Die Ransomware-Gruppe 0APT sorgte vor einigen Wochen für Aufmerksamkeit – allerdings nicht durch einen technische Angriffe, sondern offenbar durch einen psychologischen Schachzug. Statt auf klassische Hacks setzt die Gruppe auf mentalen Druck. Am 5. Februar 2026 nahm ein Opfer von 0APT Kontakt mit uns auf. Bei dem Opfer handelt es sich um einen börsennotierten US-Konzern mit weltweit mehr als 11.000 Mitarbeitern. Der Konzern war auf der Leak-Seite von 0APT als angebliches Opfer aufgeführt. Da wir in unserem Ransomware-Monitor mehr als 450 aktive Ransomware-Gruppen beobachten und deren Veröffentlichungen publizieren, bat uns der Konzern darum, die ihn betreffende Leak-Bekanntmachung von 0APT aus unserem Monitor zu entfernen.

Das Brisante an diesem Vorfall: Nach den uns schriftlich vorliegenden Angaben des US-Konzerns hatte es weder eine Kompromittierung seiner Systeme noch eine Kontaktaufnahme oder gar eine Erpressung durch 0APT gegeben. Ein direkter Austausch mit dem weltweit agierenden Konzern sowie eine detaillierte Analyse der 0APT-Methoden ließen uns an der Glaubwürdigkeit der Gruppe zweifeln. Belastbare Beweise für die behaupteten Angriffe fanden sich nicht. Wir haben den Eintrag gelöscht und 0APT vorerst aus unserem Feed und von der Tracking-Liste aktiver Ransomware-Gruppen entfernt.

Hacker oder Hochstapler?

Als sich 0APT im Januar 2026 im Darknet präsentierte, sorgte die Gruppe sofort für Aufsehen. 0APT stellte auf einen Schlag eine Liste mit mehr als 190 angeblich kompromittierten, vorwiegend US-amerikanischen Unternehmen und Konzernen online. Nahezu jede größere Branche war vertreten. Dadurch enstand der Eindruck einer massiven, breit angelegte Angriffswelle. Doch bei näherer Prüfung zerfiel das bedrohliche Bild.

Große Namen, leere Versprechen

Zunächst tauchten auf der Leak-Seite vor allem unbekannte, kleinere Firmen auf. Im Februar 2026 schmückte sich die Gruppe mit prominenten Namen, darunter im späteren Verlauf des Monats auch ein europäischer Automobilhersteller (Stand 23.02.2026). Bei den Download-Archiven, die auf der Leak-Seite der Gruppe zum Download bereitstanden, handelte es sich offensichtlich um zufällig generierte Daten, deren Dateigrößen künstlich aufgeblasen wurden.

Der eigentliche Hebel ist vermutlich die Angst vor Reputationsschäden

Warum dieser Aufwand, wenn gar keine echten Daten vorliegen? Eine mögliche Antwort ist nicht technischer, sondern psychologischer Natur. Für große, aber auch kleine Unternehmen ist die öffentliche Wahrnehmung ein wichtiger Faktor. Wenn der Name eines Konzerns auf einer Leak-Seite auftaucht, inklusive eines angeblichen mehrere hundert Gigabyte umfassenden Datensatzes, können die negativen Schlagzeilen und Berichterstattungen nachhaltige Image- und Reputationsschäden sowie Kursverluste verursachen. Möglicherweise spekuliert 0APT darauf, dass Konzernleitungen, Vorstände oder Rechtsabteilungen sich dazu entscheiden, unaufgefordert ein Lösegeld zu zahlen, um den eigenen Namen schnell von der Liste der kompromittierten Unternehmen entfernen zu lassen.

Mit ihrer Strategie und Vorgehensweise erhielt die Gruppe kurzeitig mediale Aufmerksamkeit und den Anschein operativer Größe. Bislang gab es aber noch keine belastbaren Hinweise auf echte Netzwerkzugriffe oder Datenabflüsse. Ob es dabei bleibt, ist allerdings fraglich.