Neue Gefahren durch Ransomware-Gruppe RansomHub

Neue Gefahren durch Ransomware-Gruppe RansomHub

Beitrag teilen

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. Eine von vielen Erkenntnissen: RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert.

Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals im vergangenen Jahr beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.

Anzeige

RansomHub als nächste Stufe von Ransomware

Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.

Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.

Der Aufstieg von RansomHub

Die wichtigsten Erkenntnisse aus dem Bericht: Seit seiner Gründung im Februar 2024 ist RansomHub schnell gewachsen und hat es auf Unternehmen in den USA abgesehen. Obwohl die Gruppe zunächst erklärte, gemeinnützige Organisationen und Krankenhäuser zu meiden, sind unter den Opfern auch bekannte Namen aus dem Gesundheitswesen. Die Gruppe betreibt ein RaaS-Modell, was es Dritten erlaubt, Angriffe mit ihren Tools und ihrer Infrastruktur durchzuführen, und hat so bedeutende Erfolge erzielt.

Während Lockbit in den Jahren 2022 und 2023 noch für satte 40 Prozent aller Ransomware-Opfer verantwortlich war, liegt der Anteil der Gruppe heute nur noch bei 5 Prozent. Fast die Hälfte der benannten Opfer sind jedoch Namen, die die Gruppe in der Vergangenheit bereits angegriffen hat, was darauf hindeutet, dass Größe und Ressourcen der Bande erheblich zurückgegangen sind. CPR vermutet, dass die Täter sich entweder mit fremden Federn schmücken und Betroffene anderer Gruppen als ihre eigenen deklarieren oder ihre vorherigen Opfer erneut in den Mittelpunkt rücken, um die Fassade andauernder Operationen aufrechtzuerhalten.

Anstatt Dateien zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu verlangen, stiehlt Meow jetzt sensible Daten und stellt das Opfer vor die Wahl: Lösegeld zahlen, um die Veröffentlichung der Daten zu verhindern, oder zulassen, dass die Daten an andere Hacker verkauft werden. Auf der Meow-Leak-Website werden derzeit gestohlene Daten mit Preisen zwischen 500 und 200 000 US-Dollar (461 bis 184 520 Euro) aufgeführt.

Die Industrieproduktion ist der am stärksten von Ransomware-Angriffen betroffene Sektor, da veralte Systeme und die Kombination von IT- und OT-Netzwerken gefährliche Schwachstellen bieten. Diese Unternehmen speichern wertvolle Daten, deren Verlust finanzielle Schäden und Störungen in globalen Lieferketten verursachen kann. Die Bildungseinrichtungen sind ebenfalls stark gefährdet, da ihre umfangreichen Netzwerke oft unzureichend gesichert sind und sensible persönliche Daten enthalten. Auch der Gesundheitssektor bleibt ein häufiges Ziel, da überlebenswichtige Patientendaten und die Notwendigkeit, den Betrieb aufrechtzuerhalten, hohe Lösegeldzahlungen wahrscheinlich machen.

„Das schnelle Wachstum von RansomHub und fortschrittliche Taktiken, wie die Fernverschlüsselung verändern die Ransomware-Landschaft. Es ist von entscheidender Bedeutung, dass Organisationen KI-gestützte Maßnahmen zur Bedrohungsabwehr ergreifen, um diesen neu auftretenden Bedrohungen immer einen Schritt voraus zu sein”, sagt Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software Technologies.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

Riskante vernetzte medizinische Geräte

Ein Unternehmen im Bereich Cybersicherheit, veröffentlichte den Bericht „Unveiling the Persistent Risks of Connected Medical Devices“. Aufbauend auf dem Bericht ➡ Weiterlesen