Ransomware – Das sind die aktiven Gruppen 

Ransomware - Das sind die aktiven Gruppen Bild: Bing - KI

Beitrag teilen

Die Welt der Cyberkriminellen in Sachen Ransomware steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch immer ausgefeiltere Technologien und Taktiken auffallen. Hier eine Übersicht, über die aktivsten Gruppen und ihre Ziele.

Besonders dynamisch ist die Ransomware-Szene, in der verschiedene Gruppen miteinander im Wettbewerb um Affiliates (also kriminelle „Subunternehmer“, welche ihre Erpressungs-Tools und -Dienste einsetzen) und die attraktivsten Angriffsziele stehen. So verschwand im März dieses Jahres mit ALPHV (auch Blackcat genannt) eine der bisherigen Top-Gruppen überraschend von der Bildfläche, nachdem sie zuvor ihre Komplizen um 22 Millionen Euro geprellt hatte und Teile ihrer Infrastruktur vom FBI beschlagnahmt worden waren.

Anzeige

Auch LockBit, der bisherige Platzhirsch, wurde durch eine konzertierte Aktion von Polizeibehörden weltweit empfindlich getroffen. In der Folge beobachten die Sicherheitsexperten von Trend Micro aktuell eine gleichmäßigere Verteilung von „Marktanteilen“ und einen Wettbewerb mehrerer kleinerer Akteure um die Vorherrschaft im Ransomware-Bereich. Welche Gruppen aktuell besonders gefährlich sind, haben sie hier analysiert.

Die Reinkarnation: RansomHub

Die Gruppe, die momentan am meisten von diesen Polizeioperationen zu profitieren scheint, nennt sich RansomHub. Seit ihrer ersten Aktivität im Februar hat sie sich zur am stärksten verbreiteten Ransomware entwickelt. Nachdem sie zunächst aktiv um frühere ALPHV-Affiliates geworben hatte, macht sie inzwischen auch LockBit den Rang streitig. Technologisch ist RansomHub ein alter Bekannter: Analysen zufolge handelt es sich um eine aktualisierte und umbenannte Version der früheren „Knight“-Ransomware, die zwischenzeitlich im Darknet zum Verkauf stand.

RansomHub nutzt bekannte Schwachstellen wie ZeroLogon, um in Systeme einzudringen. Im Anschluss setzt sie verschiedene Tools für Remote Access und Netzwerk-Scanning ein, bevor sie Daten mit ausgefeilten Methoden verschlüsselt. Neben Windows-Systemen zählen auch MacOS- und Linux-Umgebungen zu ihren Zielen. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.

Bekannter Spieler mit neuer Technik: Play

Die Play-Ransomware-Gruppe wurde erstmals im Juni 2022 entdeckt und zeichnet sich durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. In jüngster Zeit hat die Gruppe die Fähigkeiten ihrer Schadsoftware erweitert und nimmt nun besonders VMWare ESXi-Umgebungen ins Visier. Diese Umgebungen werden von Unternehmen häufig zur Ausführung mehrerer virtueller Maschinen verwendet. Sie hosten oft wichtige Anwendungen und Daten und enthalten normalerweise integrierte Backup-Lösungen. Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb erheblich stören. Sogar Backups werden verschlüsselt, was die Möglichkeiten des Opfers einschränkt, Daten wiederherzustellen.

Es steht zu befürchten, dass die Gruppe ihre Angriffsfähigkeiten auch auf weitere Linux-Systeme ausdehnt, um die Anzahl der Opfer zu erhöhen und den Druck in Lösegeldverhandlungen zu verstärken. Play verursacht aktuell besonders in Nordamerika erhebliche Schäden, aber auch Unternehmen in West- und Mitteleuropa zählen zu ihren Zielen.

Die Etablierten: Akira

Die Akira-Gruppe machte vergangenen Herbst mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Größe in der Ransomware-Szene entwickelt. Hinter dem noch recht neuen Namen scheinen altbekannte Kriminelle zu stecken: Analysen des Schadcodes lassen darauf schließen, dass es sich um die früheren Strippenzieher hinter der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI, Europol und weitere warnen in einer Mitteilung vom April, dass die Angreifer innerhalb eines Jahres über 250 Unternehmen erfolgreich angegriffen und dabei mehr als 42 Millionen US-Dollar Lösegeld erbeutet hätten.

Akira greift Linux-Systeme ebenso an wie Windows und nutzt größtenteils etablierte Angriffstechniken, wie die Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multifaktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung mittels Datendiebstahl und -verschlüsselung und hat besonders Unternehmen in Europa, Nordamerika und Australien im Visier.

Der Aufsteiger: Cactus

Die gleichen Eintrittsvektoren nutzt auch die Cactus-Gruppe, die seit 2023 beobachtet wird und aktuell besonders aktiv ist. Sie greift bevorzugt große Unternehmen an, die die nötigen finanziellen Ressourcen besitzen, um auch höhere Lösegeldforderungen zu bezahlen. In diesem Jahr zählte unter anderem der führende französische Elektrotechnik-Konzern, eine schwedische Supermarktkette und andere Großunternehmen in Europa und Nordamerika zu ihren Opfern.

Cactus setzt keine besonders ausgefallenen Techniken ein, ist mit seinen Angriffen aber dennoch äußerst erfolgreich. Die anscheinend erfahrenen Angreifer sind sehr gut darin, sich innerhalb des Netzwerks auszubreiten und einer Erkennung durch vorhandene Sicherheitslösungen zu entgehen. Unternehmen sollten diese Gruppe und ihre Methoden deshalb besonders beachten, um sich vor ihren Angriffen zu schützen.

Der Absteiger: LockBit

Nachdem LockBit mehrere Jahre lang die Ransomware-Szene beherrschte, zwang eine konzertierte Aktion von Strafverfolgungsbehörden und Sicherheitsunternehmen die Gruppe im April in die Knie. Die Polizei konnte das gesamte Ökosystem der LockBit-Gruppe empfindlich treffen, indem sie nicht nur die technischen Infrastrukturen übernahm, sondern auch die Identitäten wichtiger Akteure aufdeckte und auch die Affiliates, welche die LockBit-Ransomware einsetzten, persönlich ansprach. Die Zahl ihrer Angriffe brach daraufhin schlagartig ein.

Zwar zeigt die Gruppe auf ihren Leak-Seiten noch immer eine hohe Aktivität. Bei den veröffentlichten Daten handelt es sich aber größtenteils um Ergebnisse früherer Angriffe, die nun erneut genutzt werden, sowie um Informationen aus den Leaks anderer Ransomware-Gruppen oder nicht verifizierte Opfer. Nach Einschätzung der Sicherheitsexperten versuchen die Hintermänner den Anschein zu wahren, sie hätten alles unter Kontrolle, während sie im Hintergrund ihre Infrastruktur neu aufbauen. Ob sich LockBit von diesem Schlag erholen wird, bleibt abzuwarten, da sich zahlreiche ihrer Affiliates inzwischen anderen Gruppen zugewandt haben dürften.

Fazit: Es bleibt spannend

Tobias Grabitz, PR & Communications Manager DACH bei Trend Micro (Bild Trend Micro).

Die Ransomware-Landschaft ist auch weiterhin hochdynamisch: Mehrere Operationen internationaler Polizeibehörden konnten einige der gefährlichsten Akteure mindestens vorübergehend ausschalten und den Druck auf die Kriminellen erhöhen. Gleichzeitig eröffnet dies neuen oder neu formierten Gruppen die Möglichkeit, ihre Aktivitäten auszuweiten. Denn das „Geschäft“ mit der virtuellen Erpressung bleibt lukrativ.

Die Analyse der aktivsten Gruppen zeigt, dass Unternehmen jeder Größe gefährdet sind und dringend ihre Security-Hausaufgaben machen müssen: Grundlegende Maßnahmen wie das konsequente Schließen von bekannten Schwachstellen (gerade in so gefährdeten Systemen wie VPNs), breite Einführung von Multifaktor-Authentifizierung und sichere Backups können häufig schon das Schlimmste verhindern. Zudem kommt gerade der Sicherung des Netzwerks als wichtigstem Ausbreitungsweg von Ransomware-Angriffen eine besondere Bedeutung zu.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen