GapMATRIX: Neue API verbindet Ransomware-Gruppen mit konkreten Schwachstellen

Ein neues Tool schließt eine gefährliche Lücke in der Cybersicherheit: GapMATRIX verknüpft erstmals automatisiert aktive Erpressertruppen mit den von ihnen genutzten Softwarelücken – und stellt diese Daten nun per API bereit.

Die Entwickler hinter IncidentBuddy.ai haben eine neue Programmierschnittstelle für ihr Threat-Intelligence-Tool GapMATRIX veröffentlicht. Das Tool erstellt eine umfassende Matrix der Beziehungen zwischen Ransomware-Gruppen, ihren Angriffsmethoden und den spezifischen Sicherheitslücken, die sie ausnutzen. Diese „doppelt angereicherten“ Daten sind jetzt erstmals maschinell abrufbar.

Die Brücke zwischen Bedrohung und Schwachstelle

Bisher mussten Sicherheitsteams mühsam manuell zusammenführen, welche Erpressergruppe welche Schwachstelle nutzt. GapMATRIX automatisiert diese Korrelation. Es verbindet drei bisher getrennte Dateninseln: Bedrohungsakteure (Ransomware-Gangs), Angriffsmethoden (TTPs nach MITRE ATT&CK) und Sicherheitslücken (CVEs).

„Ein CISO wusste vielleicht, dass seine Branche im Visier der Gruppe ‚LockBit‘ steht, aber nicht, welche konkreten CVEs diese gerade ausnutzt“, erklärt ein Sicherheitsexperte. „Umgekehrt sah ein Vulnerability-Manager eine kritische Lücke, wusste aber nicht, ob sie bereits aktiv von Angreifern weaponized wird.“ Genau diese Lücke schließt das Tool.

GapMATRIX aggregiert Daten aus autoritativen Quellen wie der NIST National Vulnerability Database und dem CISA-Katalog bekannter, ausgenutzter Schwachstellen. Diese werden mit spezifischer Ransomware-Forschung überlagert. Das Datenmodell aktualisiert sich täglich – entscheidend in einer Welt, in der die Zeitspanne zwischen der Bekanntgabe einer Lücke und ihrer aktiven Ausnutzung oft nur noch Stunden beträgt.

Automatisierte Abwehr durch neue API

Die neue GapMATRIX-API ist der entscheidende Schritt. Bisher waren die Daten nur über eine Web-Oberfläche zugänglich. Jetzt können Unternehmen die Intelligence direkt in ihre bestehenden Sicherheitssysteme integrieren – etwa in SIEM- oder SOAR-Plattformen.

Das ermöglicht eine radikal effizientere Abwehr. Ein Einzelhandelsunternehmen, das von einer bestimmten Erpresserbande angegriffen wird, könnte seine Systeme automatisch die API abfragen lassen. Diese identifiziert dann alle mit dieser Gruppe verknüpften Schwachstellen. Die entsprechenden Patches werden automatisch priorisiert – ein Prozess, der sonst manuelle Recherche im Wert von Stunden erfordert.

Doppelte Anreicherung für kontextuelle Intelligenz

Der Kern des Tools ist die „doppelte Anreicherung“. Es listet nicht nur Schwachstellen auf, sondern verortet sie im MITRE ATT&CK Threat Heatmap. Verteidiger sehen also nicht nur welche Lücke ausgenutzt wird, sondern auch wie sie in die gesamte Angriffskette eingebettet ist.

Zu den Schlüsselfunktionen gehören:
* Akteur-zu-CVE-Zuordnung: Direkte Korrelation, welche Ransomware-Gruppe welche Schwachstelle nutzt.
* TTP-Integration: Einblicke in die begleitenden Angriffstechniken, wie Persistenz oder laterale Bewegung im Netzwerk.
* Remediation-Regeln: Links zu Detektionsregeln (wie Sigma-Regeln), die bei der Suche nach Kompromittierungen helfen, wenn ein sofortiges Patchen nicht möglich ist.

Offene Intelligenz für die Community

In einer Branche, die von teuren, proprietären Threat-Intelligence-Diensten dominiert wird, setzt GapMATRIX auf ein Open-Access-Modell. Das Projekt wird vom Entwickler „RichBenf“ vorangetrieben und stellt seine Kerndaten öffentlich zur Verfügung. Die kostenfreie API senkt die Einstiegshürde besonders für kleinere Organisationen, die sich Premium-Dienste nicht leisten können, aber dennoch komplexen Ransomware-Bedrohungen ausgesetzt sind.

Erste Rückmeldungen aus der Security-Community zeigen, dass das Tool bereits genutzt wird, um interne Bedrohungsmodelle zu validieren und Schwachstellenmanagement-Programme anzureichern.

Compliance und die Zukunft der KI-gestützten Abwehr

Der Start der API kommt zur rechten Zeit. Regulatorische Rahmenwerke wie die EU-Richtlinie NIS2 und der Digital Operational Resilience Act (DORA) verlangen von Unternehmen „evidenzbasierte“ Sicherheitsmaßnahmen. Sie müssen ihr spezifisches Bedrohungsprofil verstehen, nicht nur generische Kontrollen anwenden. Tools wie GapMATRIX helfen Compliance-Verantwortlichen nachzuweisen, dass sie kontextrelevante Risiken managen.

Wer GapMATRIX-Daten in seine Verteidigung übersetzen will, braucht gleichzeitig praxisnahe Maßnahmen und Compliance-Checks. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, relevante Gesetzesänderungen (inkl. KI-Regulierung) und sofort umsetzbare Schutzmaßnahmen für Unternehmen zusammen – ideal für CISOs, IT-Verantwortliche und Compliance-Teams, die ihre Abwehr ohne große Investitionen stärken möchten. Jetzt kostenloses Cyber-Security E‑Book herunterladen

Der nächste logische Schritt ist die Integration dieser strukturierten Daten in KI-gestützte Sicherheitsassistenten. Mit der live geschalteten API könnten „agentische“ KI-Tools die Datenbank abfragen, um komplexe Fragen zu beantworten: „Sind wir gegen die drei Top-Exploits der Gruppe ‚LockBit‘ verwundbar?“

Im beschleunigten Cyber-Wettrüsten wird die Fähigkeit, Rohdaten sofort in strategische Verteidigungsmaßnahmen zu übersetzen, wohl bald zum Standard für moderne Cyber-Resilienz gehören. GapMATRIX liefert dafür jetzt die technische Grundlage.