Junk-Gun-Ransomware als Billigware oder Eigenbau  

Junk-Gun-Ransomware als Billigware oder Eigenbau  MS- KI

Beitrag teilen

Billig und plump: Kriminelle setzen auf neue Ransomware „Marke Eigenbau“. Ist das das Ende von professioneller Ransomware-as-a-Service – RaaS? Einigen Angreifern sind die RaaS-Angebote zu teuer oder sie wollen den Profit komplett einfahren. Nun tauchen die ersten als Billig-Ransomwares auf oder auch sogenannte Junk-Gun-Ransomware.

Ransomware-as-a-Service ist seit einem Jahrzehnt ein lukratives Geschäft und fest in den Händen professionell organisierter Gruppen. Doch jetzt können Kriminelle, die keine Lust auf die teuren Bausätze haben, auf eine schnell zusammengeschusterte Ramsch-Ransomware ausweichen. Sophos hat die sogenannte „Junk Gun“-Ransomware und ihre Bedeutung für den Malware-Markt untersucht.

Neue Junk Gun‘ Ransomware gefunden

🔎 Billige Ransomware als Paket im Darknet (Bild: Sophos).

Sophos veröffentlicht einen neuen Report mit dem Titel ‘Junk Gun‘ Ransomware: Peashooters can still pack a punch. Der Titel erinnert an eine Ära in den USA in den 60er und 70er-Jahren, als mit billigen und teils schlecht funktionieren Waffen, später „Junk Guns“ genannt, der Markt überschwemmt wurde – eine Entwicklung, die sich zurzeit ähnlich in der Cybercrime-Szene wiederholt. Der Report gibt erstmals Einblicke in eine aufstrebende Bedrohung in der Ransomware-Landschaft: Seit Juni 2023 hat das Spezialistenteam Sophos X-Ops 19 „Junk Gun“-Ransomware-Varianten ausgemacht. Billig, selbst produziert und eher plump aufgebaut tauchen die Programme im Darknet auf. Dahinter stecken eher rudimentär ausgebildete Entwickler, die mit einfachen und günstigen Ransomware-Modellen den etablierten Ransomware-as-a-Service-Markt (RaaS) aufrollen wollen.

Hat das RaaS-Modell ausgedient?

Anstatt Ransomware als Affiliate-Produkt zu verkaufen oder zu erwerben – wie es im Cybercrimemarkt seit Jahren Standard ist – bauen und verkaufen die Cybercrime-Emporkömmlinge primitive Ransomware-Modelle selbst, zu einer einmaligen Gebühr. Für einige Kriminelle ideal, um damit kleine und mittelständische Unternehmen oder Einzelpersonen anzugreifen.

„Seit einem oder zwei Jahren beobachten wir, dass Ransomware einen gewissen Sättigungsgrad erreicht hat. Es ist immer noch eine der gängigsten und ernsthaftesten Bedrohungen für Unternehmen, aber laut unserem aktuellen Active Adversary Report hat sich die Anzahl der Angriffe auf einem bestimmten Level eingependelt und das RaaS-Geschäft als gängiges Betriebsmodell für die meisten Haupt-Ransomware-Gruppen etabliert. Vor zwei Monaten verschwanden einige der größten Ransomware-Player von der Bildfläche und in der Vergangenheit machten einige der Ransomware-Partner ihrem Ärger über die Profit-Orientierung von RaaS Luft. Nichts in der Cybercrimewelt bleibt wie es ist und vielleicht sind wir gerade Zeitzeugen, wie diese billigen Versionen von Ransomware der nächste Evolutionsschritt sind, besonders für Kriminelle mit wenig Kenntnissen, die eher auf den schnellen Profit statt auf einen ruhmreichen Angriff setzen“, ordnet Christopher Budd, Director Threat Research bei Sophos, ein.

Ransomware zum einmaligen Schnäppchenpreis

Sophos listet im Report eine dieser Eigenbau-Varianten im Darknet zum Preis von 375 US-Dollar auf, eindeutig günstiger als einige RaaS-Kits für Partner, die mit mehr als 1.000 US-Dollar zu Buche schlagen. Laut Analyse haben die Cyberkriminellen bereits vier dieser Varianten in Angriffen eingesetzt. Während die Fähigkeiten der Junk-Gun-Ransomware sich stark von den RaaS-Varianten unterscheiden, können jedoch zwei Argumente punkten: die Schadsoftware braucht zum Laufen wenig oder sogar gar keine unterstützende Infrastruktur und die Nutzer sind nicht verpflichtet, ihren Gewinn mit den Entwicklern zu teilen.

Anzeigen und Tutorials zum Selberbasteln

🔎 Mit Hilfe kleiner Oberflächen kann sich nun Jedermann seine Ransomware bauen – Kosten 200 Dollar (Bild: Sophos).

Junk-Gun-Ransomware-Diskussionen finden hauptsächlich in Englisch-sprachigen Foren im Darknet statt und richten sich an Kriminelle mit wenig technischen Kenntnissen – ganz im Gegensatz zu den oft russischsprachigen Foren, die von bekannten und gut ausgebildeten Angriffsgruppierungen besucht werden. Diese neuen Varianten eröffnen einen reizvollen Weg für kriminelle Novizen, in die Ransomware-Welt zu starten. Neben Anzeigen für die Ransomware-Schnäppchen gibt es Beiträge zu Tipps und Trick und How-to-Tutorials.

Angriffe von Junk-Gun-Ransomware laufen womöglich unter dem Radar

„Diese Arten von Ransomware werden keine Millionen-Dollar-Lösegelder wie bei Clop oder Lockbit einfordern, aber getreu dem Motto ‚Masse statt Klasse“ können sie recht effektiv bei KMUs sein und das Debüt für eine größeren Verbreitung darstellen. Während das Phänomen der Junk-Gun-Ransomware relativ neu ist, erhielten wir bereits Einblicke in den Ehrgeiz der Erfinder, um dieses Ransomware-Modell weiter zu verbreiten. Und wir haben viele Posts von weiteren Kriminellen gesehen, die ihre eigene Ransomware-Variante kreieren wollen“, kommentiert Budd. „Noch beunruhigender ist allerdings, dass diese neue Ransomware-Bedrohung eine ernsthafte Herausforderung für die Verteidigung darstellt: Da Angreifer diese Modelle gegen KMUs einsetzen und die Lösegeldforderungen gering sind, bleiben die meisten Attacken unentdeckt und unveröffentlicht. Das hinterlässt eine Informationslücke für die Verteidiger, die die Sicherheits-Gemeinschaft dann ausfüllen muss.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Junk-Gun-Ransomware als Billigware oder Eigenbau  

Billig und plump: Kriminelle setzen auf neue Ransomware „Marke Eigenbau“. Ist das das Ende von professioneller Ransomware-as-a-Service - RaaS? Einigen ➡ Weiterlesen

Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Ein Threat Research Team hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ➡ Weiterlesen

KI gestützte Cyber-Angriffe nehmen zu

Cyberangriffe sind ausgefeilter denn je und KI-gestützte Angriffe stellen das größte Risiko dar. Das ermittelt der Keeper Security Insight Report 2024. ➡ Weiterlesen

Report: Ransomware zielt vermehrt auf IT- und Baubranche

Die Ransomware-Gruppen zielen besonders stark auf die IT- und Baubranche. Das zeigt der neue Threat Intelligence Report, der Informationen von ➡ Weiterlesen

Chefetage: Wichtige Cybersicherheit bringt keine Vorteile im Wettbewerb

Wie eine Umfrage zeigt, sehen Chefetagen gute Cybersicherheitsinfrastrukturen zwar als äußerst wichtig für Geschäftsbeziehungen an, aber gleichzeitig kann die Mehrzahl ➡ Weiterlesen

Ranglisten der verbreitetsten Malware

Sicherheitsforscher haben eine neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos entdeckt, der in Deutschland auf Platz Eins ➡ Weiterlesen

LockBit ist zurück: Cyberangriff auf KJF mit 17 Kliniken und Schulen 

Die KJF - die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg e. V. erlitt einen umfangreichen Cyberangriff. Die Hacker um ➡ Weiterlesen

Drohendes Chaos bei der Umsetzung von NIS-2

Analogie zu NIS-2: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft – genauer gesagt endete die 24-monatige ➡ Weiterlesen