Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

BravoX: Neue Ransomware-Gruppe greift DACH-Region an
Nadia Meichtry
Nadia Meichtry
|
29.06.2026
(aktualisiert am: 29.06.2026)

Die Ransomware-Landschaft verändert sich ständig. Neue Gruppen entstehen, während ältere Gruppen verschwinden oder sich reorganisieren. Doch nur wenige dieser neuen Akteure schaffen es, sich innerhalb kurzer Zeit einen Namen zu machen. Eine dieser Gruppen ist BravoX, die Anfang 2026 erstmals öffentlich in Erscheinung trat und bereits kurz darauf an mehreren Vorfällen beteiligt war. Unter anderem an Cyberangriffen, die wir von Oneconsult betreuen durften.

In diesem Blogartikel teilen wir unsere Einblicke zu dieser neuen Ransomware-Gruppe – was sie auszeichnet, wie sie vorgeht und wie sich Unternehmen schützen können.

BravoX – der neue Stern am Ransomware-Himmel

BravoX wurde erstmals im Januar 2026 öffentlich sichtbar. Erste Hinweise auf die Gruppe lassen sich jedoch bereits bis in den September 2025 zurückführen, als die Akteure ihre «Leak-Seite» in einem Forum ankündigten.

Wie viele moderne Ransomware-Gruppen betreibt BravoX eine Leak-Seite, auf der Daten von Opfern veröffentlicht werden, die sich weigern, das geforderte Lösegeld zu zahlen (siehe Abbildung 1).

Abbildung 1: Leak-Seite von BravoX, auf der Opfer aufgelistet werden

Der Blog wurde am 17. Januar 2026 auf der Darknet-Seite von BravoX angekündigt (siehe Abbildung 2) und bereits wenige Tage später, am 20. Januar 2026, wurden erste Opfer veröffentlicht.

Abbildung 2: Ankündigung der Leak-Seite von BravoX

Welche Merkmale zeichnen BravoX aus?

Die Gruppe setzt dabei auf das mittlerweile etablierte Prinzip der «Double Extortion» (Doppelerpressung). Daten werden nicht nur verschlüsselt, sondern bereits im Vorfeld exfiltriert. Wird kein Lösegeld gezahlt, drohen die Angreifer mit der Veröffentlichung sensibler Informationen. Ein funktionierendes Backup bietet zwar Schutz vor den Folgen der Verschlüsselung, kann aber die Veröffentlichung der Daten und die damit einhergehenden Imageschaden oder den Verlust von Betriebsgeheimnissen nicht verhindern.

BravoX operiert zudem nach dem Modell Ransomware-as-a-Service (RaaS). Dabei konzentrieren sich die Betreiber der Gruppe primär auf die Infrastruktur, die Leak-Seite, die Entwicklung von Schadsoftware und Verhandlungen, während die eigentlichen Angriffe von sogenannten Affiliates durchgeführt werden. Auffällig dabei ist, dass BravoX aktiv neue Partner rekrutiert, jedoch mit hohen Eintrittshürden. Interessenten müssen unter anderem bereits Zugriff auf wertvolle Daten nachweisen (siehe Abbildung 3).

Ein weiteres typisches Merkmal ist, dass die Gruppe keine Ziele in den CIS-Staaten angreift («Commonwealth of Independent States»), da die Betreiber selbst aus diesen Regionen stammen. Solche Regeln sind auch bei anderen Ransomware-Gruppen wie Conti, LockBit oder BlackCat zu beobachten.

Abbildung 3: Bedingungen für Affiliates und Regeln der BravoX-Gruppe

Diese Merkmale zeigen bereits ein klares Bild: Die Gruppe versucht von Anfang an strukturiert und professionell aufzutreten.

Welche Unternehmen sind im Visier?

Zum Zeitpunkt der Veröffentlichung dieses Beitrags listet BravoX nur eine begrenzte Anzahl von Opfern auf ihrer Leak-Seite. Die ersten Opfer stammten aus Nordamerika, insbesondere aus den Bereichen Gesundheitswesen und Einzelhandel.

Mittlerweile zeigt sich eine klare Entwicklung: Die Gruppe richtet ihren Fokus zunehmend auf Europa, darunter auch Unternehmen in der Schweiz. Betroffen sind unter anderem Organisationen aus den Bereichen Finanzen und Legal.

Diese Entwicklung ist wenig überraschend. Unternehmen in der DACH-Region gelten aufgrund ihrer hohen Digitalisierung, wirtschaftlichen Stärke und oft kritischen Geschäftsprozesse seit Jahren als attraktive Ziele für Cyberkriminelle.

Deep Dive: Einblicke in einen Ransomware-Angriff von BravoX

Das Computer Security Incident Response Team (CSIRT) von Oneconsult war bei einem BravoX-Vorfall als Incident-Response-Partner involviert und konnte dabei direkte Einblicke in das Vorgehen der Täterschaft gewinnen.

Auch wenn die vollständige Angriffskette je nach Vorfall variieren kann, zeigt sich insgesamt ein bekanntes Bild: BravoX nutzt keine neuen Techniken, sondern setzt altbekannte Techniken effizient und zielgerichtet ein.

Auffällig sind insbesondere die klare Struktur und die Geschwindigkeit der Angriffe. Von der Verschlüsselungsphase bis zur Veröffentlichung der Daten auf der Leak-Seite vergehen rund 2,5 Wochen. Die Ankündigung eines Opfers auf der Leak-Seite erfolgt dabei etwa eine Woche vor der eigentlichen Datenveröffentlichung, wodurch zusätzlicher Druck aufgebaut wird.

Die Ransom Note

Im Zuge der Verschlüsselung wird auf den betroffenen Systemen eine Ransom Note abgelegt, und zwar als Datei 00_Recovery_notes.txt mit folgendem Inhalt: 

Im untersuchten Fall kontaktierten die Angreifer das Opfer zusätzlich mehrfach per E-Mail über zufällig generierte Gmail-Adressen. Während die E-Mail primär Anweisungen zur Kontaktaufnahme mit den Angreifern enthielt, beinhaltete die lokal abgelegte Ransom Note weitere konkrete Drohungen.

Teilweise wurden diesen E-Mails bereits Screenshots gestohlener Daten als Beweis für die Kompromittierung beigefügt (siehe Abbildung 4) mit dem Ziel, den Druck zur Kontaktaufnahme und letztlich zur Zahlung weiter zu erhöhen. Diese Form der direkten und wiederholten Kommunikation ist charakteristisch für moderne Ransomware-Angriffe und ein zentrales Element der Erpressungsstrategie.

Abbildung 4: Drohung per E-Mail

Initialzugriff und Vorgehensweise

Im analysierten Vorfall erfolgte der Initialzugriff von BravoX über kompromittierte Zugangsdaten, insbesondere für den Virtual-Private-Network(VPN)-Zugang. Die Zugriffe stammen von IP-Adressen, die Hosting-Anbietern zugeordnet werden können – ein übliches Vorgehen zur Verschleierung der Herkunft. Darüber hinaus wurde ein neues Konto mit Domain-Admin-Rechten erstellt.

Aufgrund einer flachen Netzwerkstruktur konnte über den VPN-Zugang direkt auf interne Systeme zugegriffen werden. Anschliessend nutzten die Angreifer Remote-Desktop-Protocol(RDP)-Verbindungen innerhalb dieses Netzbereichs, um sich weiter in der Umgebung zu bewegen und zusätzliche Systeme zu erreichen. Derartige Zugriffskombinationen gehören nach wie vor zu den häufigsten Mustern bei Ransomware-Angriffen.

Innerhalb der kompromittierten Umgebung nutzten die Angreifer sowohl eigene Tools als auch legitime Software («Living off the Land»), darunter Netscan und ProtonVPN. Diese Werkzeuge wurden insbesondere zur Erkundung des Netzwerks sowie zur Verschleierung der Aktivitäten eingesetzt. Diese Werkzeuge wurden in temporären oder wenig überwachten Verzeichnissen abgelegt, etwa unter C:\temp\.

Zur Umgehung von Schutzlösungen wurden zudem Dienste in diesem Ordner erstellt, die Endpoint-Detection-and-Response(EDR)-Komponenten deaktivieren sollten (sogenannte «EDR-Killer»). Diese Aktivitäten wurden jedoch durch die eingesetzte Schutzlösung erkannt.

Glück im Unglück

Am selben Tag wurde die Ausführung der Ransomware erkannt und durch das Security Operations Center (SOC) erfolgreich unterbunden, sodass die Systeme nicht verschlüsselt wurden. Das Opfer hatte trotz allem Glück im Unglück.

Analyse des Cyberangriffs

Im betreuten Fall war die Analyse aufgrund fehlender Logdaten deutlich erschwert. Es standen keine Firewall-Logs zur Verfügung und auch die VPN-Logs und die Windows Event Logs der betroffenen Systeme reichten nicht weit genug zurück. Dadurch fehlten entscheidende Informationen, sodass beispielsweise der genaue Zeitpunkt des Initialzugriffs nicht mehr rekonstruiert werden konnte, eine Situation, die wir in der Praxis leider häufig beobachten. Dieser Fall unterstreicht einmal mehr, wie entscheidend eine ausreichende Log-Sammlung und -Aufbewahrung für die effektive Analyse und Aufklärung von Sicherheitsvorfällen ist.

Indicators of Compromise (IOCs)

Neben diesen allgemeinen Angriffsmustern konnten im analysierten Fall auch Indicators of Compromise (IOCs) identifiziert werden, die für die Erkennung und Analyse von Angriffen genutzt werden können. Die nachfolgende Tabelle zeigt die beobachteten IOCs.

IOCSHA256-Hashwert
«MalDriver»-Dienst (verwundbarer Treiber): C:\temp\vulndriver.sysff5dbdcf6d7ae5d97b6f3ef412df0b977ba4a844c45b30ca78c0eeb2653d69a8
«eb»-Dienst (EDR-Killer):
C:\temp\UnknownKiller.sys
97bd65e98cdc4e93d49edd4ea905d43a61244df0fd3323e6649330de3b1be091
«Syslk3dt6»-Dienst (EDR-Killer):
C:\Users\<User>\AppData\Local\Temp\umdaau99.sys
47ec51b5f0ede1e70bd66f3f0152f9eb536d534565dbb7fcc3a05f542dbe4428
Ransomware:
C:\temp\k1.exe
88979970b579d42bb9c29051ee3abe6272ddfa49f32dbcfd4751dd4f30b51372 7235e8a5ada2a27a11fc91ea168dc73d2fc3edee53ddb867c272d7d1e2c39127
Bemerkung: Es handelt sich hier um die Hashes der ausgeführten Prozesse der Ransomware.

Bemerkung: Die IP-Adressen werden nicht aufgeführt, da es sich um kurzfristige Indikatoren handelt. Zwischen dem Angriff und der Veröffentlichung dieses Blogbeitrags ist bereits so viel Zeit vergangen, dass diese nicht mehr als verlässlich gelten.

Für SOC- und Incident-Response-Teams bieten die aufgeführten IOCs konkrete Anhaltspunkte, um bestehende Detection Use Cases zu erweitern und gezielt nach BravoX-Aktivitäten zu suchen. Dabei sollten diese Indikatoren jedoch stets im Kontext betrachtet und durch verhaltensbasierte Erkennungsansätze ergänzt werden.

Wie Unternehmen sich vor BravoX-Angriffen schützen können

Auch wenn BravoX eine neue Ransomware-Gruppe ist, unterscheiden sich die zugrunde liegenden Angriffsmethoden kaum von denen anderer Ransomware-Gruppen. Entsprechend bleiben die grundlegenden Schutzmassnahmen entscheidend:

  • Auf technischer Ebene sollten insbesondere externe Zugriffspunkte wie VPN- und RDP-Zugänge abgesichert werden, beispielsweise durch den konsequenten Einsatz von Multi-Faktor-Authentifizierung und eine Einschränkung des Zugangs. Darüber hinaus sollten nur die tatsächlich benötigten Dienste, Ports und Systeme erreichbar sein und öffentlich exponiert werden, um die Angriffsfläche möglichst klein zu halten.
  • Gleichzeitig bleibt ein strukturiertes Patch-Management essenziell, um bekannte Schwachstellen zeitnah zu schliessen. Ergänzend sollten Active-Directory-Umgebungen gehärtet, privilegierte Konten regelmässig überprüft sowie starke Passwortrichtlinien durchgesetzt werden.
  • Darüber hinaus trägt eine konsequente Netzwerksegmentierung entscheidend dazu bei, die Ausbreitung von Angreifern innerhalb der Umgebung zu begrenzen. Gerade bei Angriffen wie denen von BravoX kann so verhindert werden, dass sich die Angreifer nach dem Initialzugang ungehindert lateral bewegen und weitere Systeme kompromittieren können.
  • Ein zentrales Logging sowie die kontinuierliche Überwachung von durch Schutzlösungen(z. B. EDR) generierten Warnungen und verdächtigen Aktivitäten sind entscheidend, um Angriffe frühzeitig zu erkennen. Dazu gehören insbesondere auch Auffälligkeiten in Logdaten, wie beispielsweise ungewöhnliche Anmeldeaktivitäten über VPN-Zugänge.
  • Neben technischen Massnahmen spielt auch die organisatorische Vorbereitung eine zentrale Rolle. Unternehmen sollten über einen klar definierten Incident-Response-Plan verfügen, der Verantwortlichkeiten, Abläufe und Entscheidungswege im Ernstfall festlegt.
  • Ebenso wichtig ist die frühzeitige Auseinandersetzung mit regulatorischen Anforderungen, insbesondere im Hinblick auf Meldepflichten wie beispielsweise die Meldepflicht des Bundes. Ergänzend sollten Kommunikationsprozesse vorbereitet werden, um im Fall eines Angriffs schnell und abgestimmt gegenüber Mitarbeitenden, Kunden, Partnern und Behörden reagieren zu können.

Die meisten dieser Massnahmen sind seit Jahren bekannt, entscheidend ist jedoch ihre konsequente und nachhaltige Umsetzung in der Praxis. Weitere Informationen sind in folgenden Blogbeiträgen von Oneconsult zu finden:

Fazit: Eine neue Gruppe, aber kein neues Muster

Auch wenn BravoX aktuell noch zu den weniger bekannten Ransomware-Gruppen zählt, zeigen die bisherigen Beobachtungen ein klares Bild: Die Gruppe agiert bereits heute auf einem Niveau, das man sonst eher von etablierten Akteuren kennt.

Neue Namen in der Ransomware-Landschaft sollten daher nicht unterschätzt werden. Oft sind es gerade diese neuen Gruppen, die bestehende Angriffsmuster effizient übernehmen und dadurch besonders schnell zur realen Bedrohung werden.

Umso wichtiger ist es, typische Merkmale von Ransomware frühzeitig zu erkennen und entsprechend zu reagieren, um eine erfolgreiche Abwehr zu gewährleisten.

Unterstützung durch Cybersecurity-Spezialisten im Ernstfall

Wenn ein Unternehmen Opfer eines Ransomware-Angriffs wird, zählt vor allem schnelles und strukturiertes Handeln. Unser CSIRT verfügt über umfangreiche Erfahrung in der Analyse und Bewältigung von Ransomware-Vorfällen und unterstützt Unternehmen sowohl bei der technischen Analyse als auch beim Incident Management.

Sichern Sie sich 24/7 Unterstützung bei Cyberangriffen
Nadia Meichtry

Autorin

Nadia Meichtry ist Senior DFIR Specialist bei der Oneconsult AG. Sie studierte Forensik an der UNIL in Lausanne und besitzt die Zertifikate GCFA, GREM, GDAT, GRID, OPST und SVEB AdA ZA-DL.

LinkedIn

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.