Sicherheit + Datenschutz 14. März 2026 4 Min Lesezeit

Bravox, ein neues Gesicht im Ransomware-Business?

Geschrieben von
Miriam Schäfer
Bravox Ransomware Hacker Bande Erpressung

Die Ransomware-Gruppe Bravox ist erst seit Anfang 2026 öffentlich sichtbar, taucht aber bereits in mehreren Threat-Intelligence-Quellen und Leak-Trackern auf. Wie viele neue Akteure in der Cybercrime-Szene versucht auch diese Gruppe offenbar, sich im lukrativen Geschäft mit digitaler Erpressung zu etablieren.

Neue Ransomware-Gruppe in der Cybercrime-Szene: Bravox

Ransomware-Angriffe gehören längst zum Alltag der IT-Sicherheitslandschaft. Während bekannte Gruppen wie LockBit oder Black Basta seit Jahren Schlagzeilen machen, entstehen im Hintergrund ständig neue Akteure, die versuchen, im lukrativen Erpressungsgeschäft Fuss zu fassen.

Bravox ist ein vergleichsweise neuer Akteur. Öffentlich sichtbar wurde die Operation erst im Januar 2026, als die Betreiber eine Tor-Adresse in einem Beitrag im Untergrundforum RAMP veröffentlichten. Kurz darauf tauchte eine eigene Data-Leak-Site (DLS) auf – eine typische Infrastruktur moderner Ransomware-Gruppen, über die gestohlene Daten veröffentlicht oder Veröffentlichungen zumindest angedroht werden.

Solche Leak-Seiten erfüllen eine zentrale Rolle im Geschäftsmodell der Täter: Sie sind das Druckmittel gegen die Opfer. Unternehmen, die kein Lösegeld zahlen, müssen damit rechnen, dass schrittweise Daten abfliessen.

RaaS-Geschäftsmodell: Ransomware-as-a-Service

Nach Einschätzung der Sicherheitsanalysten von SoCRadar handelt es sich bei Bravox um eine Ransomware-as-a-Service-Operation (RaaS). Bei diesem Modell betreibt eine Kernorganisation die technische Infrastruktur – Malware, Leak-Seiten, Verhandlungsplattformen – während Affiliates die eigentlichen Angriffe durchführen. Das Modell hat sich in den vergangenen Jahren als besonders effektiv erwiesen.

Interessant ist der zeitliche Hintergrund. Der Account des mutmasslichen Betreibers wurde laut Analyse bereits im September 2025 im RAMP-Forum registriert, blieb zunächst weitgehend unauffällig. Erst Anfang 2026 folgte der Schritt von einer anonymen Forenpräsenz zu einer operativen Ransomware-Infrastruktur mit eigener Leak-Plattform.

Die Entwicklung: Erste Schritte im Dark Web bis zur Leak-Plattform

Zum Zeitpunkt der Analyse war die Zahl der bekannten Opfer noch gering. Frühe Veröffentlichungen auf der Leak-Seite nannten nur wenige Organisationen – Unternehmen aus den USA in den Bereichen Gesundheitswesen und Einzelhandel.

Inzwischen taucht die Gruppe auch in europäischen Vorfällen auf. Bravox bekannte sich zu einem Angriff auf den Schweizer Softwareanbieter Soreco, bei dem nach Angaben der Angreifer über 100 GB an Daten entwendet wurden.

Die geringe Zahl öffentlich bekannter Opfer sollte nicht täuschen: Es handelt sich um eine noch junge, möglicherweise wachsende Operation. Viele Ransomware-Gruppen beginnen mit wenigen gezielten Angriffen, um Reputation im Untergrund aufzubauen und Affiliates zu gewinnen. Danach steigt die Zahl der Angriffe meist deutlich an.

So operiert Bravox: Infrastruktur, Malware und Affiliates

Obwohl Bravox noch relativ neu ist, lassen sich bereits typische Merkmale moderner Ransomware-Operationen erkennen.

Zentral ist die Infrastruktur im Dark Web. Die Gruppe betreibt eine eigene Data-Leak-Site auf Tor-Basis, auf der Opferprofile veröffentlicht werden. Die Plattform enthält einen Bereich zur Anzeige von Opferdaten, ein Affiliate-Portal und ein integriertes Kontaktformular für Lösegeldverhandlungen.

Auffällig: Verhandlungen laufen offenbar direkt über diese Leak-Plattform, nicht über externe Kanäle wie E-Mail oder Messenger. Der eigene Bereich für Affiliates zeigt, dass das RaaS-Modell technisch fest in die Infrastruktur eingebaut wurde.

Bei der Rekrutierung von Partnern verfolgt Bravox einen selektiven Ansatz. Bewerber müssen entweder nachweisen, dass sie bereits Zugang zu wertvollen Unternehmensdaten besitzen, eine finanzielle Sicherheitsleistung hinterlegen oder von vertrauenswürdigen Mitgliedern der Szene empfohlen werden.

Technisch ist über die eigentliche Malware bislang wenig bekannt. Weder ein eindeutig identifizierter Verschlüsselungscode noch typische Artefakte wie Dateiendungen oder Lösegeldnotizen wurden öffentlich analysiert. Das deutet darauf hin, dass sich die Operation noch in einer frühen Phase befindet – oder ihre technischen Details bislang nicht in die Hände von Sicherheitsforschern gelangt sind.

Das Muster ist dennoch klar: Bravox folgt dem Bauplan moderner Ransomware-Ökosysteme. Eigene Leak-Infrastruktur, Affiliate-Programm zur Skalierung, gezielte Veröffentlichungen von Opferdaten als Druckmittel.

Threat-Intelligence: Wie Daten über Bravox sichtbar werden

Ransomware-Gruppen wie Bravox operieren im Dark Web – dort veröffentlichen sie Opferlisten, präsentieren Datenlecks und stellen Lösegeldforderungen. Diese Seiten sind für die breite Öffentlichkeit nicht zugänglich und erfordern spezielle Browser wie Tor. Für Unternehmen und Sicherheitsforscher ist das eine echte Hürde: Bedrohungen lassen sich erkennen, direkte Einblicke ins Dark Web sind aber technisch aufwändig und rechtlich sensibel.

Hier kommen Threat-Intelligence-Portale wie ransomware.live ins Spiel. Das sind öffentliche Tracker und Monitoring-Plattformen, die Informationen über Ransomware-Aktivitäten sammeln, aufbereiten und zugänglich machen. Sie kuratieren Daten aus verschiedenen Quellen:

  • Veröffentlichungen im Dark Web, die von Ransomware-Banden stammen
  • Security-Blogs, Meldungen von CERTs und IT-Sicherheitsfirmen
  • Medienberichte und Hinweise aus sozialen Netzwerken zu Angriffen

Das Ergebnis ist eine strukturierte Darstellung der Bedrohungslage, die Unternehmen, Analysten und Sicherheitsteams nutzen können – um Trends früh zu erkennen, Angriffsmuster zu beobachten und Schutzmassnahmen gezielt zu priorisieren.

Frühwarnsysteme sind entscheidend

Bravox zeigt, wie schnell neue Akteure im Cybercrime-Bereich Fuss fassen können. Die bisher bekannten Opferzahlen sind noch überschaubar – die Gruppe demonstriert aber bereits typische Muster moderner Ransomware-Operationen: RaaS-Strukturen, gezielte Datenexfiltration, Leak-Plattformen als Druckmittel.

Für Unternehmen heisst das konkret: Threat-Intelligence-Quellen beobachten, um frühzeitig auf neue Bedrohungen reagieren zu können. Kontinuierliches Monitoring, proaktive Schutzmassnahmen und eine funktionierende Incident-Response-Strategie sind keine Kür – sie sind Standard.

Die Lage bleibt dynamisch. Bravox lohnt sich zu beobachten.

Quellen:

Tags: CybercrimeMalware
Über die Autor:in

Miriam Schäfer

Social Media und redaktionelle Inhaltspflege rundum.dog seit April 2026. Schreibt für dataloft zu Datenschutz, Online-Recht, Social-Media-Trends und KI-Themen.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-08-04 Mit diesen Tipps zur Passwort Sicherheit machen Sie es Hackern schwer 2020-01-31 Patienten-Daten im Blickpunkt von Datenschützern und Datendieben 2020-11-03 Ransomware entschlüsseln: Datenbank stellt Werkzeuge bereit

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG