Die Cyberkriminalität zeigt einmal mehr ihr chamäleonhaftes Gesicht: Die als Tengu Ransomware bekannte Erpresserbande hat sich im März 2026 in Shisa Ransomware umbenannt und setzt ihren Feldzug mit neuer Maske fort. Seit ihrem ersten Auftauchen im Oktober 2025 hat die Gruppe weltweit rund 50 Opfer gemeldet, mit einem klaren Fokus auf Technologie- und Fertigungsunternehmen.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen wie Ransomware – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor es zu spät ist. Kostenloses Cyber-Security-E-Book jetzt abrufen
Doppelte Erpressung als Geschäftsmodell
Die Täter agieren nach dem bewährten Ransomware-as-a-Service-Modell (RaaS). Das bedeutet: Sie stellen ihre Schadsoftware anderen Kriminellen gegen Gewinnbeteiligung zur Verfügung. Ihr Markenzeichen ist die sogenannte Double-Extortion – eine besonders perfide Masche. Die Angreifer verschlüsseln nicht nur die Daten ihrer Opfer, sondern drohen zusätzlich damit, gestohlene Informationen auf speziellen Leak-Seiten im Tor-Netzwerk zu veröffentlichen. Erst wenn das Lösegeld fließt, bleibt die Veröffentlichung aus.
Trotz des Namenswechsels hat sich an der technischen Infrastruktur wenig geändert. Die Gruppe setzt weiterhin auf spezialisierte Versionen ihrer Erpressungssoftware für Windows, Linux und ESXi-Umgebungen. Damit können sie praktisch jedes Unternehmensnetzwerk angreifen – vom klassischen Büro-PC bis zur virtualisierten Serverlandschaft.
So verschaffen sich die Hacker Zugang
Die Einbruchsmethoden der Gruppe sind bekannt, aber gefährlich effektiv. Sicherheitsanalysten von SocRadar haben dokumentiert, dass die Täter häufig auf Brute-Force-Angriffe setzen – also das systematische Durchprobieren von Passwörtern. Zudem nutzen sie bekannte Sicherheitslücken aus, darunter die kritische Schwachstelle CVE-2020-1472, besser bekannt als ZeroLogon. Diese Lücke im Windows-Anmeldeverfahren ist zwar seit Jahren bekannt, doch viele Unternehmen haben sie noch immer nicht geschlossen.
Ist die Firewall erst einmal überwunden, kommen selbst entwickelte Werkzeuge zum Einsatz. Mit StealTENGU und StealTG durchkämmen die Angreifer die Netzwerke nach wertvollen Daten. Für den Abtransport der Beute nutzen sie gängige Cloud-Dienste wie MEGA, PixelDrain und StorJ – ein cleverer Schachzug, denn diese legalen Dienste fallen weniger auf als verdächtige Server in Osteuropa.
In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe und andere Einbruchsmethoden, bevor sie entstehen. Der kostenlose Leitfaden liefert Firmen aus Produktion und Verwaltung eine detaillierte Analyse aktueller Hacker-Methoden. Anti-Phishing-Paket gratis herunterladen
Ein florierender Markt für Erpressung
Die Umbenennung von Tengu zu Shisa ist kein Einzelfall. Der Markt für Ransomware boomt, und die Konkurrenz schläft nicht. Aktuelle Analysen von Check Point und PRODAFT zeigen, dass neue Player wie The Gentlemen im Juni 2026 die Rangliste anführen. Deren Erfolgsrezept: Ein Umsatzmodell, bei dem satte 90 Prozent der Lösegelder an die Operateure gehen und nur zehn Prozent an die Administratoren der Plattform. Eine Verteilung, die talentierte Kriminelle von anderen Gruppen abwerben soll.
Europa rüstet sich für die Abwehr
Die Bedrohungslage hat die Industrie alarmiert. Vom 16. bis 18. Juni 2026 findet in Prag der ISA OT Cybersecurity Summit statt – ein Gipfeltreffen, das sich genau diesen Herausforderungen widmet. Im Fokus stehen die Sicherheit von Operationstechnologie (OT), die Lieferketten von Industriesteuerungssystemen (ICS) sowie die Einhaltung neuer EU-Regularien wie dem Cyber Resilience Act (CRA) und der NIS2-Richtlinie.
Die Strafverfolgung schlägt zurück
Doch die Kriminellen haben längst nicht das letzte Wort. Die internationale Strafverfolgung intensiviert ihre Bemühungen, den Geldfluss zu unterbrechen. Allein in diesem Jahr gab es mehrere Schläge gegen die Cyber-Unterwelt: Im April wurde im Rahmen der Shunda Park-Anklage Anklage erhoben, im März lief die Operation Atlantic. Besonders spektakulär: Das US-Justizministerium gab kürzlich die Beschlagnahmung eines Bitcoin-Vermögens von über 127.000 BTC bekannt – ein Schlag gegen die finanzielle Infrastruktur der globalen Cyberkriminalität.
