- Ebenso wichtig ist die frühzeitige Auseinandersetzung mit regulatorischen Anforderungen, insbesondere im Hinblick auf Meldepflichten wie beispielsweise die Meldepflicht des Bundes. Ergänzend sollten Kommunikationsprozesse vorbereitet werden, um im Fall eines Angriffs schnell und abgestimmt gegenüber Mitarbeitenden, Kunden, Partnern und Behörden reagieren zu können.
Die meisten dieser Massnahmen sind seit Jahren bekannt, entscheidend ist jedoch ihre konsequente und nachhaltige Umsetzung in der Praxis. Weitere Informationen sind in folgenden Blogbeiträgen von Oneconsult zu finden:
Fazit: Eine neue Gruppe, aber kein neues Muster
Auch wenn BravoX aktuell noch zu den weniger bekannten Ransomware-Gruppen zählt, zeigen die bisherigen Beobachtungen ein klares Bild: Die Gruppe agiert bereits heute auf einem Niveau, das man sonst eher von etablierten Akteuren kennt.
Neue Namen in der Ransomware-Landschaft sollten daher nicht unterschätzt werden. Oft sind es gerade diese neuen Gruppen, die bestehende Angriffsmuster effizient übernehmen und dadurch besonders schnell zur realen Bedrohung werden.
Umso wichtiger ist es, typische Merkmale von Ransomware frühzeitig zu erkennen und entsprechend zu reagieren, um eine erfolgreiche Abwehr zu gewährleisten.
Unterstützung durch Cybersecurity-Spezialisten im Ernstfall
Wenn ein Unternehmen Opfer eines Ransomware-Angriffs wird, zählt vor allem schnelles und strukturiertes Handeln. Unser CSIRT verfügt über umfangreiche Erfahrung in der Analyse und Bewältigung von Ransomware-Vorfällen und unterstützt Unternehmen sowohl bei der technischen Analyse als auch beim Incident Management.


